Yleinen tietosuoja-asetus antaa yksityishenkilöille mahdollisuuden valvoa henkilötietojensa käsittelyä. Tätä varten avoimuus on avainasemassa. Tämä tarkoittaa, että sinun on ilmoitettava käsittelytoimistasi ja henkilötietojen käyttötarkoituksista henkilöille, joiden tietoja käsittelet. Toisin sanoen sinun täytyy kertoa, kuka käsittelee heidän tietojaan, millä tavalla ja miksi. Kun henkilötietojen käyttö on läpinäkyvää, henkilöt voivat arvioida mahdollisia riskejä ja tehdä omiin henkilötietoihinsa liittyviä päätöksiä.
Tietosuoja-asetuksen mukaan sinun on annettava henkilöille seuraavat tiedot:

  • kuka rekisterinpitäjä on ja rekisterinpitäjän yhteystiedot
  • mitä tarkoitusta varten henkilötietoja tarvitaan
  • henkilötietojen käsittelyn oikeusperuste (jos peruste on oikeutettu etu, sinun on annettava tieto siitä, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja siitä, minkä tahon kukin oikeutettu etu on).
  • tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava)
  • tietojen vastaanottajat tai vastaanottajaryhmät (kuka pääsee tietoihin)
  • tieto siitä, siirretäänkö tietoja Euroopan talousalueen ulkopuolelle (tieto tietosuojan riittävyyttä koskevan päätöksen olemassaolosta tai muusta käytettävästä siirtoperusteesta ja keinot saada tiedot niiden sisällöstä)
  • käsiteltävien henkilötietojen ryhmät, jos tietoja ei saada henkilöltä itseltään.

Lisäksi sinun pitää antaa ihmisille seuraavat tiedot henkilötietojen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi:

  • säilytysaika tai jos se ei ole mahdollista, säilytysajan määrittämisessä käytetyt perusteet
  • rekisteröidyn oikeudet: oikeus saada tutustua omiin tietoihin sekä pyytää niiden poistamista ja oikaisemista, käsittelyn rajoittamista ja vastustamista sekä siirtoa järjestelmästä toiseen
  • oikeus tehdä valitus tietosuojaviranomaiselle
  • jos käsittelyn oikeusperusteena on suostumus, kerro oikeudesta peruuttaa suostumus milloin tahansa
  • automaattisen päätöksenteon yhteydessä merkitykselliset tiedot päätöksenteon perustana olevasta logiikasta ja päätösten seurauksista rekisteröidylle
  • henkilötietojen lähde, jos et ole saanut niitä suoraan kyseiseltä henkilöltä
  • tieto siitä, onko henkilö velvollinen antamaan henkilötiedot (lain tai sopimuksen perusteella tai sopimuksen tekemistä varten) ja mitä seurauksia kieltäytymisellä on.

 

Lisätietoja:

 

Samasta aiheesta:
Löysitkö vastauksen?

Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.

Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy

  • arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä  
  • henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
  • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.

 

Lisätietoja:

Löysitkö vastauksen?

Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.

On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.

  • Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.

 

Lisätietoja:

 

Löysitkö vastauksen?

Jos henkilötietoja kerätään suoraan henkilöiltä itseltään, organisaation on kerrottava henkilötietojen käsittelystä tiiviisti ja läpinäkyvästi helposti ymmärrettävällä, selkeällä kielellä. Tämä voidaan tehdä kirjallisesti (esim. tarjouskirjeessä) tai sähköisesti (esim. verkkosivustolla). Jos henkilö pyytää, tiedot voi myös antaa suullisesti, mutta sinun on kyettävä todistamaan jälkikäteen, että tiedot on annettu.

Myös silloin, kun tiedot on kerätty muualta, eli jos et kerää henkilötietoja suoraan henkilöltä itse, vaan esimerkiksi kolmannen osapuolen kautta, sinun on annettava heille samat yksityiskohtaiset tiedot.

Samasta aiheesta:
Löysitkö vastauksen?

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Tunnistettavissa oleva henkilö on kuka tahansa, joka voidaan tunnistaa joko suoraan tai välillisesti. Henkilötietoja voivat olla myös erilaiset tiedot, joita yhdistämällä tietty henkilö voidaan tunnistaa.
Esimerkkejä henkilötiedoista ovat:

  • etu- ja sukunimi
  • kotiosoite
  • sähköpostiosoite
  • sijaintitiedot
  • IP-osoite
  • evästetunniste
  • pankkitili
  • verotiedot
  • biometriset tiedot (esim. sormenjäljet)
  • henkilötunnus
  • passin numero
  • testitulokset
  • arvosanat koulussa
  • selaushistoria
  • valokuva henkilöstä
  • ajoneuvon rekisterinumero jne.

 

Lisätietoja:

Löysitkö vastauksen?

Tietyt henkilötietotyypit kuuluvat erityisiin henkilötietoryhmiin, mikä tarkoittaa, että niitä on suojattava erityisen huolellisesti. Ne ovat niin sanottuja arkaluonteisia tietoja. Arkaluonteisia tietoja ovat tiedot, joista ilmenee:

  • henkilön terveys
  • henkilön seksuaalinen suuntautuminen
  • henkilön etninen alkuperä
  • henkilön poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliittoon kuuluminen
  • henkilön biometriset ja geneettiset tiedot.

Arkaluonteisten tietojen käsittely on yleensä kiellettyä lukuun ottamatta tiettyjä tilanteita, joissa niitä saa käsitellä.

 

Lisätietoja:

Löysitkö vastauksen?

Tietosuoja-asetuksen noudattamista valvovat kansalliset tietosuojaviranomaiset. Tietosuojaviranomaiset voivat tarvittaessa tehdä selvityksiä ja määrätä seuraamuksia organisaatioille. Tietosuojaviranomaisilla on käytössään useita keinoja. Ne voivat muun muassa määrätä seuraamusmaksuja, joiden määrä voi olla enintään 20 miljoonaa euroa tai 4 prosenttia organisaation maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi. Lisäksi ne voivat antaa huomautuksia ja määräyksiä sekä määrätä väliaikaisia tai pysyviä henkilötietojen käsittelykieltoja.

Kaikkien ETA-maiden kansallisten tietosuojaviranomaisten yhteystiedot löytyvät tietosuojaneuvoston verkkosivuilta: Jäsenet
 

 

Lisätietoja:

Löysitkö vastauksen?

Tietosuojavastaavan tehtävänä on muun muassa

  • antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
  • seurata tietosuojasääntöjen noudattamista
  • antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
  • toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
  • toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.

Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.

 

Lisätietoja:

Löysitkö vastauksen?

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

 

Lisätietoja:

 

Samasta aiheesta:
Löysitkö vastauksen?

Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.

Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:

  • ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
  • ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.

 

Lisätietoja:

Samasta aiheesta:
Löysitkö vastauksen?
Subscribe to