Tietosuoja-asetuksen yksi peruspilari on ymmärtää, mikä on henkilötieto. Monessa yrityksessä ollaan siinä käsityksessä, että niissä ei käsitellä henkilötietoja lainkaan, koska henkilötieto mielletään usein esimerkiksi markkinoinnin toimenpiteiden yhteyteen. Tämä on kuitenkin harhaluulo.
Henkilötietoja ovat kaikki ne tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa.
Tyypillisiä suoria henkilötietoja, jotka moni tiedostaa ovat:
- Nimi
- Henkilötunnus
Epäsuoria henkilötietoja puolestaan ovat esimerkiksi
- Lemmikin eläinlääkäritiedot
- Sähköpostiosoite (etunimi.sukunimi)
- Auton rekisteritunnus
- Potilastiedot
- Henkilökortin numero
- Veronumero
- IP-osoite
Millaisessa yrityksessä ei esimerkiksi ole asiakkaita tai työntekijöitä? Onko olemassa yritystä, jossa ei lähetetä lainkaan laskuja tai jossa ei käytäisi lainkaan sähköpostikirjeenvaihtoa? Yrityksissä, jossa on ylipäätään toimintaa, syntyy henkilötietorekistereitä, jolloin yritys on rekisterinpitäjä ja joutuu vastaamaan GDPR-asetuksen vaatimiin velvollisuuksiin.