Verkkopalveluja tarjoavien optikkoliikkeiden tulee huolehtia henkilötietojen käsittelystä ja dokumentoinnista EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan. Osoitusvelvollisuus ja rekisterin päivittäminen aina tarvittaessa ovat tärkeä osa normaalia tietosuojatyötä.
Tietosuoja-asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Henkilötietoja ovat esimerkiksi nimi-, puhelinnumero- ja muita luonnollisiin henkilöihin yhdistettäviä tietoja, joita optikkoliikkeet ovat voineet kerätä esimerkiksi markkinointitarkoituksiin.
Kanta-järjestelmään kuuluvien potilas-/terveystietojen käsittelyä säädellään tarkemmin erikseen laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007).
Tietosuoja-asetus velvoittaa rekisterinpitäjiä huolehtimaan myös henkilötietojen ajantasaisuudesta ja asiakasrekisteriensä asianmukaisesta ylläpidosta. Tietosuojaperiaatteiden mukaan henkilötiedot on esimerkiksi päivitettävä tarvittaessa eli epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava välittömästi.
Tietosuojaperiaatteita on noudatettava henkilötietojen käsittelyn kaikissa vaiheissa.
Koska optikkoliikkeet toimivat asiakasrekisteriensä rekisterinpitäjinä, niiden on pystyttävä myös osoittamaan, että ne noudattavat tietosuojalainsäädäntöä.
Rekisterinpitäjällä on osoitusvelvollisuus
Osoitusvelvollisuus on tietosuoja-asetuksen keskeinen periaate. Jos rekisterinpitäjä havaitsee esimerkiksi tietoturvaloukkauksen, rekisterinpitäjä voi osoitusvelvollisuuden avulla näyttää, että se on aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi.
Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita, se voi aiheuttaa maineriskin lisäksi hallinnollisia seuraamuksia.
Osoitusvelvollisuuden tarkoituksena on myös näyttää, miten rekisterinpitäjä kunnioittaa rekisteröityjen eli henkilötietojen käsittelyn kohteena olevien tietosuojaa. Osoitusvelvollisuuden toteuttaminen lisää luottamusta rekisterinpitäjän toimintaan.
Muistilista GDPR:stä optikkoliikkeille
1. Seloste käsittelytoimista
Seloste käsittelytoimista on organisaation sisäinen asiakirja, jonka tarkoituksena on hahmottaa yrittäjälle henkilötietojen käsittelyä. Sen tarkoituksena on myös osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.
Valvontaviranomainen voi tarvittaessa arvioida tietojenkäsittelytoimien lainmukaisuutta selosteen pohjalta. Seloste käsittelytoimista on pyydettäessä toimitettava valvontaviranomaiselle.
Katso tarkemmat ohjeet tietosuojavaltuutetun sivulta: https://tietosuoja.fi/seloste-kasittelytoimista
2. Rekisteröidyn informointi
Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa. Tarkempia ohjeita löydät tietosuojavaltuutetun sivulta: https://tietosuoja.fi/rekisteroidyn-informointi
3. Henkilötietojen turvallinen käsittely
Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että jokainen, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden ja tietoturvaperiaatteiden mukaisesti. Henkilöstön osaaminen on varmistettava perehdytyksellä ja /tai koulutuksilla. Tarvittaessa työntekijöiden kanssa voi laatia salassapitosopimukset.
4. Huolehdi osoitusvelvollisuudesta
Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet täyttääkseen osoitusvelvollisuuden vaatimukset. Osoitusvelvollisuus tarkoittaa myös dokumentointivelvollisuutta, käytännössä tiettyjen toimenpiteiden tekemistä ja kirjaamista.
Tietosuoja-asetuksessa on osoitusvelvollisuutta koskevia vaatimuksia, joiden velvoittavuus on arvioitava tapauskohtaisesti. Osoitusvelvollisuuden laajuus riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on huomioitava osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa.
Katso ohjeet osoitusvelvollisuudesta tietosuojavaltuutetun sivulta: https://tietosuoja.fi/osoitusvelvollisuus
Huom. EU:n tietosuoja-asetus velvoittaa yrittäjiä laatimaan kirjallisen sopimuksen, jos yrittäjä ulkoistaa henkilötietojen käsittelyä. Näissä tilanteissa henkilötietojen katsotaan siirtyvän niin sanotulle henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Tällaisia palveluntarjoajia voivat olla esimerkiksi tilitoimisto tai it-tuki.
