Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi

• jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
• jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään. 

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.

Lisätietoja:

• Tietosuojavastaava

Yleisessä tietosuoja-asetuksessa erotetaan toisistaan kaksi keskeistä roolia: rekisterinpitäjä ja henkilötietojen käsittelijä. Roolien ero on tärkeä, koska rekisterinpitäjällä on enemmän vastuita ja sen on täytettävä enemmän velvoitteita kuin henkilötietojen käsittelijän.

Rekisterinpitäjiä ja henkilötietojen käsittelijöitä voivat olla esimerkiksi pk-yritys, viranomainen, yhtiö, valtion elin, yhdistys jne. Myös luonnollinen henkilö voi olla rekisterinpitäjä tai henkilötietojen käsittelijä. 

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin sanoen rekisterinpitäjä päättää, miten ja miksi tietoja käsitellään. Henkilötietojen käsittelijät käsittelevät henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijöiden suorittamaa käsittely on määritettävä rekisterinpitäjän kanssa tehdyssä sopimuksessa tai muulla oikeudellisella asiakirjalla.

Esimerkkejä rekisterinpitäjistä:

• yritykset, jotka käsittelevät asiakkaidensa henkilötietoja myyntiä varten
• rahoituslaitokset, jotka käsittelevät asiakkaidensa henkilötietoja
• yhdistykset, jotka käsittelevät jäsentensä tietoja
• koulut tai yliopistot, jotka käsittelevät opiskelijoiden ja opettajien henkilötietoja
• sairaalat, jotka käsittelevät potilaidensa henkilötietoja
• valtion virastot, jotka käsittelevät kansalaisten henkilötietoja.

Esimerkkejä henkilötietojen käsittelijöistä:

• Pk-yritys palkkaa kirjanpitopalvelun, jolloin pk-yritys on rekisterinpitäjä ja kirjanpitopalvelu tietojen käsittelijä
• Tilitoimisto käsittelee pk-yrityksen henkilötietoja. Tilitoimisto toimii henkilötietojen käsittelijänä, jos se käsittelee henkilötietoja yksinomaan pk-yrityksen lukuun. Pk-yritys määrittää tietojen käsittelyn tarkoitukset ja keinot, minkä vuoksi se on rekisterinpitäjä.
• Pk-yritys valtuuttaa markkinointiyrityksen keräämään sähköpostiosoitteita kolmansien osapuolten verkkosivustojen kautta. Markkinointiyritys tekee tämän pk-yrityksen ohjeiden mukaisesti ja ainoastaan pk-yrityksen käyttöön. Markkinointiyhtiö toimii henkilötietojen käsittelijänä tietojen keräämisessä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Yleinen tietosuoja-asetus antaa yksityishenkilöille mahdollisuuden valvoa henkilötietojensa käsittelyä. Tätä varten avoimuus on avainasemassa. Tämä tarkoittaa, että sinun on ilmoitettava käsittelytoimistasi ja henkilötietojen käyttötarkoituksista henkilöille, joiden tietoja käsittelet. Toisin sanoen sinun täytyy kertoa, kuka käsittelee heidän tietojaan, millä tavalla ja miksi. Kun henkilötietojen käyttö on läpinäkyvää, henkilöt voivat arvioida mahdollisia riskejä ja tehdä omiin henkilötietoihinsa liittyviä päätöksiä.
Tietosuoja-asetuksen mukaan sinun on annettava henkilöille seuraavat tiedot:

• kuka rekisterinpitäjä on ja rekisterinpitäjän yhteystiedot
• mitä tarkoitusta varten henkilötietoja tarvitaan
• henkilötietojen käsittelyn oikeusperuste (jos peruste on oikeutettu etu, sinun on annettava tieto siitä, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja siitä, minkä tahon kukin oikeutettu etu on).
• tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava)
• tietojen vastaanottajat tai vastaanottajaryhmät (kuka pääsee tietoihin)
• tieto siitä, siirretäänkö tietoja Euroopan talousalueen ulkopuolelle (tieto tietosuojan riittävyyttä koskevan päätöksen olemassaolosta tai muusta käytettävästä siirtoperusteesta ja keinot saada tiedot niiden sisällöstä)
• käsiteltävien henkilötietojen ryhmät, jos tietoja ei saada henkilöltä itseltään.

Lisäksi sinun pitää antaa ihmisille seuraavat tiedot henkilötietojen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi:

• säilytysaika tai jos se ei ole mahdollista, säilytysajan määrittämisessä käytetyt perusteet
• rekisteröidyn oikeudet: oikeus saada tutustua omiin tietoihin sekä pyytää niiden poistamista ja oikaisemista, käsittelyn rajoittamista ja vastustamista sekä siirtoa järjestelmästä toiseen
• oikeus tehdä valitus tietosuojaviranomaiselle
• jos käsittelyn oikeusperusteena on suostumus, kerro oikeudesta peruuttaa suostumus milloin tahansa
• automaattisen päätöksenteon yhteydessä merkitykselliset tiedot päätöksenteon perustana olevasta logiikasta ja päätösten seurauksista rekisteröidylle
• henkilötietojen lähde, jos et ole saanut niitä suoraan kyseiseltä henkilöltä
• tieto siitä, onko henkilö velvollinen antamaan henkilötiedot (lain tai sopimuksen perusteella tai sopimuksen tekemistä varten) ja mitä seurauksia kieltäytymisellä on.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.

Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy

• arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä  
• henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
• yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.

Lisätietoja:

• Noudata tietosuojavaatimuksia

Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.

On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.

• Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Jos henkilötietoja kerätään suoraan henkilöiltä itseltään, organisaation on kerrottava henkilötietojen käsittelystä tiiviisti ja läpinäkyvästi helposti ymmärrettävällä, selkeällä kielellä. Tämä voidaan tehdä kirjallisesti (esim. tarjouskirjeessä) tai sähköisesti (esim. verkkosivustolla). Jos henkilö pyytää, tiedot voi myös antaa suullisesti, mutta sinun on kyettävä todistamaan jälkikäteen, että tiedot on annettu.

Myös silloin, kun tiedot on kerätty muualta, eli jos et kerää henkilötietoja suoraan henkilöltä itse, vaan esimerkiksi kolmannen osapuolen kautta, sinun on annettava heille samat yksityiskohtaiset tiedot.

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Tunnistettavissa oleva henkilö on kuka tahansa, joka voidaan tunnistaa joko suoraan tai välillisesti. Henkilötietoja voivat olla myös erilaiset tiedot, joita yhdistämällä tietty henkilö voidaan tunnistaa.
Esimerkkejä henkilötiedoista ovat:

• etu- ja sukunimi
• kotiosoite
• sähköpostiosoite
• sijaintitiedot
• IP-osoite
• evästetunniste
• pankkitili
• verotiedot
• biometriset tiedot (esim. sormenjäljet)
• henkilötunnus
• passin numero
• testitulokset
• arvosanat koulussa
• selaushistoria
• valokuva henkilöstä
• ajoneuvon rekisterinumero jne.

Lisätietoja:

• Tietosuojan perusteet

Tietyt henkilötietotyypit kuuluvat erityisiin henkilötietoryhmiin, mikä tarkoittaa, että niitä on suojattava erityisen huolellisesti. Ne ovat niin sanottuja arkaluonteisia tietoja. Arkaluonteisia tietoja ovat tiedot, joista ilmenee:

• henkilön terveys
• henkilön seksuaalinen suuntautuminen
• henkilön etninen alkuperä
• henkilön poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliittoon kuuluminen
• henkilön biometriset ja geneettiset tiedot.

Arkaluonteisten tietojen käsittely on yleensä kiellettyä lukuun ottamatta tiettyjä tilanteita, joissa niitä saa käsitellä.

Lisätietoja:

• Tietosuojan perusteet