Answer
Vastaus
Yleistä tietosuoja-asetusta sovelletaan:
- yritykseen tai yksikköön, joka käsittelee henkilötietoja osana yhden EU:ssa toimivan sivuliikkeensä toimintoja riippumatta siitä, missä tietoja käsitellään, tai
- yritykseen, jonka kotipaikka on EU:n ulkopuolella, ja joka tarjoaa (maksullisia tai ilmaisia) tuotteita/palveluja tai seuraa yksilöiden käyttäytymistä EU:ssa.
Jos yrityksesi on pieni tai keskisuuri yritys (pk-yritys), joka käsittelee henkilötietoja edellä kuvatulla tavalla, sinun on noudatettava yleistä tietosuoja-asetusta. Jos henkilötietojen käsittely ei kuitenkaan ole osa yrityksesi keskeistä toimintaa, eikä sen toiminnasta aiheudu yksilöille riskejä, kaikkia yleisen tietosuoja-asetuksen velvoitteita ei sovelleta (esimerkiksi tietosuojavastaavan nimittäminen). Huomaa, että ”keskeisellä toiminnalla” tarkoitetaan toimintaa, jossa tietojenkäsittely on erottamaton osa rekisterinpitäjän tai käsittelijän toimintaa.
Esimerkkejä
Milloin asetusta sovelletaan?
Yrityksesi on pieni korkea-asteen koulutuksen parissa toimiva verkkoyritys, jonka kotipaikka on EU:n ulkopuolella. Sen kohderyhmään kuuluvat pääasiassa espanjan- ja portugalinkieliset korkeakoulut EU:ssa. Se tarjoaa maksutonta neuvontaa monenlaisista korkeakouluopinnoista. Opiskelijat tarvitsevat käyttäjätunnuksen ja salasanan päästäkseen käsiksi verkkomateriaaleihin. Yrityksesi antaa kyseisen käyttäjätunnuksen ja salasanan, kun opiskelijat ovat täyttäneet rekisteröintilomakkeen.
Milloin asetusta ei sovelleta?
Yrityksesi on EU:n ulkopuolella toimiva palveluntarjoaja. Se tarjoaa palveluja asiakkaille EU:n ulkopuolella. Asiakkaat käyttävät sen palveluita matkustaessaan muihin maihin, myös EU:n sisällä. Mikäli yrityksesi palvelut eivät nimenomaisesti kohdistu EU:n alueella asuviin yksilöihin, yleisen tietosuoja-asetuksen sääntöjä ei sovelleta siihen.