EU:n tietosuoja-asetus (GDPR) ja sen pohjalta annetut säädökset ja viranomaisohjeet määrittävät, mitä henkilötiedot ovat, millä perusteella ja laajuudella henkilötietoja saa käsitellä, miten käsittelystä tulee informoida rekisteröityä ym. Henkilötietojen käsittely tarkoittaa henkilötietojen vastaanottamista ja tallentamista, ja tallennetuista henkilötiedoista muodostuu henkilötietorekisteri.

Pienyrityksen kohdalla henkilötietojen käsittelyperuste on lähtökohtaisesti sopimus, ja yritys saa tallentaa asiakassuhteen hoitamiseksi tarpeellisia henkilötietoja. Yrityksellä on hyvä olla jo nettisivuillaan tietosuojaseloste, missä kerrotaan rekisterinpitäjä, henkilötietojen käsittelyn peruste, käyttötarkoitus ja muut lakisääteiset tiedot. Vaihtoehtoisesti selosteen voi toimittaa asiakkaalle tai yhteistyökumppanille henkilötietojen keräämisen tai vastaanottamisen yhteydessä.

Tyypillisesti henkilötietorekisteri koostuu asiakkaiden yhteystiedoista, eikä sisällä arkaluontoisia tietoja kuten terveys- tai varallisuustietoja. Asiakasrekisteri on kuitenkin jo itsessään henkilötietorekisteri ja sitä saa ylläpitää vain laissa määritellyllä perusteella ja laajuudessa.

Tarvitsetko apua lakiasioissa?