Lista asiakasyrityksistä muuttuu henkilörekisteriksi, jos se sisältää yrityksen yhteyshenkilöiden nimet ja puhelinnumerot. Samalla tavalla henkilörekisteri voi olla ravintolan pöytävarauslista.

GDPR korvaa henkilötietolain, mutta jatkossakin myös kansallinen sääntely on mahdollista. Ensi kesänä ei riitä, että henkilörekistereitä käsitellään lain mukaisesti. Sääntelyn noudattaminen on pystyttävä myös osoittamaan. Se edellyttää prosessikuvauksia ja dokumentointia henkilötietojen käsittelystä. Valtioneuvoston selvityksen mukaan uusi tietosuoja-asetus aiheuttaakin yrityksille lisää hallinnollista taakkaa ja kustannuksia.

Uudella asetuksella määritetään, millä perusteilla henkilötietoja voi käsitellä, ja mitkä ovat rekisteröityjen henkilöiden oikeudet. Käsiteltävien tietojen on oltava tarpeellisia määritettyjen käyttötarkoitusten kannalta ja rekistereiden on oltava ajantasaisia. Rekisteröidyillä on tarkastusoikeuden lisäksi myös muita oikeuksia, jotka ovat henkilötietolakia laajempia.

Tietosuojaviranomainen valvoo

Jos joku muu kuin rekisterinpitäjä käsittelee rekisterin tietoja, täytyy siitä olla kirjallinen sopimus. Sellainen tilanne on esimerkiksi silloin, kun markkinointitoimisto käyttää saamiaan tietoja yrityksen lukuun tehtävässä suoramarkkinoinnissa.

Uutta on sekin, että tietosuoja-asetuksen laiminlyönnistä voi tulla yritykselle huomattavia rahallisia sanktioita, joiden suuruus on sidoksissa yrityksen liikevaihtoon. Asetuksen noudattamista valvoo tietosuojavaltuutettu.

– Toivottavasti tietosuojaviranomainen jatkaa ohjaavaa ja neuvovaa käytäntöään myös tietosuoja-asetuksen tultua voimaan. Kaikissa yrityksissä on kuitenkin kiinnitettävä henkilötietojen käsittelyyn aiempaa tarkempaa huomiota, Matkailu- ja Ravintolapalvelut MaRan lakimies Kai Massa sanoo.Hän neuvoo asetukseen valmistauduttaessa kartoittamaan, millaisia ja kenen henkilötietoja yrityksessä käsitellään, ja ryhtymään tämän jälkeen tarpeellisiin toimiin.

– On tärkeää, että asiakkaita informoidaan avoimesti. Se voi tapahtua tietosuojaselosteella tai vastaavalla asiakirjalla, johon pääsee tutustumaan esimerkiksi yrityksen verkkosivustolla.Lisätietoja asetuksesta on oikeusministeriön oppaassa Miten valmistautua EU:n tietosuoja-asetukseen? Yritysten kannattaa seurata myös tietosuojavaltuutetun sivuja. MaRa ohjeistaa jäseniään tietosuoja-asetuksesta jäsensivuillaan.

tietosuoja.fi