Hyvä Jäsenemme,

EU:n tietosuoja-asetuksen toimeenpano - (GDPR = General Data Protection Regulation) astuu voimaan 25.5.2018

  • Rekisteröity on henkilö, jonka henkilötietoja käsitellään.

  • Henkilötieto: kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto (henkilö voidaan suoraan tai epäsuoraan tunnistaa erilaisten tunnisteiden avulla)

  • Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lain vaatimusten mukaisesti

  • Tietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta

EU:n tietosuoja-asetuksen edellyttämät toimenpiteet tulee olla tehtynä viimeistään 25.5.2018.  Tietosuoja-asetus vastaa monin paikoin nykyistä henkilötietolakiamme. Tietosuoja-asetukseen sisältyy tietosuojan kannalta kuitenkin myös uutta asiaa.

Tietosuoja-asetus on suoraan sovellettavaa oikeutta Suomessa. Sitä ei muunneta erikseen kansalliseksi laiksi. Tietosuoja-asetus jättää jonkin verran kansallista liikkumavaraa. Tätä liikkumavaraa varten säädetään uusi tietosuojalaki. Nyt voimassa oleva henkilötietolaki kumotaan tietosuoja-asetuksen tullessa sovellettavaksi.

Miksi tarvitaan uutta tietosuojaa? Uuden lainsäädännön tavoitteena on parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia, vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin, yhtenäistää tietosuojasääntelyä kaikissa EU-maissa ja edistää digitaalisten sisämarkkinoiden kehittymistä.

EU-Säännöstö varmistaa ihmisten oikeuden henkilötietojen suojaan ja että nykyisenä sosiaalisen median ja räjähdysmäisesti kasvaneen sähköisen median aikana henkilötietojen räjähdysmäinen kasvu tapahtuisi suojaten henkilötietoja paremmin. Uudistuksen myötä on helpompi kontrolloida omia henkilötietoja. Tiedonsaanti helpottuu, on oikeus siirtää omat tietonsa tietojärjestelmästä toiseen, sisäänrakennettu ja oletusarvoinen tietosuoja, oikeus tulla unohdetuksi, oikeus saada tieto tietoturvaloukkauksesta.

Tietosuoja-asetus asettaa varsin ankarat sanktiot asetuksen rikkomisesta. Asetuksen säännösten rikkomisesta voidaan määrätä hallinnollinen sakko, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Tietosuojavaltuutetun toimisto tulee muuttumaan tietosuoja-asetuksen noudattamista valvovaksi valvontaviranomaiseksi.

Tietosuojaselvitys tulee tehdä kaikista rekistereistä joita yritys, ammatinharjoittaja tai yhdistys pitää. Näitä ovat mm. asiakas/potilasrekisteri, alihankkijoista pidettävä rekisteri, palkanmaksu ja pankkitietorekisteri ym.

Myös tieteellistä tutkimusta varten on tehtävä erillinen tietosuojarekisteri ja tietosuojaselvitys



Yksin toimiva ammatinharjoittaja (esim. omissa tiloissaan tai itsenäisenä yrittäjänä esim. hyvinvointikeskuksessa.)

Tässä muodossa toimiessasi riittää, että huomioit yleisen ohjeen mukaiset asiat. Sinun tulee tehdä tietosuojaselvitys ja se on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään. Tietosuojaselvitys on hyvä laittaa esille nettisivuille ja myös näkyvälle paikalle vastaanotolle, josta potilas sen voi tarvittaessa lukea tai vielä pitää siitä erillinen printattu lukuversio.

Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. EU:n tietosuojaryhmän linjauksen mukaisesti sinun ei tarvitse nimittää tietosuojavastaavaa tai tehdä vaikutustenarviointia jos toimit omalla vastaanotollasi.

Potilastiedot ovat salassa pidettäviä potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 §:n mukaisesti, eikä niitä saa luovuttaa sivulliselle ilman potilaan suostumusta tai luovuttamiseen oikeuttavaa lain säännöstä. Myös potilaan omaiset ovat sivullisia, eikä heillekään yleensä voida luovuttaa omaisten potilastietoja ilman potilaan suostumusta.

Tietosuojan vuoksi tarvitset aina potilaan allekirjoituksen ja perustiedot nimi, henkilötunnus, osoite, puhelin, sähköposti, alaikäiseltä huoltajan allekirjoitus, ja selvitys mihin potilas antaa hyväksynnän.

Asiakastietojen ja homeopaatille annettujen tietojen käsittelemiseen, säilyttämiseen

On myös hyvä olla erillinen allekirjoitettava suostumus tietojen siirrosta, konsultoinnista lääkärin, terapeutin, homeopaatin kanssa jonka voi tarvittaessa allekirjoittaa.

Hyvinvointikeskus - lääkärikeskus - tms. terapiakeskus

tekee tietosuojaselvityksen



Seuraavassa on lista huomioitavista asioista tietosuojaselvityksessä.



  1. Kirjaa ylös mitä henkilötietoja (asiakkaat, oma henkilökunta, potentiaalit asiakkaat, yhteistyökumppanit) yrityksessä käsitellään

  • Miten niitä käsitellään

  • Mistä tietoja kerätään (henkilöltä itseltään, vai muualta, mistä?)

  • Mihin tietoja tallennetaan? (huomioi myös ulkopuoliset palveluntarjoajat It, taloushallinto)

  • Kuka käsittelee

  • Henkilötietojen käsittelyä on mm: henkilötietojen (esim. nimi, puh, osoite), kerääminen tallentaminen, järjestäminen ja jäsentämien, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, tietojen luovuttaminen siirtämällä, levittämien tai muutoin asettaminen saataville, tietojen yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen ja hävittäminen



  1. Selvitä, millä perusteella henkilötietoja käsitellään

  • Asiakassuhteen tai työsuhdeasioiden hoitaminen, markkinointi tai mainostaminen

  • Rekisteröidyn suostumus, sopimus, lainsäädäntö, rekisteröidyn suojaaminen

  • Tiedot kerätään tiettyä nimenomaista tarkoitusta varten ja tietoa saa käyttää vain tähän tarkoitukseen



  1. Vain tarpeellisia tietoja saa kerätä, tietojen minimointi

  • Vain tarpeellinen tieto määriteltyä käyttötarkoitusta varten

  • Asetus ei salli, että tieto kerätään "varmuuden vuoksi"

  • Sähköpostimarkkinointi, vain rekisteröity email

  • Segmentointia varten voidaan tarvita tietoa asiakkaan mielenkiinnon kohteista



  1. Tiedon oikeellisuus

  • Tietoja on päivitettävä tarvittaessa, virheellisten henkilötietojen oikaiseminen tai poistaminen viipymättä



  1. Tietojen säilytyksen rajoittaminen

• Kun käyttötarkoitus on päättynyt, tiedot tulee tuhota

• Tiedon säilytysaika tulee rajata minimiin (aikarajojen perustaminen)



  1. Rekisteröidyn oikeudet

  • Henkilötietojen käsittely on laillista, läpinäkyvää ja asianmukaista

  • Rekisteröidyllä on oikeus tarkastaa häntä koskevat tiedot sekä pyytää virheellisten tietojen korjaamista tai poistamista

  • Rekisteröidyn oikeuden tulla unohdetuksi / kaikki tiedot poistetuiksi tai saada tietonsa siirretyksi toiselle palveluntarjoajalle (huom. esim. lain vaatimukset kirjanpidon säilytysajoista)

  • Lapsi tarvitsee huoltajan tai muun aikuisen suostumuksen tai valtuutuksen palveluiden

käyttöön, Suomessa ikärajaa ei ole määritelty



  1. Tietoturva

  • Tietoturva tarkoittaa tietoliikenteen, laitteistojen, ohjelmistojen ja tietoaineistojen toiminnan turvallisuutta

    • Manuaalinen materiaali lukkojen taakse

    • Varmuuskopiot

    • Varkaudet ja unohtamiset (muistiinpanot, muistitikut, puhelin, tietokone)

    • Palomuurit, virustorjuntaohjelmat, ohjelmien automaattinen päivittäminen

    • Käyttäjäkohtaiset tunnukset

    • Vahvat salasanat

    • Kaukolukitus ja nollaus kadonneille laitteille

    • Suojattu yhteys suositeltava (https)

    • Rajoita henkilöiden tieto vain tarpeellisiin tietoihin

    • Turvallinen sosiaalisen median käyttö

    • Epäilyttävien viestien tunnistaminen

  • Tiedot eivät näy ulkopuolisille tahoille, eikä tietoja voi muokata ilman asianmukaisia valtuuksia

  • Määritettävä kenellä yrityksessä on oikeus käsitellä henkilötietoja

  • Arkaluontoisia henkilötiedot: terveyttä, rotua, sukupuolista suuntautuneisuutta, uskontoa ja poliittisia näkemyksiä koskevat tiedot, tietojen turvaaminen erityisen tärkeää

  • Jos rekisteritietojen päätyy ulkopuolisten käsiin ilmoitus viranomaisille 72 tunnin kuluessa ja lisäksi rekisteröidyille, jos heihin kohdistuu vakava uhka



  1. Tietosuoja-asiakirjojen dokumentointi, jotta tarvittaessa myös osoittamaan toimineensa lain mukaisesti

  • Tietojenkäsittelyn kuvaus

  • Tietosuojariskien arviointi ja kehittämissuunnitelma

  • Konkreettiset toimintaohjeet yrityksen työntekijöille ja yhteistyökumppaneille

  • Dokumentoitava henkilökunnan tietosuojaosaaminen ja -koulutukset



  1. Tietosuojavastaavan nimeäminen vapaaehtoista, yrityksen henkilökuntaa tai ulkopuolinen

  • Tehtävänä on suunnitella, kehittää, varmistaa sekä valvoa tietosuojan toteutumista

  • Kaikki yrityksen henkilötietoja käsittelevät on koulutettava tai ohjeistettava



  1. Tietosuoja on otettava huomioon yrityksen sopimuksissa



  1. Kehittäminen ja sanktiot

  • Tietosuoja-asetus edellyttää henkilötietojen käsittelyyn liittyvien riskien selvittämistä.

  • Kerran tehdyt kartoitukset ja asiakirjat eivät riitä, kehittäminen ja parantaminen säännöllisesti

  • Dokumenttien päivittäminen

  • Sanktioita: varoitus, huomautus, sakko, tietojenkäsittelyn keskeyttäminen, yrityksen toiminnan keskeyttäminen