Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:

• suojaa pääsy tiloihin
• käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
• valitse huolellisesti salasanasi
• vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
• ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.

Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.

Lisätietoja:

•    Suojaa henkilötiedot

Jotta suostumus voidaan katsoa päteväksi, sen on oltava:

• vapaaehtoinen,
• yksilöity,
• tietoinen ja
• yksiselitteinen.

Tämä tarkoittaa, että henkilöllä on oltava aidosti vapaus valita, suostuuko hän henkilötietojensa käsittelyyn vai ei. Ihmiset tarvitsevat riittävästi tietoa, jotta he ymmärtävät, mitä tietoja heistä käsitellään, millä tavalla ja mihin tarkoitukseen. Myös suostumuspyyntöjen on oltava riittävän yksityiskohtaisia. 

Lisäksi henkilön on annettava suostumus selkeästi aktiivisella toimella, eli esimerkiksi valmiiksi rastitettuja ruutuja ei voi käyttää. Suostumus on myös voitava antaa erillään yleisten käyttöehtojen hyväksynnästä.

Lisäksi henkilön on voitava vapaasti peruuttaa suostumuksensa ilman negatiivisia seurauksia, jos hän muuttaa mieltään myöhemmin.
 

Lisätietoja:

• Process personal data lawfully

Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:

• kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
• vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.

Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia 

Kyllä, yleistä tietosuoja-asetusta sovelletaan, jos henkilötiedot on sisällytetty tai ne on tarkoitus sisällyttää osaksi rekisteriä. Tämä tarkoittaa, että tietosuoja-asetusta sovelletaan myös paperiasiakirjoihin, ei pelkästään automatisoituun henkilötietojen käsittelyyn.

Lisätietoja:

• Tietosuojan perusteet

Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin. 

Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.

Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
 

Lisätietoja:

• Tietosuojan perusteet

Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.

Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
 

Lisätietoja:

• Tietosuojavastaava

   

Tietosuoja-asetusta sovelletaan evästeiden käyttöön, kun niihin liittyy henkilötietojen käsittelyä. Evästeille on olemassa myös tarkempia sääntöjä, kuten sähköisen viestinnän tietosuojadirektiivi.

Evästeen tallentaminen käyttäjän päätelaitteelle tai jo tallennettuun evästeeseen pääsy on sallittua vain, jos käyttäjä on saanut riittävät tiedot evästeiden tarkoituksista ja antanut suostumuksensa evästeiden käyttöön.

Ainoa poikkeus ovat teknisesti välttämättömät evästeet. Sinun ei tarvitse pyytää käyttäjältä suostumusta verkkosivustolla käytettäviin teknisesti välttämättömiin evästeisiin
 

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Käytännössä jokaisen yrityksesi tulee pitää kirjaa käsittelytoimistaan. Seloste käsittelytoimista on kirjallinen kuvaus kaikesta organisaation tekemästä henkilötietojen käsittelystä ja voi auttaa sinua tunnistamaan tietosuoja-asetuksen mukaisia vastuistasi ja mahdollisia riskejä.
Jokainen käsittelytoimi on kuvattava selosteessa seuraavilla tiedoilla:

• käsittelyn tarkoitus (esim. asiakasuskollisuus),
• käsiteltävien tietojen luokat (esim. palkkakuitissa nimi, syntymäaika, palkan suuruus jne.),
• kenellä on pääsy tietoihin (vastaanottajat, esim. rekrytoinnista vastaava yksikkö, IT-palvelu, organisaation johto, palveluntarjoajat, kumppanit),
• tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
• mahdollisuuksien mukaan tietojen säilytysaika (aika, jona tiedot ovat hyödynnettävissä sekä niiden arkistointiaika).
• mahdollisuuksien mukaan yleinen kuvaus turvatoimista.

Käsittelytoimien kirjaaminen kuuluu organisaatiosi johdon vastuulle.

Käsittelytoimia koskevan selosteen on oltava pyydettäessä sen maan tietosuojaviranomaisen saatavilla, jossa toimit.

Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse kirjata selosteeseen puhtaasti satunnaisia toimia (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).

Lisätietoja:

• Noudata tietosuojavaatimuksia

Kyllä, yleisessä tietosuoja-asetuksessa on velvoitteita henkilötietojen käsittelijöille (eli niille, jotka käsittelevät tietoja rekisterinpitäjän lukuun). Rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuissa on kuitenkin joitakin eroja.

Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia. Sopimuksessa määritellään yksityiskohtaisesti käsittelytoimet ja keinot henkilötietojen käsittelyyn. Henkilötietojen käsittelijän on esimerkiksi käsiteltävä henkilötietoja asianmukaisin teknisin ja organisatorisin toimenpitein rekisterinpitäjän ohjeiden mukaisesti. Näin henkilötietojen käsittelijä tukee rekisterinpitäjää tietosuojasäännösten noudattamisessa.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Yleisen tietosuoja-asetuksen perusteella on periaatteessa kaksi pääasiallista tapaa siirtää henkilötietoja Euroopan talousalueen ulkopuoliseen maahan tai kansainväliselle järjestölle. Ensisijaisesti siirrot voidaan tehdä tietosuojan riittävyyttä koskevan päätöksen perusteella. Jos tietosuojan riittävyyspäätöstä ei ole, voidaan tietoja siirtää asianmukaisten suojatoimien nojalla. Niihin sisältyy täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja yksityishenkilöille. Tiedonsiirtoperusteet määritellään tietosuoja-asetuksessa.  

Lisätietoja:

• Kansainväliset tiedonsiirrot