Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Tietosuojavastaavan nimittäminen on pakollista seuraavissa kolmessa tapauksessa:

• organisaatio on viranomainen
• organisaation ydintoimintoihin kuuluu henkilöiden säännöllinen ja järjestelmällinen laajamittainen seuranta, kuten mobiilisovelluksen kautta tapahtuva paikannus tai julkisten tilojen kameravalvonta (esim. kauppakeskus) 
• organisaation ydintoimintaa on arkaluonteisten tietojen tai rikostuomioihin ja rikoksiin liittyvien henkilötietojen laajamittainen käsittely.

Voit aina nimittää tietosuojavastaavan vapaaehtoisesti, vaikka se ei olisi lakisääteistä. Huomaa, että tällöin sinun on noudatettava kaikkia tietosuoja-asetuksen säännöksiä, jotka koskevat tietosuojavastaavan tehtäviä ja asemaa.
 

Lisätietoja:

• Tietosuojavastaava

Ei, sinun ei tarvitse julkistaa ylläpitämääsi selostetta tietojenkäsittelystäsi. Käsittelytoimia koskevan selosteen on kuitenkin oltava pyydettäessä tietosuojaviranomaisen saatavilla.

Lisätietoja:

• Noudata tietosuojavaatimuksia

Pyydättekö Euroopan tietosuojaneuvostoa tutkimaan organisaatiota, jonka katsotte rikkovan EU:n lainsäädäntöä, ja ryhtymään toimiin sitä vastaan, myös tiettyjen teknologioiden, kuten tekoälyn, sosiaalisen median tai viestintäpalvelujen, avulla?

Tietosuojasääntöjen yhteydessä voit tehdä valituksen tietosuojaviranomaiselle (DPA) (luettelo niistä on verkkosivustollamme: https://edpb.europa.eu/about-edpb/our-members). Tietosuojasääntöjen täytäntöönpano on tietosuojaviranomaisten vastuulla. Voit ottaa yhteyttä esimerkiksi siihen tietosuojaviranomaiseen, jossa asut tai työskentelet tai jossa väitetty rikkomus tapahtui.

Toinen vaihtoehto on kääntyä asuinmaasi tai rekisterinpitäjän tai henkilötietojen käsittelijän kotipaikan kansallisten tuomioistuinten puoleen. 

Jos yleistä tietosuoja-asetusta sovelletaan tilanteessasi, mutta et ole sijoittautunut Eurooppaan, voit silti valittaa tietosuojaviranomaiselle Euroopassa ja/tai viedä asian oikeuteen.

Tietosuojaneuvostolla ei ole toimivaltaa käsitellä yksittäisiä pyyntöjä tai valituksia eikä tarjota yksittäisiä konsultointipalveluja. Euroopan tietosuojaneuvosto ei ole ylikansallinen elin, joka voi tutkia valituksia.

Jos haluat valittaa siitä, miten EU:n toimielin, virasto tai elin käyttää henkilötietojasi, voit tehdä valituksen Euroopan tietosuojavaltuutetulle (ks. yhteystiedot verkkosivustollamme: https://edpb.europa.eu/about-edpb/our-members).

Huomaa, että emme välitä viestiäsi kansallisille tietosuojaviranomaisille tai Euroopan tietosuojavaltuutetulle. Siksi sinun pitäisi ottaa heihin yhteyttä suoraan.

Jotta suostumus voidaan katsoa päteväksi, sen on oltava:

• vapaaehtoinen,
• yksilöity,
• tietoinen ja
• yksiselitteinen.

Tämä tarkoittaa, että henkilöllä on oltava aidosti vapaus valita, suostuuko hän henkilötietojensa käsittelyyn vai ei. Ihmiset tarvitsevat riittävästi tietoa, jotta he ymmärtävät, mitä tietoja heistä käsitellään, millä tavalla ja mihin tarkoitukseen. Myös suostumuspyyntöjen on oltava riittävän yksityiskohtaisia. 

Lisäksi henkilön on annettava suostumus selkeästi aktiivisella toimella, eli esimerkiksi valmiiksi rastitettuja ruutuja ei voi käyttää. Suostumus on myös voitava antaa erillään yleisten käyttöehtojen hyväksynnästä.

Lisäksi henkilön on voitava vapaasti peruuttaa suostumuksensa ilman negatiivisia seurauksia, jos hän muuttaa mieltään myöhemmin.
 

Lisätietoja:

• Process personal data lawfully

Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi

• jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
• jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään. 

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin. 

Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.

Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
 

Lisätietoja:

• Tietosuojan perusteet

Tietosuojavastaavan tehtävänä on muun muassa

• antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
• seurata tietosuojasääntöjen noudattamista
• antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
• toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
• toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.

Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.

Lisätietoja:

• Tietosuojavastaava

Yleinen tietosuoja-asetus asettaa velvoitteita kaikille henkilötietoja käsitteleville organisaatioille riippumatta siitä, ovatko ne rekisterinpitäjiä vai henkilötietojen käsittelijöitä.
Sinun tulee erityisesti:

• Varmista, että tarkoitus, jota varten henkilötietoja kerätään, on perusteltu. Kerää vain henkilötietoja, jotka ovat tarpeen suunniteltuja tarkoituksia varten.
• Pidä ihmisten henkilötiedot virheettöminä ja ajan tasalla, ja poista tiedot, kun niitä ei enää tarvita.
• Huomioi ihmisten oikeudet kertomalla heille, miten ja miksi heidän tietojaan käsitellään, ja anna heille mahdollisuus käyttää tietosuojaoikeuksiaan.
• Tarkista, että sinulla on asianmukainen oikeusperuste henkilötietojen käsittelyyn. Jos aiot turvautua henkilöiden suostumukseen, pyydä heidän suostumustaan ennen henkilötietojen käsittelyn aloittamista.
• Varmista, että käsittelet henkilötietoja turvallisesti.
• Pidä kirjaa henkilötietojen käsittelytoimistasi.

Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia, eivätkä ne saa käsitellä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti.

Lisätietoja:

• Noudata tietosuojavaatimuksia
• Rekisterinpitäjä tai henkilötietojen käsittelijä
• Tietosuojan perusteet
   

• Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista ja läpinäkyvää.
• Kerää henkilötietoja vain tiettyjä, nimenomaisia ja laillisia tarkoituksia varten. Henkilön tietojen käsittely on rajattava tiukasti alun perin määriteltyyn käyttötarkoitukseen, eikä niitä saa käsitellä myöhemmin muita tarkoituksia varten, jotka ovat ristiriidassa alkuperäisten käyttötarkoitusten kanssa.
• Käsittele ainoastaan henkilötietoja, jotka ovat tarpeellisia ja oikeasuhteisia suunniteltuun tarkoitukseen nähden.
• Kaikkien käsittelemiesi henkilötietojen on oltava täsmällisiä ja ajan tasalla. Virheelliset henkilötiedot on oikaistava tai poistettava.
• Henkilötietojen säilytystä on rajoitettava ajallisesti ottaen huomioon se tarkoitus, jota varten kyseiset tiedot on kerätty. Henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita.
• Tietoja on käsiteltävä turvallisesti. Ota käyttöön vahvat tietoturvatoimet varmistamaan, että henkilötiedot suojataan asianmukaisesti.

Rekisterinpitäjällä on osoitusvelvollisuus. Se tarkoittaa, että rekisterinpitäjä on vastuussa tietosuojaperiaatteiden noudattamisesta ja sen on kyettävä osoittamaan, että näitä periaatteita noudatetaan.

Lisätietoja:

• Tietosuojan perusteet

Henkilötietoja ei voi säilyttää ikuisesti.

Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.

Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.

Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty. 

Lisätietoja:

• Tietosuojan perusteet

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Tietosuojaneuvostolla ei ole toimivaltaa valvoa tietosuojaviranomaisten toimintaa yksityishenkilöiden pyynnöstä.

On huomattava, että toimivaltaa antaa yleisiä ohjeita ei voida ymmärtää mekanismiksi, jonka avulla tietosuojaneuvosto voi valvoa, miten tietosuojaviranomaiset käsittelevät yksittäistä tapausta. 

Jos katsot, että yleistä tietosuoja-asetusta on rikottu, etkä ole tyytyväinen tietosuojaviranomaisen vastaukseen, voit nostaa kanteen.

Käytännössä jokaisen yrityksesi tulee pitää kirjaa käsittelytoimistaan. Seloste käsittelytoimista on kirjallinen kuvaus kaikesta organisaation tekemästä henkilötietojen käsittelystä ja voi auttaa sinua tunnistamaan tietosuoja-asetuksen mukaisia vastuistasi ja mahdollisia riskejä.
Jokainen käsittelytoimi on kuvattava selosteessa seuraavilla tiedoilla:

• käsittelyn tarkoitus (esim. asiakasuskollisuus),
• käsiteltävien tietojen luokat (esim. palkkakuitissa nimi, syntymäaika, palkan suuruus jne.),
• kenellä on pääsy tietoihin (vastaanottajat, esim. rekrytoinnista vastaava yksikkö, IT-palvelu, organisaation johto, palveluntarjoajat, kumppanit),
• tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
• mahdollisuuksien mukaan tietojen säilytysaika (aika, jona tiedot ovat hyödynnettävissä sekä niiden arkistointiaika).
• mahdollisuuksien mukaan yleinen kuvaus turvatoimista.

Käsittelytoimien kirjaaminen kuuluu organisaatiosi johdon vastuulle.

Käsittelytoimia koskevan selosteen on oltava pyydettäessä sen maan tietosuojaviranomaisen saatavilla, jossa toimit.

Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse kirjata selosteeseen puhtaasti satunnaisia toimia (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).

Lisätietoja:

• Noudata tietosuojavaatimuksia

Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.

Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:

• ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
• ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.

Lisätietoja:

• Tietosuojavastaava