Frequently Asked Questions

Yleisessä tietosuoja-asetuksessa erotetaan toisistaan kaksi keskeistä roolia: rekisterinpitäjä ja henkilötietojen käsittelijä. Roolien ero on tärkeä, koska rekisterinpitäjällä on enemmän vastuita ja sen on täytettävä enemmän velvoitteita kuin henkilötietojen käsittelijän.

Rekisterinpitäjiä ja henkilötietojen käsittelijöitä voivat olla esimerkiksi pk-yritys, viranomainen, yhtiö, valtion elin, yhdistys jne. Myös luonnollinen henkilö voi olla rekisterinpitäjä tai henkilötietojen käsittelijä. 

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin sanoen rekisterinpitäjä päättää, miten ja miksi tietoja käsitellään. Henkilötietojen käsittelijät käsittelevät henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijöiden suorittamaa käsittely on määritettävä rekisterinpitäjän kanssa tehdyssä sopimuksessa tai muulla oikeudellisella asiakirjalla.

Esimerkkejä rekisterinpitäjistä:

• yritykset, jotka käsittelevät asiakkaidensa henkilötietoja myyntiä varten
• rahoituslaitokset, jotka käsittelevät asiakkaidensa henkilötietoja
• yhdistykset, jotka käsittelevät jäsentensä tietoja
• koulut tai yliopistot, jotka käsittelevät opiskelijoiden ja opettajien henkilötietoja
• sairaalat, jotka käsittelevät potilaidensa henkilötietoja
• valtion virastot, jotka käsittelevät kansalaisten henkilötietoja.

Esimerkkejä henkilötietojen käsittelijöistä:

• Pk-yritys palkkaa kirjanpitopalvelun, jolloin pk-yritys on rekisterinpitäjä ja kirjanpitopalvelu tietojen käsittelijä
• Tilitoimisto käsittelee pk-yrityksen henkilötietoja. Tilitoimisto toimii henkilötietojen käsittelijänä, jos se käsittelee henkilötietoja yksinomaan pk-yrityksen lukuun. Pk-yritys määrittää tietojen käsittelyn tarkoitukset ja keinot, minkä vuoksi se on rekisterinpitäjä.
• Pk-yritys valtuuttaa markkinointiyrityksen keräämään sähköpostiosoitteita kolmansien osapuolten verkkosivustojen kautta. Markkinointiyritys tekee tämän pk-yrityksen ohjeiden mukaisesti ja ainoastaan pk-yrityksen käyttöön. Markkinointiyhtiö toimii henkilötietojen käsittelijänä tietojen keräämisessä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Tietyt henkilötietotyypit kuuluvat erityisiin henkilötietoryhmiin, mikä tarkoittaa, että niitä on suojattava erityisen huolellisesti. Ne ovat niin sanottuja arkaluonteisia tietoja. Arkaluonteisia tietoja ovat tiedot, joista ilmenee:

• henkilön terveys
• henkilön seksuaalinen suuntautuminen
• henkilön etninen alkuperä
• henkilön poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliittoon kuuluminen
• henkilön biometriset ja geneettiset tiedot.

Arkaluonteisten tietojen käsittely on yleensä kiellettyä lukuun ottamatta tiettyjä tilanteita, joissa niitä saa käsitellä.

Lisätietoja:

• Tietosuojan perusteet

Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.

Lisätietoja:

• Tietosuojavastaava

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Tunnistettavissa oleva henkilö on kuka tahansa, joka voidaan tunnistaa joko suoraan tai välillisesti. Henkilötietoja voivat olla myös erilaiset tiedot, joita yhdistämällä tietty henkilö voidaan tunnistaa.
Esimerkkejä henkilötiedoista ovat:

• etu- ja sukunimi
• kotiosoite
• sähköpostiosoite
• sijaintitiedot
• IP-osoite
• evästetunniste
• pankkitili
• verotiedot
• biometriset tiedot (esim. sormenjäljet)
• henkilötunnus
• passin numero
• testitulokset
• arvosanat koulussa
• selaushistoria
• valokuva henkilöstä
• ajoneuvon rekisterinumero jne.

Lisätietoja:

• Tietosuojan perusteet

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Varmista, että saamasi tiedot on kerätty laillisesti ja että kyseisille henkilöille on ilmoitettu heidän tietojensa käsittelystä.
2. Jos kolmas osapuoli käsittelee henkilötietoja puolestasi, varmista, että sinulla on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus, jossa määritellään käsittelytoimet ja henkilötietojen käsittelyn keinot.

Lisäksi sinun on tietysti noudatettava kaikkia rekisterinpitäjälle kuuluvia velvollisuuksia.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:

• suojaa pääsy tiloihin
• käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
• valitse huolellisesti salasanasi
• vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
• ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.

Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.

Lisätietoja:

•    Suojaa henkilötiedot

Kilpailun voittajien nimien julkaisu verkkosivuillasi voi perustua oikeutettuun etuusi, jos voit todistaa tämän tasapainotestillä. Tasapainotestillä määritetään, ylittävätkö oikeutetut etusi yksilöiden oikeudet.

On hyvä ottaa käyttöön sisäinen käytäntö, jossa selostetaan säännöt voittajien tietojen julkaisemiseen.

Tietojen julkaisusta tulisi kertoa kilpailun tietosuojaselosteessa, jotta osallistujat tietävät etukäteen, miten heidän tietojaan käytetään.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Tietosuojaneuvosto ei anna kansalaisille tai yksityisille tai julkisille organisaatioille räätälöityä oikeudellista neuvontaa siitä, miten tietosuojalainsäädäntöä sovelletaan yksittäisiin tapauksiin. 

Tietosuojaneuvoston päätehtävänä on antaa yleisiä ohjeita ja lausuntoja. Kaikkiin hyväksyttyihin ohjeisiin ja lausuntoihin voi tutustua täällä: Suuntaviivat, suositukset, parhaat käytännöt ja lausunnot. Suosittelemme myös lukemaan pienyritysten tietosuojaoppaan. Tämä opas auttaa sinua ymmärtämään keskeisiä tietosuojakäsitteitä, yleisen tietosuoja-asetuksen mukaisia yksilöiden oikeuksia, vaatimustenmukaisuusvaatimuksia, turvatoimia ja tietoturvaloukkausten käsittelyä.

Lisätietoja tietosuojaneuvoston roolista ja yleisen tietosuoja-asetuksen soveltamisesta on saatavilla myös osoitteessa Frequently Asked Questions.

Pyydämme sinua myös tutustumaan oman maasi tietosuojaviranomaisen verkkosivustoihin. Linkit jäsentemme verkkosivuille löytyvät täältä: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Kyllä voit, mutta tietosuoja-asetuksessa on tiettyjä velvoitteita yrityksille, jotka jakavat henkilötietoja. Yrityksesi on ilmoitettava henkilöille, että jaat heidän tietonsa kolmannen osapuolen kanssa. Sinun on myös kerrottava heille, miksi tiedot jaetaan ja miten ne suojataan, sekä informoitava heitä tietojen säilyttämisestä ja siitä, kenellä on pääsy tietoihin.

Samasta aiheesta:

• Mitä henkilötiedot ovat?