Asetuksen 4 artiklan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilö voidaan tunnistaa esim. nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka muun hänelle tunnusomaisen tekijän perusteella.
Tietosuoja koskee niin asiakkaiden kuin työntekijöiden henkilötietoja sekä muita henkilötietoja, joita yhteisö käsittelee. Esim. työnhakijoiden henkilötiedoista muodostuu henkilörekisteri, jonka käsittelyssä on noudatettava tietosuojaa koskevan lainsäädännön vaatimuksia (tietosuojavaltuutetun ratkaisu 909/45/2000).
 
Aluksi kannattaa arvioida, mikä on henkilötietojen käsittelyn nykytila. Se tarkoittaa, että määritetään, mitä henkilötietoja ja -rekistereitä vesihuoltolaitoksella on ja mitä riskejä niihin liittyy tietosuojan kannalta. Kokonaiskuvaa nykytilasta sanotaan tietotilinpäätökseksi.
Rekistereiden päivittämisestä ja tarpeettomien henkilötietojen poistamisesta tulee myös huolehtia. Henkilötiedosta tulee siis pitää huolta koko sen elinkaaren ajan. Lisäksi yhteisö vastaa käsittelemistään tiedoista, vaikka ulkoistaisi niihin liittyvät toiminnot palvelun tarjoajalle. Näin ollen yhteisön tulee tehdä kirjallinen sopimus palveluntarjoajan kanssa, jos henkilötietojen käsittelyä annetaan ulkopuoliselle taholle.
   
Tietojenkäsittely edellyttää tietoturvan varmistamista. Tietoturvan loukkauksista on raportoitava kansalliselle viranomaiselle 72 tunnin kuluessa tietomurron havaitsemisesta.   Asetukseen liittyy myös sanktio. Sen velvoitteita rikkovalle rekisterinpitäjälle voidaan määrätä sakko.
 
Lisätietoa on mm. tietosuojavaltuutetun toimiston verkkosivulla, linkissä http://www.tietosuoja.fi/fi/ . Tietosuoja-asetus on esillä Vesilaitosyhdistyksen koulutuksissa, mm. hallinto- ja talousseminaarissa 26. -27.4. ja lainsäädäntöpäivässä 30.5.2017. 

Anneli Tiainen 
lakiasiain päällikkö 
Vesilaitosyhdistys