PYYDÄ ILMAINEN NEUVOTTELU
On kysymys? Soita asiantuntijalle
PYYDÄ ILMAINEN NEUVOTTELU
valikko
lähellä
,

Mitä yleinen tietosuoja-asetus (GDPR) tarkoittaa yrityksellesi

Päivitetty 4

Yksityisyys on nykyään erittäin tärkeä asia, varsinkin kun maailmanlaajuisesti tapahtui valtava digitalisaatio. Tietojemme käsittelytapaa on valvottava ja säänneltävä, jotta voidaan estää tiettyjä henkilöitä käyttämästä niitä väärin tai jopa varastamasta niitä. Tiesitkö, että yksityisyys on jopa ihmisoikeus? Henkilötiedot ovat erittäin arkaluonteisia ja alttiita väärinkäytölle; Siksi useimmat maat ovat hyväksyneet lainsäädäntöä, joka säätelee tiukasti (henkilö)tietojen käyttöä ja käsittelyä. Kansallisten lakien lisäksi on myös kattavat säädökset, jotka vaikuttavat kansalliseen lainsäädäntöön. Esimerkiksi Euroopan unioni (EU) otti käyttöön yleisen tietosuoja-asetuksen (GDPR). Tämä asetus tuli voimaan toukokuussa 2018 ja koskee kaikkia organisaatioita, jotka tarjoavat tavaroita tai palveluita EU:n markkinoilla. GDPR on voimassa, vaikka yrityksesi ei sijaitsisi EU:ssa, mutta sillä on samalla asiakkaita EU:sta. Ennen kuin perehdymme GDPR-asetuksen ja sen vaatimusten yksityiskohtiin, selvitetään ensin, mitä GDPR:llä pyritään saavuttamaan ja miksi se on sinulle yrittäjänä tärkeää. Tässä artikkelissa selitämme, mikä GDPR on, miksi sinun tulee ryhtyä asianmukaisiin toimiin noudattaaksesi sitä ja miten se tehdään tehokkaimmalla mahdollisella tavalla.

Mikä GDPR oikein on?

GDPR on EU:n asetus, joka kattaa luonnollisten kansalaisten henkilötietojen suojan. Sen vuoksi se on tarkoitettu yksinomaan henkilötietojen suojaamiseen, ei ammatillisiin tai yritysten tietoihin. EU:n virallisella verkkosivustolla se kuvataan seuraavasti:

”Asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta. Tämän asetuksen korjattu teksti julkaistiin Euroopan unionin virallisessa lehdessä 23. GDPR vahvistaa kansalaisten perusoikeuksia digitaalisella aikakaudella ja edistää kauppaa selkeyttämällä yrityksiä koskevia sääntöjä digitaalisilla sisämarkkinoilla. Tämä yhteinen säännöstö on poistanut erilaisten kansallisten järjestelmien aiheuttaman pirstoutumisen ja välttänyt byrokratian. Asetus tuli voimaan 2018 ja on ollut voimassa 24 alkaen. Lisätietoa yrityksille ja yksityishenkilöille.[1]"

Se on pohjimmiltaan keino varmistaa, että henkilötietoja käsittelevät turvallisesti yritykset, joiden on käsiteltävä tietoja tarjoamiensa tavaroiden tai palveluiden luonteen vuoksi. Jos esimerkiksi tilaat tuotteen verkkosivustolta EU-kansalaisena, tietosi ovat tämän asetuksen suojaamia, koska asut EU:ssa. Kuten aiemmin lyhyesti selitimme, yrityksen ei tarvitse olla sijoittautunut EU-maahan kuuluakseen tämän asetuksen soveltamisalaan. Jokaisen EU:sta tulevien asiakkaiden kanssa tekemisissä olevien yritysten on noudatettava GDPR:ää, mikä varmistaa kaikkien EU-kansalaisten henkilötietojen suojan ja turvallisuuden. Tällä tavalla voit olla varma, että mikään yritys ei käytä tietojasi muihin kuin erikseen mainittuihin ja hahmoteltuihin tarkoituksiin.

Mikä on GDPR:n erityinen tarkoitus?

GDPR:n päätarkoitus on henkilötietojen suojaaminen. GDPR-asetus haluaa, että kaikki organisaatiot, suuret ja pienet, mukaan lukien sinun, ajattelevat käyttämiään henkilötietoja ja ovat hyvin harkittuja ja harkitsevia sen suhteen, miksi ja miten he käyttävät niitä. Pohjimmiltaan GDPR haluaa yrittäjien olevan tietoisempia asiakkaidensa, henkilöstönsä, tavarantoimittajiensa ja muiden osapuolten henkilötiedoista, joiden kanssa he tekevät liiketoimintaa. Toisin sanoen GDPR-asetuksella halutaan tehdä loppu organisaatioista, jotka keräävät henkilötietoja vain siksi, että he voivat siihen ilman riittävää syytä. Tai siksi, että he uskovat voivansa hyötyä siitä nyt tai tulevaisuudessa ilman paljon huomiota ja ilmoittamatta sinulle. Kuten alla olevista tiedoista näet, GDPR ei itse asiassa kiellä paljon. Voit edelleen osallistua sähköpostimarkkinointiin, voit edelleen mainostaa ja voit edelleen myydä ja käyttää asiakkaiden henkilötietoja, kunhan annat läpinäkyvyyden siitä, kuinka kunnioitat yksilöiden yksityisyyttä. Säännöksessä on kyse pikemminkin siitä, että annat riittävästi tietoa tavasta, jolla käytät tietoja, jotta asiakkaasi ja muut kolmannet osapuolet saavat tietoa erityisistä tavoitteistasi ja toimenpiteistäsi. Näin jokainen henkilö voi toimittaa sinulle tietonsa ainakin tietoon perustuvan suostumuksen perusteella. Riittää, kun sanotaan, että sinun on toimittava niin kuin sanot, etkä käytä tietoja muihin tarkoituksiin kuin mainitsemasi tarkoitukseen, koska tämä voi johtaa erittäin suuriin sakkoihin ja muihin seurauksiin.

Yrittäjät, joita GDPR koskee

Saatat kysyä itseltäsi: "Koskeeko GDPR myös yritystäni?" Vastaus tähän on melko yksinkertainen: jos sinulla on asiakaskunta tai henkilöstöhallinto EU:n kansalaisten kanssa, käsittelet henkilötietoja. Ja jos käsittelet henkilötietoja, sinun on noudatettava yleistä tietosuoja-asetusta (GDPR). Laki määrää, mitä henkilötiedoilla saa tehdä ja miten niitä tulee suojata. Siksi organisaatiosi kannalta on aina tärkeää, sillä kaikkien EU-henkilöiden kanssa tekemisissä olevien yritysten on noudatettava GDPR-asetusta. Kaikki ammatillinen ja henkilökohtainen vuorovaikutuksemme ovat yhä digitaalisempia, joten yksilöiden yksityisyyden huomioiminen on yksinkertaisesti oikein. Asiakkaat odottavat rakkaiden liikkeidensä käsittelevän toimittamiaan henkilötietoja huolellisesti, joten voit olla ylpeä siitä, että sinulla on GDPR:ää koskevat henkilökohtaiset sääntösi kunnossa. Ja lisäbonuksena asiakkaasi rakastavat sitä.

Kun käsittelet henkilötietoja GDPR:n mukaan, käsittelet lähes aina myös näitä tietoja. Ajattele tietojen keräämistä, tallentamista, muokkaamista, täydentämistä tai edelleen lähettämistä. Vaikka luot tai poistat tietoja nimettömästi, käsittelet niitä myös. Tiedot ovat henkilötietoja, jos ne koskevat ihmisiä, jotka voit erottaa kaikista muista ihmisistä. Tämä on tunnistetun henkilön määritelmä, jota käsittelemme yksityiskohtaisesti myöhemmin tässä artikkelissa. Olet esimerkiksi tunnistanut henkilön, jos tiedät hänen etu- ja sukunimensä, ja nämä tiedot vastaavat myös hänen virallisesti myöntämänsä henkilöllisyystodistuksen tietoja. Tähän prosessiin osallistuvana yksilönä voit hallita organisaatioille antamiasi henkilötietoja. Ensinnäkin GDPR antaa sinulle oikeuden saada tietoa tietyistä henkilötiedoista, joita organisaatiot käyttävät ja miksi. Samalla sinulla on oikeus saada tietoa siitä, kuinka nämä organisaatiot takaavat yksityisyytesi. Lisäksi voit vastustaa tietojesi käyttöä, pyytää organisaatiota poistamaan tietosi tai jopa pyytää tietojesi siirtämistä kilpailevaan palveluun.[2] Pohjimmiltaan siis henkilö, jolle tiedot kuuluvat, valitsee, mitä teet tiedoilla. Tästä syystä sinun on organisaationa oltava tarkka antamiesi tietojen suhteen hankkimiesi henkilötietojen tarkasta käytöstä, sillä henkilölle, jolle tiedot kuuluvat, on tiedotettava syistä, joita hänen tietojaan ylipäätään käsitellään. Vasta sitten henkilö voi päättää, käytätkö tietoja oikein.

Mitä tietoja tarkalleen ottaen on mukana?

Henkilötiedoilla on tärkein rooli GDPR:ssä. Yksilöiden yksityisyyden suojaaminen on lähtökohta. Jos luemme GDPR-ohjeet huolellisesti, voimme jakaa tiedot kolmeen luokkaan. Ensimmäinen luokka koskee erityisesti henkilötietoja. Tämä voidaan luokitella kaikkiin tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskeviksi tiedoiksi. Esimerkiksi hänen nimensä ja osoitetiedot, sähköpostiosoite, IP-osoite, syntymäaika, nykyinen sijainti, mutta myös laitetunnukset. Nämä henkilötiedot ovat kaikkia tietoja, joista luonnollinen henkilö voidaan tunnistaa. Huomaa, että tätä käsitettä tulkitaan hyvin laajasti. Se ei todellakaan rajoitu sukunimeen, etunimeen, syntymäaikaan tai osoitteeseen. Tietyt tiedot - joilla ei ensi silmäyksellä ole mitään tekemistä henkilötietojen kanssa - voivat silti kuulua GDPR:n piiriin lisäämällä tiettyjä tietoja. Siksi on yleisesti hyväksyttyä, että jopa (dynaamisia) IP-osoitteita, yksilöllisiä numeroyhdistelmiä, joilla tietokoneet kommunikoivat keskenään Internetissä, voidaan pitää henkilötietoina. Tämä on tietysti otettava huomioon kussakin tapauksessa, mutta ota huomioon käsittelemäsi tiedot.

Toinen luokka koskee ns. pseudo-anonyymejä tietoja: henkilötietoja, jotka on käsitelty siten, että tietoja ei voida enää jäljittää ilman lisätietojen käyttöä, mutta ne tekevät kuitenkin henkilöstä ainutlaatuisen. Esimerkiksi salattu sähköpostiosoite, käyttäjätunnus tai asiakasnumero, joka on linkitetty vain muihin tietoihin hyvin suojatun sisäisen tietokannan kautta. Tämä kuuluu myös GDPR:n piiriin. Kolmas luokka koostuu täysin anonyymeistä tiedoista: tiedoista, joista kaikki jäljittämisen mahdollistavat henkilötiedot on poistettu. Käytännössä tätä on usein vaikea todistaa, elleivät henkilötiedot ole alun perin jäljitettävissä. Tämä ei siis kuulu GDPR:n soveltamisalaan.

Kuka on pätevä tunnistettavissa olevaksi henkilöksi?

Joskus voi olla hieman vaikeaa määritellä, kuka kuuluu "tunnistettavissa olevan henkilön" piiriin. Varsinkin kun Internetissä on monia väärennettyjä profiileja, kuten ihmisiä, joilla on väärennetyt sosiaalisen median tilit. Yleisesti ottaen voit olettaa, että henkilö on tunnistettavissa, kun voit jäljittää hänen henkilötietonsa ilman liiallista vaivaa. Ajattele esimerkiksi asiakasnumeroita, jotka voit linkittää tilitietoihin. Tai puhelinnumero, jonka voit helposti jäljittää ja siten selvittää, kenelle se kuuluu. Nämä kaikki ovat henkilötietoja. Jos sinulla näyttää olevan ongelmia jonkun tunnistamisessa, sinun on tehtävä hieman enemmän tutkimusta. Voit pyytää henkilöltä voimassa olevan henkilöllisyystodistuksen varmistaaksesi, että tiedät kenen kanssa olet tekemisissä. Voit myös etsiä tarkastettuja tietokantoja saadaksesi tietoja jonkun henkilöllisyydestä, kuten digitaalisesta puhelinluettelosta (joka on edelleen olemassa). Jos olet epävarma, onko asiakas tai muu kolmas osapuoli tunnistettavissa, yritä ottaa yhteyttä kyseiseen asiakkaaseen ja pyytää henkilötietoja. Jos henkilö ei vastaa kyselyysi, on yleensä parasta poistaa kaikki tietosi ja hylätä saamasi tiedot. On mahdollista, että joku käyttää väärennettyä identiteettiä. GDPR pyrkii suojelemaan yksilöitä, mutta sinun on myös yrityksenä ryhdyttävä asianmukaisiin toimiin suojautuaksesi petoksilta. Valitettavasti ihmiset voivat käyttää väärennettyjä identiteettejä, joten on tärkeää olla valppaana ihmisten antaman tiedon suhteen. Kun joku käyttää jonkun toisen identiteettiä, sillä voi olla vakavia seurauksia sinulle yrityksenä. Due diligence on aina suositeltavaa.

Lailliset syyt käyttää kolmannen osapuolen tietoja

GDPR:n pääkomponentti on sääntö, jonka mukaan sinun tulee käyttää kolmannen osapuolen tietoja vain tiettyihin ja laillisiin tarkoituksiin. Tietojen minimointivaatimuksen pohjalta GDPR määrää, että voit käyttää henkilötietoja vain ilmoitettuun ja dokumentoituun liiketoiminnalliseen tarkoitukseen, jota tukee jokin kuudesta käytettävissä olevasta GDPR-oikeudellisesta perustasta. Toisin sanoen henkilötietojesi käyttö on rajoitettu ilmoitettuun tarkoitukseen ja lailliseen perustaan. Kaikki suorittamasi henkilötietojen käsittely on dokumentoitava GDPR-rekisteriin sekä sen tarkoitus ja oikeusperusta. Tämä dokumentaatio pakottaa sinut pohtimaan jokaista käsittelytoimintaa ja harkitsemaan huolellisesti sen tarkoitusta ja laillista perustaa. GDPR mahdollistaa kuusi oikeusperustaa, jotka kuvataan alla.

  1. Sopimusvelvoitteet: Sopimusta solmittaessa henkilötietoja on käsiteltävä. Henkilötietoja voidaan käyttää myös sopimusta tehtäessä.
  2. Suostumus: Käyttäjä antaa nimenomaisen luvan henkilötietojensa käyttöön tai evästeiden asettamiseen.
  3. Oikeutettu etu: Henkilötietojen käsittely on välttämätöntä rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseksi. Tasapaino on tässä tapauksessa tärkeä, se ei saa loukata rekisteröidyn henkilökohtaisia ​​vapauksia.
  4. Tärkeät edut: Tietoja voidaan käsitellä, kun ilmenee elämän tai kuoleman tilanteita.
  5. Lakisääteiset velvoitteet: Henkilötietoja tulee käsitellä lain mukaisesti.
  6. Yleiset edut: Tämä koskee pääasiassa hallituksia ja paikallisviranomaisia, kuten yleiseen järjestykseen ja turvallisuuteen sekä yleiseen suojeluun liittyvät riskit.

Nämä ovat oikeusperustat, joiden avulla voit tallentaa ja käsitellä henkilötietoja. Usein jotkut näistä syistä voivat olla päällekkäisiä. Tämä ei yleensä ole ongelma, kunhan voit selittää ja todistaa, että oikeusperusta on todella olemassa. Jos sinulla ei ole laillista perustetta henkilötietojen tallentamiseen ja käsittelyyn, saatat joutua vaikeuksiin. Muista, että GDPR pitää mielessä yksilöiden yksityisyyden suoja, minkä vuoksi oikeusperustat ovat vain rajalliset. Tiedä ja käytä niitä, ja sinun tulee olla turvassa organisaationa tai yrityksenä.

Tiedot, joita GDPR koskee

GDPR:n ytimessä koskee tietojen käsittelyä, joka on joko täysin tai ainakin osittain automaattista. Tämä tarkoittaa tietojenkäsittelyä esimerkiksi tietokannan tai tietokoneen kautta. Mutta se koskee myös fyysiseen tiedostoon sisältyviä henkilötietoja, kuten arkistoon tallennettuja tiedostoja. Mutta näiden tiedostojen on oltava merkittäviä siinä mielessä, että mukana olevat tiedot liittyvät johonkin tilaukseen, tiedostoon tai liiketoimintaan. Jos omistat käsinkirjoitetun muistiinpanon, jossa on vain nimi, se ei ole GDPR:n mukaista dataa. Tämä käsinkirjoitettu muistiinpano voi olla sinusta kiinnostunutta tai muuten henkilökohtaista. Tavallisia tapoja käsitellä tietoja yrityksissä ovat tilausten hallinta, asiakastietokanta, toimittajatietokanta, henkilöstöhallinto ja tietysti suoramarkkinointi, kuten uutiskirjeet ja suorapostitukset. Henkilöä, jonka henkilötietoja käsittelet, kutsutaan "rekisteröidyksi". Tämä voi olla asiakas, uutiskirjeen tilaaja, työntekijä tai yhteyshenkilö. Yrityksiä koskevia tietoja ei pidetä henkilötiedoina, kun taas yksityisyrityksiä tai ammatinharjoittajia koskevia tietoja katsotaan.[3]

Verkkomarkkinointia koskevat säännöt

GDPR:llä on merkittävä vaikutus verkkomarkkinointiin. On joitain perussääntöjä, joita sinun on noudatettava, kuten aina tarjottava kieltäytymisvaihtoehto sähköpostimarkkinoinnin tapauksessa. Lisäksi tarjoajan tulee pystyä ilmaisemaan ja mukauttamaan toiveensa. Tämä tarkoittaa, että sinun on säädettävä sähköposteja, jos et tällä hetkellä tarjoa näitä vaihtoehtoja. Monet organisaatiot käyttävät myös uudelleenkohdistamismekanismeja. Tämä voidaan saavuttaa esimerkiksi Facebookin tai Google Adsin kautta, mutta muista, että sinun on pyydettävä nimenomainen lupa tähän. Sinulla on todennäköisesti jo tietosuoja- ja evästekäytäntö verkkosivustollasi. Näiden sääntöjen myötä myös näitä oikeudellisia osia on tarkistettava. GDPR-vaatimusten mukaan näiden asiakirjojen on oltava kattavampia ja läpinäkyvämpiä. Näihin säätöihin voidaan usein käyttää mallitekstejä, jotka ovat vapaasti saatavilla Internetissä. Tietosuoja- ja evästekäytäntöjesi lakisääteisten muutosten lisäksi on nimettävä tietojenkäsittelyvastaava. Tämä henkilö on vastuussa tietojen käsittelystä ja varmistaa, että organisaatio on ja pysyy GDPR:n mukaisena.

Vinkkejä ja tapoja noudattaa GDPR:ää

Tärkeintä on tietysti se, että sinä yrittäjänä noudatat laillisia määräyksiä ja sääntöjä, kuten GDPR:ää. Onneksi on olemassa tapoja noudattaa GDPR:ää mahdollisimman pienellä vaivalla. Kuten jo keskustelimme, GDPR ei sinänsä kiellä mitään, mutta se asettaa tiukat ohjeet tavalle, jolla henkilötietoja voidaan käsitellä. Jos et noudata erityisiä ohjeita ja käytä tietoja syistä, joita ei mainita GDPR:ssä tai jää sen soveltamisalan ulkopuolelle, sinulla on sakkoja ja vielä pahempia seurauksia. Tämän lisäksi muista, että kaikki osapuolet, joiden kanssa työskentelet, kunnioittavat sinua yrityksen omistajana, kun kunnioitat myös heidän tietojaan ja yksityisyyttään. Näin saat positiivisen ja luotettavan kuvan, joka on aidosti hyvä liiketoiminnalle. Keskustelemme nyt joistakin vinkeistä, jotka tekevät GDPR:n noudattamisesta helpon ja tehokkaan prosessin.

1. Kartoita, mitä henkilötietoja käsittelet ensisijaisesti

Ensimmäinen asia olisi tutkia, mitä tarkat tiedot tarvitset ja mihin tarkoitukseen. Mitä tietoja aiot kerätä? Kuinka paljon dataa tarvitset saavuttaaksesi tavoitteesi? Vain nimi ja sähköpostiosoite, vai tarvitsetko myös lisätietoja, kuten fyysisen osoitteen ja puhelinnumeron? Sinun on myös luotava käsittelyrekisteri, jossa luettelet, mitä tietoja säilytät, mistä ne ovat peräisin ja mille tahoille tiedot jaat. Ota myös huomioon säilytysajat, sillä GDPR:n mukaan sinun on oltava avoin tässä asiassa.

2. Aseta yksityisyys etusijalle yrityksellesi yleensä

Yksityisyys on erittäin tärkeä aihe, ja sellaisena se pysyy (epä)näkemättömässäkin tulevaisuudessa, sillä teknologia ja digitalisaatio vain edistyvät ja lisääntyvät. Siksi on erittäin tärkeää, että sinä yrittäjänä tunnet itsesi kaikista tarvittavista tietosuojasäännöistä ja asetat ne etusijalle liiketoimintaa harjoittaessa. Tämä ei ainoastaan ​​varmista, että noudatat kaikkia sovellettavia lakeja, vaan se myös rakentaa yrityksellesi luottamusta. Uppoudu siis yrittäjänä GDPR-sääntöihin tai kysy muuten neuvoa lakiasiantuntijoilta, jotta voit olla varma, että harjoitat liiketoimintaa laillisesti yksityisyyden suhteen. Sinun on selvitettävä, mitä sääntöjä yrityksesi on noudatettava. Alankomaiden viranomaiset voivat myös auttaa sinua matkallasi tarjoamalla paljon tietoa, vinkkejä ja työkaluja, joita voit käyttää päivittäin.

3. Tunnista oikea oikeusperusta henkilötietojen käsittelylle

Kuten jo keskustelimme, on olemassa vain kuusi virallista oikeusperustaa, jotka sallivat henkilötietojen käsittelyn ja tallentamisen GDPR:n mukaisesti. Jos aiot käyttää tietoja, on erittäin tärkeää, että tiedät, mikä oikeusperusta käyttösi on taustalla. Ihannetapauksessa sinun tulisi dokumentoida yrityksesi kanssa tekemäsi erilaiset tietojenkäsittelyt esimerkiksi tietosuojaselosteeseesi, jotta asiakkaat ja kolmannet osapuolet voivat lukea ja hyväksyä nämä tiedot. Määritä sitten oikea oikeusperusta jokaiselle toiminnalle erikseen. Jos sinun on käsiteltävä henkilötietoja uusista motiiveista tai syistä, muista lisätä myös tämä toiminto ennen aloittamista.

4. Yritä minimoida tiedonkäyttösi mahdollisimman paljon

Sinun on organisaationa varmistettava, että keräät vain vähimmäistietoelementtejä tietyn tavoitteen saavuttamiseksi. Jos esimerkiksi myyt tavaroita tai palveluita verkossa, käyttäjien tarvitsee yleensä vain antaa sinulle sähköpostiosoite ja salasana, jotta rekisteröintiprosessi sujuisi sujuvasti. Asiakkailta ei tarvitse kysyä heidän sukupuoltaan, syntymäpaikkaansa tai edes osoitetta osana rekisteröitymistä. Vasta kun käyttäjät jatkavat tuotteen ostamista ja haluavat sen toimitettavan tiettyyn osoitteeseen, on tarpeen kysyä lisätietoja. Sinulla on sitten oikeus pyytää käyttäjän osoitetta tässä vaiheessa, koska se on olennainen tieto kaikissa toimitusprosesseissa. Kerätyn tiedon määrän minimoiminen minimoi mahdollisten yksityisyyteen tai turvallisuuteen liittyvien tapahtumien vaikutukset. Tietojen minimointi on GDPR:n ydinvaatimus ja erittäin tehokas käyttäjien yksityisyyden suojaamisessa, koska käsittelet vain tarvitsemasi tiedot etkä mitään muuta.

5. Tunne niiden ihmisten oikeudet, joiden tietoja käsittelet

Tärkeä osa GDPR:n tuntemista on saada tietoa asiakkaidesi ja muiden kolmansien osapuolten oikeuksista, joiden tietoja tallennat ja käsittelet. Vain tuntemalla heidän oikeutensa voit suojata itsesi ja välttää sakot. On totta, että GDPR on tuonut käyttöön useita tärkeitä oikeuksia yksilöille. Kuten oikeus tarkastaa henkilötietonsa, oikeus tietojen oikaisemiseen tai poistamiseen sekä oikeus vastustaa tietojensa käsittelyä. Käsittelemme näitä oikeuksia lyhyesti alla.

  • Oikeus tutustua asiaan

Ensimmäinen pääsyoikeus tarkoittaa, että henkilöllä on oikeus nähdä ja tutustua itseään käsitteleviin henkilötietoihin. Jos asiakas pyytää tätä, olet siksi velvollinen toimittamaan sen hänelle.

  • Oikeus oikaisuun

Oikaisu on sama kuin korjaus. Oikeus oikaisuun antaa siis yksilölle oikeuden tehdä muutoksia ja lisäyksiä henkilötietoihin, joita organisaatio käsittelee heistä varmistaakseen näiden tietojen asianmukaisen käsittelyn.

  • Oikeus unohtaa

Oikeus tulla unohdetuksi tarkoittaa juuri sitä, mitä siinä sanotaan: oikeutta tulla unohdetuksi, kun asiakas sitä nimenomaan pyytää. Organisaatio on tällöin velvollinen poistamaan henkilötietonsa. Huomaa, että jos asiaan liittyy laillisia velvoitteita, henkilö ei voi vedota tähän oikeuteen.

  • Oikeus rajoittaa käsittelyä

Tämä oikeus antaa rekisteröidylle mahdollisuuden rajoittaa henkilötietojensa käsittelyä, mikä tarkoittaa, että hän voi pyytää, että hänelle käsitellään vähemmän tietoja. Esimerkiksi, jos yritys pyytää enemmän tietoja kuin on ehdottoman välttämätöntä prosessin kannalta.

  • Oikeus tietojen siirrettävyyteen

Tämä oikeus tarkoittaa, että henkilöllä on oikeus siirtää henkilötietonsa toiselle organisaatiolle. Jos esimerkiksi joku menee kilpailijan luo tai työntekijä menee töihin toiseen yritykseen ja siirrät tietoja tälle yritykselle,

  • Oikeus vastustaa

Vastustusoikeus tarkoittaa, että henkilöllä on oikeus vastustaa henkilötietojensa käsittelyä esimerkiksi silloin, kun tietoja käytetään markkinointitarkoituksiin. He voivat käyttää tätä oikeutta erityisistä henkilökohtaisista syistä.

  • Oikeus olla joutumatta automatisoidun päätöksenteon kohteeksi

Yksilöillä on oikeus olla joutumatta täysin automatisoidun päätöksenteon kohteeksi, jolla voi olla hänelle merkittäviä seurauksia tai jotka voivat aiheuttaa oikeudellisia seurauksia ihmisen puuttumisesta. Esimerkki automaattisesta käsittelystä on luottoluokitusjärjestelmä, joka määrittää täysin automaattisesti, oletko oikeutettu lainaan.

  • Oikeus saada tietoa

Tämä tarkoittaa, että organisaation on annettava yksilöille selkeät tiedot heidän henkilötietojensa keräämisestä ja käsittelystä, kun henkilö sitä pyytää. Organisaation tulee GDPR-periaatteiden mukaisesti pystyä ilmoittamaan, mitä tietoja se käsittelee ja miksi.

Tutustumalla näihin oikeuksiin voit paremmin ennakoida, milloin asiakkaat ja kolmannet osapuolet saattavat tiedustella käsittelemistäsi tiedoista. Sinun on silloin paljon helpompi velvoittaa ja lähettää heille heidän pyytämänsä tiedot, koska olit valmistautunut. Voit säästää paljon aikaa, kun olet aina valmis tiedusteluihin ja tiedot käsillä ja valmiina esimerkiksi investoimalla hyvään asiakashallintajärjestelmään, jonka avulla voit noutaa tarvittavat tiedot nopeasti ja tehokkaasti.

Mitä tapahtuu, jos et noudata?

Käsittelimme tätä aihetta lyhyesti aiemminkin: GDPR-asetuksen noudattamatta jättämisellä on seurauksia. Muista jälleen, että sinun ei tarvitse olla EU:ssa sijaitsevaa yritystä noudattaaksesi vaatimuksia. Jos sinulla on edes yksi EU:ssa sijaitseva asiakas, jonka tietoja käsittelet, kuulut GDPR:n piiriin. Sakkoja voidaan määrätä kahdella tasolla. Kunkin maan toimivaltainen tietosuojaviranomainen voi määrätä tehokkaita sakkoja kahdella tasolla. Tämä taso määräytyy tietyn rikkomuksen perusteella. Tason yksi sakkoja ovat esimerkiksi rikkomukset, kuten alaikäisten henkilötietojen käsittely ilman vanhemman suostumusta, tietoturvaloukkauksesta ilmoittamatta jättäminen ja yhteistyö sellaisen käsittelijän kanssa, joka ei anna riittäviä takeita vaaditusta tietoturvasta. Nämä sakot voivat olla jopa 10 miljoonaa euroa tai, jos kyseessä on yritys, enintään 2 % edellisen tilikauden maailmanlaajuisesta vuosiliikevaihdosta.

Taso kaksi pätee, jos teet perusrikoksia. Esimerkiksi tietojenkäsittelyperiaatteiden noudattamatta jättäminen tai jos organisaatio ei pysty osoittamaan, että rekisteröity on todella antanut suostumuksensa tietojen käsittelyyn. Jos kuulut tason kaksi sakkojen piiriin, sinua uhkaa sakko enintään 20 miljoonaa euroa eli enintään 4 % yrityksesi globaalista liikevaihdosta. Huomaa, että nämä summat on maksimoitu ja ne riippuvat muun muassa henkilökohtaisesta tilanteestasi ja yrityksesi vuosituloista. Sakkojen lisäksi kansallinen tietosuojaviranomainen voi määrätä myös muita seuraamuksia. Tämä voi vaihdella varoituksista ja varoituksista tietojenkäsittelyn väliaikaiseen (ja joskus jopa pysyvään) lopettamiseen. Tällöin et voi tilapäisesti tai pysyvästi enää käsitellä henkilötietojasi organisaatiosi kautta. Esimerkiksi siksi, että olet toistuvasti syyllistynyt rikoksiin. Tämä tekee käytännössä mahdottomaksi harjoittaa liiketoimintaa. Toinen mahdollinen GDPR-sanktio on vahingonkorvausten maksaminen käyttäjille, jotka tekevät perustellun valituksen. Lyhyesti sanottuna, ole valppaana yksilöiden yksityisyyden ja henkilötietojen suhteen välttääksesi tällaisten rajujen seurausten.

Haluatko tietää, oletko GDPR-yhteensopiva?

Jos suunnittelet yrityksen perustamista Alankomaissa, sinun on noudatettava GDPR:ää. Jos harjoitat liiketoimintaa hollantilaisten tai missä tahansa muussa EU-maassa olevien asiakkaiden kanssa, sinun on myös noudatettava tätä EU-asetusta. Jos et ole varma, kuulutko GDPR:n piiriin, voit aina ottaa yhteyttä Intercompany Solutions neuvoja aiheesta. Voimme auttaa sinua selvittämään, onko sinulla voimassa olevat sisäiset määräykset ja prosessit ja ovatko kolmansille osapuolille antamasi tiedot riittävät. Joskus voi olla erittäin helppoa jättää huomiotta tärkeät tiedot, jotka voivat kuitenkin saada sinut vaikeuksiin lain kanssa. Muista: yksityisyys on erittäin tärkeä aihe, joten on tärkeää, että olet aina ajan tasalla viimeisimmistä säännöksistä ja uutisista. Jos sinulla on kysyttävää tästä aiheesta tai haluat lisätietoja Alankomaissa sijaitsevista liikelaitoksista, ota rohkeasti yhteyttä Intercompany Solutions milloin tahansa. Autamme mielellämme kaikissa kysymyksissäsi tai tarjoamme sinulle selkeän tarjouksen.

Lähteet:

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

Tarvitsetko lisätietoja hollantilaisyritykseltä BV?

OTA YHTEYS EXPERT
Omistettu tukemaan yrittäjiä aloittavassa ja kasvavassa liiketoiminnassa Alankomaissa.

Jonkin jäsen

© Copyright 2023 Intercompany Solutions | Käyttöehdot | Käyttöehdot | Vastuun kieltäminen | Tietosuojakäytännön | Evästekäytäntö | Sivukartta

menuchevron-alasristi ympyrä