Yritystoiminnassa käsitellään päivittäin erilaisia henkilö- ja asiakastietoja, joiden lainmukaisesta säilytyksestä ja suojaamisesta on huolehdittava tarkasti. EU:n yleinen tietosuoja-asetus (GDPR) sekä sitä täydentävä kansallinen tietosuojalaki määräävät säännökset rekisteröityjen oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Säännösten tarkoituksena on taata korkeatasoinen ja johdonmukainen suoja henkilötietojen käsittelyssä.

Säilytysvelvollisuus vs. tietojen poistaminen

Lainsäädännössä on useita velvoitteita, jotka vaikuttavat siihen, kuinka kauan tietoja on säilytettävä tai milloin ne tulee hävittää:

  • Lakisääteinen säilytysvelvollisuus: Eräillä tiedoilla on lakisääteiset määräajat, jotka voivat ohittaa poistovaatimukset. Esimerkiksi palkkojen ja verovapaiden matkakustannusten säilytysvelvollisuuden vuoksi palkkakirjanpito on säilytettävä kymmenen vuotta tilikauden päättymisestä.
  • Oikaisu- ja poistovelvollisuus: Mikäli ohjelma sisältää henkilötietoja, rekisterinpitäjän on huolehdittava tietosuojaperiaatteiden noudattamisesta käsittelyn kaikissa vaiheissa. Rekisterinpitäjällä on velvollisuus oikaista virheelliset tiedot sekä poistaa tarpeettomat tai vanhentuneet henkilötiedot.
  • Käsittelyaika: Henkilötietojen oikaisu- tai poistopyynnön vastaanottamisen jälkeen korjauksiin tai poistamiseen on ryhdyttävä viipymättä, kuitenkin viimeistään kuukauden kuluessa pyynnöstä.

Keskeiset tietosuojaperiaatteet

Tietosuojaperiaatteiden mukaisesti henkilötietoja on:

  • Käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
  • Käsiteltävä luottamuksellisesti ja turvallisesti.
  • Kerättävä ja käytettävä vain tiettyä, nimenomaista ja laillista tarkoitusta varten.
  • Kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden.
  • Päivitettävä aina tarvittaessa – epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä.
  • Säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojen käsittelyn tarkoitusten toteuttamista varten.

Toimenpiteet yrityksessä

Yrityksessä on suositeltavaa tehdä kattava kartoitus henkilötietojen nykytilasta. Tämän lisäksi kannattaa laatia selkeät suunnitelmat ja käytännöt henkilötietojen keräämisestä, päivittämisestä, säilyttämisestä ja poistamisesta.

Yrityksen on kyettävä osoittamaan, että se noudattaa rekisterinpitäjän velvollisuuksia tietosuojalainsäädännön mukaisesti. On erityisen tärkeää varmistaa, että henkilötietoja kysyvä tai niiden poistoa pyytävä taho on todella oikeutettu tekemään kyseisen pyynnön ja saamaan tiedot. Yrityksessä on hyvä nimettyä henkilö, joka tuntee tietosuojalain vaatimukset henkilötietojen käsittelyn osalta ja vastaa niistä.



Oliko tästä vastauksesta apua? Kyllä Ei

Send feedback
Pahoittelut, että emme voineet auttaa. Anna palautetta, jotta voimme parantaa tätä artikkelia.