Frequently Asked Questions

Jos henkilötietoja kerätään suoraan henkilöiltä itseltään, organisaation on kerrottava henkilötietojen käsittelystä tiiviisti ja läpinäkyvästi helposti ymmärrettävällä, selkeällä kielellä. Tämä voidaan tehdä kirjallisesti (esim. tarjouskirjeessä) tai sähköisesti (esim. verkkosivustolla). Jos henkilö pyytää, tiedot voi myös antaa suullisesti, mutta sinun on kyettävä todistamaan jälkikäteen, että tiedot on annettu.

Myös silloin, kun tiedot on kerätty muualta, eli jos et kerää henkilötietoja suoraan henkilöltä itse, vaan esimerkiksi kolmannen osapuolen kautta, sinun on annettava heille samat yksityiskohtaiset tiedot.

Henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamista, jolloin rekisterinpitäjällä on velvollisuus poistaa tiedot. Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja pyyntöön vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.

On tärkeää huomata, että oikeus tietojen poistamiseen ei ole ehdoton. Sitä ei sovelleta, jos kyseiset tiedot ovat tarpeen

• sananvapauden ja tiedonvälityksen vapauden käyttämiseen (esim. journalistisia tarkoituksia varten)
• sellaisen lakisääteisen velvoitteen noudattamiseksi, joka edellyttää henkilötietojen käsittelyä (esim. työntekijöiden työaikaa koskevien tietojen käsittely)
• kansanterveyteen liittyvistä yleistä etua koskevista syistä
• yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten
• oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos poistettavat henkilötiedot on aiemmin siirretty muille organisaatioille, sinun on ilmoitettava näille tietojen vastaanottajille, että henkilö on pyytänyt tietojensa poistamista. Poistopyynnöstä ei tarvitse ilmoittaa kyseisille organisaatioille, jos se osoittautuu mahdottomaksi tai vaatisi kohtuuttomasti työtä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Kyllä, asiakkaallesi on puhelinsoiton yhteydessä kerrottava syyt puhelun tallentamiseen, tallenteen vastaanottajat sekä asiakkaan oikeudesta vastustaa tallentamista ja tutustua tallenteeseen.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

• your habitual residence;
• your place of work; or
• the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

• data processing takes place in more than one country;
• or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Henkilötietojen käsittelyllä tarkoitetaan kaikenlaisia toimintoja (käsittelytoimia), joita suoritetaan ihmisten henkilötiedoilla tai joihin käytetään henkilötietoja. Käsittelyä on henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, palauttaminen, hakeminen, tiedustelujen tekeminen tietokannoista, käyttö, luovuttaminen siirtämällä, välittämällä tai asettamalla muulla tavalla saataville, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.

Arkaluonteisten tietojen käsittely on lähtökohtaisesti kielletty. Se on sallittua vain tietyissä poikkeustapauksissa:

• Henkilö on antanut nimenomaisen suostumuksensa arkaluonteisten tietojensa käsittelyyn.
• Arkaluonteisten tietojen käsittely on tarpeen rekisterinpitäjän velvoitteiden täyttämiseksi erityisesti työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. Rekisterinpitäjä voi esimerkiksi joutua käsittelemään henkilön arkaluontoisia tietoja voidakseen määrittää, onko hänellä oikeus tiettyihin sosiaaliturvaetuuksiin tai työapurahoihin.
• Arkaluonteisten tietojen käsittely on tarpeen henkilön elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai juridisesti estynyt antamaan suostumustaan. Jos henkilö esimerkiksi jää tajuttomaksi onnettomuuden seurauksena ja vaatii välitöntä sairaanhoitoa, hänen terveystietojaan voidaan joutua käsittelemään hoidon vuoksi.
• Arkaluonteisten tietojen käsittely tapahtuu sellaisen säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä, jonka tavoitteena on poliittinen, filosofinen, uskonnollinen tai ammattiyhdistystoiminta, ja ainoastaan niiden jäsenten, entisten jäsenten tai niihin säännöllisesti yhteydessä olevien henkilöiden henkilötietojen käsittelyä varten.
• Henkilö on nimenomaisesti julkistanut arkaluonteiset tietonsa
• Arkaluonteisten tietojen käsittely on tarpeen oikeudellisten prosessien yhteydessä
• Arkaluonteisten tietojen käsittely on tarpeen yleistä etua koskevissa asioissa
• Arkaluonteisten tietojen käsittely on välttämätöntä ennaltaehkäisevän terveydenhuollon tai työterveydenhuollon yhteydessä. Esimerkiksi henkilön terveystietojen arviointi voi olla tarpeen työntekijän työkyvyn määrittämiseksi.
• Arkaluonteisten tietojen käsittely on tarpeen kansanterveyttä koskevissa asioissa EU:n tai kansallisen lainsäädännön perusteella. Henkilöiden arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi terveydenhuollon ja lääkkeiden korkean laadun varmistamiseksi tai vakavien terveysuhkien, kuten virusten, torjumiseksi.
• Arkaluonteisten tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi, jotta saadaan tarkkoja tilastoja maan tilanteesta.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja siihen vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.

Henkilön oikeus saada tutustua omiin tietoihinsa on toteutettava maksutta.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia 

Panemme merkille ehdotuksenne, että Euroopan tietosuojaneuvosto harkitsisi tätä asiaa tulevia ohjeita varten. Voit tutustua tietosuojaneuvoston työohjelmaan tällä hetkellä sisältyviin aiheisiin verkkosivustollamme: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_fi.

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision¹. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Tietosuoja-asetusta sovelletaan evästeiden käyttöön, kun niihin liittyy henkilötietojen käsittelyä. Evästeille on olemassa myös tarkempia sääntöjä, kuten sähköisen viestinnän tietosuojadirektiivi.

Evästeen tallentaminen käyttäjän päätelaitteelle tai jo tallennettuun evästeeseen pääsy on sallittua vain, jos käyttäjä on saanut riittävät tiedot evästeiden tarkoituksista ja antanut suostumuksensa evästeiden käyttöön.

Ainoa poikkeus ovat teknisesti välttämättömät evästeet. Sinun ei tarvitse pyytää käyttäjältä suostumusta verkkosivustolla käytettäviin teknisesti välttämättömiin evästeisiin
 

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Pseudonymisointi tarkoittaa henkilötietojen muuttamista sellaiseen muotoon, että niitä ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot on säilytettävä erillään, ja teknisten ja organisatoristen toimenpiteiden avulla on varmistettava, että tietoja ei voida yhdistää yksittäiseen henkilöön. Käytännössä pseudonymisointi voi tarkoittaa henkilötietojen (esim. nimen, henkilötunnuksen, puhelinnumeron tms.) korvaamista tietokokonaisuudessa epäsuorasti tunnistettavilla tiedoilla (alias, järjestysnumero tms.). Pseudonymisoidut tiedot ovat edelleen henkilötietoja ja niihin sovelletaan tietosuojalainsäädäntöä.

Anonymisoidut tiedot ovat tietoja, jotka on tehty tunnistamattomiksi niin, että henkilöä ei enää voida tunnistaa niistä millään kohtuullisella tavalla. Kun anonymisointi on toteutettu asianmukaisesti, yleistä tietosuoja-asetusta ei enää sovelleta niihin.

Lisätietoja:

Huolehdi tietoturvasta