GDPR eli General Data Protection Regulation- asetus tulee sovellettavaksi toukokuussa 2018 kaikissa EU- maissa. Asetuksen tarkoituksena on parantaa EU:n kansalaisten yksityisyydensuojaa ja yhdenmukaistaa tietosuojakäytäntöä unionissa. GDPR koskee kaikkia niitä tahoja esim. yrityksiä, julkishallinnon organisaatioita ja yhdistyksiä jotka jossain muodossa käsittelevät henkilötietoja.

Lähes kaikki tahot käsittelevät henkilötietoja jossain määrin ja jollakin tavalla, joten GDPR- asetusta sovelletaan todella laajalti. GDPR- asetuksen myötä rekisteröityjen henkilöiden oikeudet kasvavat kun sen sijaan rekisterinpitäjien esim. verkkokauppojen velvollisuudet sekä vastuut lisääntyvät. Kuten aiemminkin, rekisterissä olevilla henkilöillä on oikeus pyytää tietojaan rekisteristerinpitäjältä- jonka vastuulla on toimittaa rekisteröidylle kyseiset tiedot. Velvollisuudet ja vastuut määräytyvät pitkälti sen mukaan mikäli henkilötietoja käsittelevä taho on rekisterinpitäjä tai henkilötiedon käsittelijä.

 

Mikä on henkilötieto? 

GDPR- tietosuja-asetus ei tarkkaan määrittele mikä on henkilötietoa (personal data) vaan sen sijaan asetuksen mukaan kaikki henkilöä yksilöllistävä tieto on henkilötietoa. Henkilötiedoksi luetaan siis mm. kotiosoite, sähköpostiosoite, ostokset ja tilaukset käyttäjätunnukset ja salasanat, IP-osoite ja maksutiedot sekä valokuvat.

 

Rekisterinpitäjä vai henkilötiedon käsittelijä

Onko verkkokauppasi rekisterinpitäjä (data controller) vai henkilötietojen käsittelijä (data processor)?

Rekisterinpitäjä on se joka ensisijaisesti kerää ja on kerännyt rekisteristä löytyviä henkilötietoja. Kyseessä voi olla esim. viranomainen, yritys, yhdistys tai säätiö. Rekisterinpitäjä on se jota varten rekisteri on luotu ja tämä on juridisessa vastuussa rekisteristä. Lain mukaan rekisterinpitäjän on laadittava rekisteriseloste jossa  on ilmoitettava esim. rekisterin käyttötarkoitus, tiedot ja niiden lähteet sekä tietosuoja ja rekisterinpitäjän yhteystiedot.

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän pyynnön mukaan, käsittelijä voi esimerkiksi olla palveluntarjoaja kuten esimerkiksi Maksuturva. Maksuturva on siis ensisijaisesti henkilötietojen käsittelijä kun taas verkkokauppa on rekisterinpitäjä. Verkkokauppa on ensisijaisesti se joka kerää henkilötietoja kun taas Maksuturva käsittelee henkilötietoja verkkokaupan pyynnöstä. GDPR asetus asettaa myös henkilötietojen käsittelijälle uusia sääntöjä. Asetuksen myötä myös henkilötietojen käsittelijä on vastuussa tietoturvasta.

 

Lataa opas verkkokaupan raportointiin


Martina FlygarMartina Flygar

Kirjoittaja on Maksuturvan markkinointi- ja viestintäkoordinaattori

Topics: GDPR

Uusinta Twitterissä