Tietosuoja-asetuksen noudattamista valvovat kansalliset tietosuojaviranomaiset. Tietosuojaviranomaiset voivat tarvittaessa tehdä selvityksiä ja määrätä seuraamuksia organisaatioille. Tietosuojaviranomaisilla on käytössään useita keinoja. Ne voivat muun muassa määrätä seuraamusmaksuja, joiden määrä voi olla enintään 20 miljoonaa euroa tai 4 prosenttia organisaation maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi. Lisäksi ne voivat antaa huomautuksia ja määräyksiä sekä määrätä väliaikaisia tai pysyviä henkilötietojen käsittelykieltoja.

Kaikkien ETA-maiden kansallisten tietosuojaviranomaisten yhteystiedot löytyvät tietosuojaneuvoston verkkosivuilta: Jäsenet
 

Lisätietoja:

• Tietosuojaviranomainen ja sinä

Tietosuojavastaavan tehtävänä on muun muassa

• antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
• seurata tietosuojasääntöjen noudattamista
• antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
• toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
• toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.

Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.

Lisätietoja:

• Tietosuojavastaava

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.

Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:

• ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
• ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.

Lisätietoja:

• Tietosuojavastaava

Henkilötietojen käsittelyllä tarkoitetaan kaikenlaisia toimintoja (käsittelytoimia), joita suoritetaan ihmisten henkilötiedoilla tai joihin käytetään henkilötietoja. Käsittelyä on henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, palauttaminen, hakeminen, tiedustelujen tekeminen tietokannoista, käyttö, luovuttaminen siirtämällä, välittämällä tai asettamalla muulla tavalla saataville, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.

Tietosuojavastaavan nimittäminen on pakollista seuraavissa kolmessa tapauksessa:

• organisaatio on viranomainen
• organisaation ydintoimintoihin kuuluu henkilöiden säännöllinen ja järjestelmällinen laajamittainen seuranta, kuten mobiilisovelluksen kautta tapahtuva paikannus tai julkisten tilojen kameravalvonta (esim. kauppakeskus) 
• organisaation ydintoimintaa on arkaluonteisten tietojen tai rikostuomioihin ja rikoksiin liittyvien henkilötietojen laajamittainen käsittely.

Voit aina nimittää tietosuojavastaavan vapaaehtoisesti, vaikka se ei olisi lakisääteistä. Huomaa, että tällöin sinun on noudatettava kaikkia tietosuoja-asetuksen säännöksiä, jotka koskevat tietosuojavastaavan tehtäviä ja asemaa.
 

Lisätietoja:

• Tietosuojavastaava

Evästeet ovat pieniä tiedostoja, jotka tallennetaan käyttäjän päätelaitteelle, kuten tietokoneelle tai mobiililaitteelle, ja jotka voivat tallentaa tietoja. Evästeet palvelevat monia tärkeitä toimintoja, kuten verkkosivuston käyttäjien ja heidän aiemman toimintansa muistamista. Niiden avulla voidaan seurata tuotteita verkkokaupan ostoskorissa tai tietoja, jotka täytetään sähköiseen lomakkeeseen.

Todentamisevästeitä hyödynnetään käyttäjien tunnistamiseen, kun he kirjautuvat erilaisiin verkkopalveluihin, kuten pankkipalveluihin. Evästeisiin tallennetut tiedot voivat sisältää henkilötietoja, kuten IP-osoitteen, käyttäjänimen, yksilöllisen tunnisteen tai sähköpostiosoitteen.

Samasta aiheesta:

•    Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
 

Yleinen tietosuoja-asetus asettaa velvoitteita kaikille henkilötietoja käsitteleville organisaatioille riippumatta siitä, ovatko ne rekisterinpitäjiä vai henkilötietojen käsittelijöitä.
Sinun tulee erityisesti:

• Varmista, että tarkoitus, jota varten henkilötietoja kerätään, on perusteltu. Kerää vain henkilötietoja, jotka ovat tarpeen suunniteltuja tarkoituksia varten.
• Pidä ihmisten henkilötiedot virheettöminä ja ajan tasalla, ja poista tiedot, kun niitä ei enää tarvita.
• Huomioi ihmisten oikeudet kertomalla heille, miten ja miksi heidän tietojaan käsitellään, ja anna heille mahdollisuus käyttää tietosuojaoikeuksiaan.
• Tarkista, että sinulla on asianmukainen oikeusperuste henkilötietojen käsittelyyn. Jos aiot turvautua henkilöiden suostumukseen, pyydä heidän suostumustaan ennen henkilötietojen käsittelyn aloittamista.
• Varmista, että käsittelet henkilötietoja turvallisesti.
• Pidä kirjaa henkilötietojen käsittelytoimistasi.

Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia, eivätkä ne saa käsitellä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti.

Lisätietoja:

• Noudata tietosuojavaatimuksia
• Rekisterinpitäjä tai henkilötietojen käsittelijä
• Tietosuojan perusteet
   

• Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista ja läpinäkyvää.
• Kerää henkilötietoja vain tiettyjä, nimenomaisia ja laillisia tarkoituksia varten. Henkilön tietojen käsittely on rajattava tiukasti alun perin määriteltyyn käyttötarkoitukseen, eikä niitä saa käsitellä myöhemmin muita tarkoituksia varten, jotka ovat ristiriidassa alkuperäisten käyttötarkoitusten kanssa.
• Käsittele ainoastaan henkilötietoja, jotka ovat tarpeellisia ja oikeasuhteisia suunniteltuun tarkoitukseen nähden.
• Kaikkien käsittelemiesi henkilötietojen on oltava täsmällisiä ja ajan tasalla. Virheelliset henkilötiedot on oikaistava tai poistettava.
• Henkilötietojen säilytystä on rajoitettava ajallisesti ottaen huomioon se tarkoitus, jota varten kyseiset tiedot on kerätty. Henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita.
• Tietoja on käsiteltävä turvallisesti. Ota käyttöön vahvat tietoturvatoimet varmistamaan, että henkilötiedot suojataan asianmukaisesti.

Rekisterinpitäjällä on osoitusvelvollisuus. Se tarkoittaa, että rekisterinpitäjä on vastuussa tietosuojaperiaatteiden noudattamisesta ja sen on kyettävä osoittamaan, että näitä periaatteita noudatetaan.

Lisätietoja:

• Tietosuojan perusteet

Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:

• henkilöin suostumuksella
• jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
• EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
• käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
• yksilön elintärkeiden etujen suojaamiseksi
• organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.

Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti