• Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista ja läpinäkyvää.
• Kerää henkilötietoja vain tiettyjä, nimenomaisia ja laillisia tarkoituksia varten. Henkilön tietojen käsittely on rajattava tiukasti alun perin määriteltyyn käyttötarkoitukseen, eikä niitä saa käsitellä myöhemmin muita tarkoituksia varten, jotka ovat ristiriidassa alkuperäisten käyttötarkoitusten kanssa.
• Käsittele ainoastaan henkilötietoja, jotka ovat tarpeellisia ja oikeasuhteisia suunniteltuun tarkoitukseen nähden.
• Kaikkien käsittelemiesi henkilötietojen on oltava täsmällisiä ja ajan tasalla. Virheelliset henkilötiedot on oikaistava tai poistettava.
• Henkilötietojen säilytystä on rajoitettava ajallisesti ottaen huomioon se tarkoitus, jota varten kyseiset tiedot on kerätty. Henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita.
• Tietoja on käsiteltävä turvallisesti. Ota käyttöön vahvat tietoturvatoimet varmistamaan, että henkilötiedot suojataan asianmukaisesti.

Rekisterinpitäjällä on osoitusvelvollisuus. Se tarkoittaa, että rekisterinpitäjä on vastuussa tietosuojaperiaatteiden noudattamisesta ja sen on kyettävä osoittamaan, että näitä periaatteita noudatetaan.

Lisätietoja:

• Tietosuojan perusteet

Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:

• henkilöin suostumuksella
• jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
• EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
• käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
• yksilön elintärkeiden etujen suojaamiseksi
• organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.

Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja siihen vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.

Henkilön oikeus saada tutustua omiin tietoihinsa on toteutettava maksutta.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia 

Kyllä voit, mutta sitä varten sinun on ensin määritettävä tämän henkilötietojen käsittelyn oikeusperuste. Tietojen käsittelyä voidaan esimerkiksi pitää organisaation oikeutettuna etuna. Kun henkilötietoja käsitellään oikeutetun edun perusteella, on aina tehtävä tasapainotesti sen määrittämiseksi, ylittävätkö oikeutetut etusi yksilön oikeudet, erityisesti jos kyseessä on lapsi.

Toinen mahdollinen oikeusperuste tällaiselle henkilötietojen käsittelylle voisi olla suostumus. Joka tapauksessa henkilöille on aina ilmoitettava etukäteen, että tapahtumaa kuvataan.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Suostumus voi olla pätevä peruste työnhakijoiden ansioluetteloiden tallentamiselle. Toinen mahdollinen käsittelyperuste voisi olla oikeutettu etu. Tällöin sinun on suoritettava tasapainotesti, jolla osoitat, että organisaatiosi oikeutetut edut ylittävät työnhakijoiden oikeudet.

Sinun on joka tapauksessa kerrottava työnhakijoille, että aiot tallentaa heidän tietojaan ja mihin tarkoituksiin ne tallennetaan.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Arkaluonteisten tietojen käsittely on lähtökohtaisesti kielletty. Se on sallittua vain tietyissä poikkeustapauksissa:

• Henkilö on antanut nimenomaisen suostumuksensa arkaluonteisten tietojensa käsittelyyn.
• Arkaluonteisten tietojen käsittely on tarpeen rekisterinpitäjän velvoitteiden täyttämiseksi erityisesti työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. Rekisterinpitäjä voi esimerkiksi joutua käsittelemään henkilön arkaluontoisia tietoja voidakseen määrittää, onko hänellä oikeus tiettyihin sosiaaliturvaetuuksiin tai työapurahoihin.
• Arkaluonteisten tietojen käsittely on tarpeen henkilön elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai juridisesti estynyt antamaan suostumustaan. Jos henkilö esimerkiksi jää tajuttomaksi onnettomuuden seurauksena ja vaatii välitöntä sairaanhoitoa, hänen terveystietojaan voidaan joutua käsittelemään hoidon vuoksi.
• Arkaluonteisten tietojen käsittely tapahtuu sellaisen säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä, jonka tavoitteena on poliittinen, filosofinen, uskonnollinen tai ammattiyhdistystoiminta, ja ainoastaan niiden jäsenten, entisten jäsenten tai niihin säännöllisesti yhteydessä olevien henkilöiden henkilötietojen käsittelyä varten.
• Henkilö on nimenomaisesti julkistanut arkaluonteiset tietonsa
• Arkaluonteisten tietojen käsittely on tarpeen oikeudellisten prosessien yhteydessä
• Arkaluonteisten tietojen käsittely on tarpeen yleistä etua koskevissa asioissa
• Arkaluonteisten tietojen käsittely on välttämätöntä ennaltaehkäisevän terveydenhuollon tai työterveydenhuollon yhteydessä. Esimerkiksi henkilön terveystietojen arviointi voi olla tarpeen työntekijän työkyvyn määrittämiseksi.
• Arkaluonteisten tietojen käsittely on tarpeen kansanterveyttä koskevissa asioissa EU:n tai kansallisen lainsäädännön perusteella. Henkilöiden arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi terveydenhuollon ja lääkkeiden korkean laadun varmistamiseksi tai vakavien terveysuhkien, kuten virusten, torjumiseksi.
• Arkaluonteisten tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi, jotta saadaan tarkkoja tilastoja maan tilanteesta.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Tietosuojavastaavan ei voida katsoa olevan vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuoja-asetuksen noudattaminen on tietosuojavastaavan nimittäneen organisaation vastuulla.

Lisätietoja:

• Tietosuojavastaava

Henkilötietoja ei voi säilyttää ikuisesti.

Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.

Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.

Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty. 

Lisätietoja:

• Tietosuojan perusteet

Henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamista, jolloin rekisterinpitäjällä on velvollisuus poistaa tiedot. Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja pyyntöön vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.

On tärkeää huomata, että oikeus tietojen poistamiseen ei ole ehdoton. Sitä ei sovelleta, jos kyseiset tiedot ovat tarpeen

• sananvapauden ja tiedonvälityksen vapauden käyttämiseen (esim. journalistisia tarkoituksia varten)
• sellaisen lakisääteisen velvoitteen noudattamiseksi, joka edellyttää henkilötietojen käsittelyä (esim. työntekijöiden työaikaa koskevien tietojen käsittely)
• kansanterveyteen liittyvistä yleistä etua koskevista syistä
• yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten
• oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos poistettavat henkilötiedot on aiemmin siirretty muille organisaatioille, sinun on ilmoitettava näille tietojen vastaanottajille, että henkilö on pyytänyt tietojensa poistamista. Poistopyynnöstä ei tarvitse ilmoittaa kyseisille organisaatioille, jos se osoittautuu mahdottomaksi tai vaatisi kohtuuttomasti työtä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

   

Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:

• suojaa pääsy tiloihin
• käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
• valitse huolellisesti salasanasi
• vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
• ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.

Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.

Lisätietoja:

•    Suojaa henkilötiedot