Usein kysytyt kysymykset
Mikä on EU:n yleinen tietosuoja-asetus?
Yleinen tietosuoja-asetus (GDPR) luo yhdenmukaiset säännöt, joita sovelletaan kaikkeen henkilötietojen käsittelyyn, jota suorittavat Euroopan talousalueella (ETA) sijaitsevat organisaatiot tai joka kohdistuu yksityishenkilöihin EU:ssa. Tietosuoja-asetusta sovelletaan niin julkisen kuin yksityisen sektorin organisaatioihin niiden koosta riippumatta. Yleisen tietosuoja-asetuksen ensisijaisena tavoitteena on varmistaa, että henkilötiedoilla on sama korkeatasoinen suoja kaikissa EU- ja ETA-maissa. Tämä vahvistaa sekä yksilöiden että tietoja käsittelevien organisaatioiden oikeusvarmuutta ja tarjoaa korkeatasoisen suojan ihmisille.
Asetus tuli voimaan 24.5.2016, ja sitä on sovellettu 25.5.2018 alkaen.
Kuka voi hoitaa tietosuojavastaavan tehtävää?
Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.
Lisätietoja:
Kuka on rekisterinpitäjä ja kuka henkilötietojen käsittelijä?
Yleisessä tietosuoja-asetuksessa erotetaan toisistaan kaksi keskeistä roolia: rekisterinpitäjä ja henkilötietojen käsittelijä. Roolien ero on tärkeä, koska rekisterinpitäjällä on enemmän vastuita ja sen on täytettävä enemmän velvoitteita kuin henkilötietojen käsittelijän.
Rekisterinpitäjiä ja henkilötietojen käsittelijöitä voivat olla esimerkiksi pk-yritys, viranomainen, yhtiö, valtion elin, yhdistys jne. Myös luonnollinen henkilö voi olla rekisterinpitäjä tai henkilötietojen käsittelijä.
Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin sanoen rekisterinpitäjä päättää, miten ja miksi tietoja käsitellään. Henkilötietojen käsittelijät käsittelevät henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijöiden suorittamaa käsittely on määritettävä rekisterinpitäjän kanssa tehdyssä sopimuksessa tai muulla oikeudellisella asiakirjalla.
Esimerkkejä rekisterinpitäjistä:
- yritykset, jotka käsittelevät asiakkaidensa henkilötietoja myyntiä varten
- rahoituslaitokset, jotka käsittelevät asiakkaidensa henkilötietoja
- yhdistykset, jotka käsittelevät jäsentensä tietoja
- koulut tai yliopistot, jotka käsittelevät opiskelijoiden ja opettajien henkilötietoja
- sairaalat, jotka käsittelevät potilaidensa henkilötietoja
- valtion virastot, jotka käsittelevät kansalaisten henkilötietoja.
Esimerkkejä henkilötietojen käsittelijöistä:
- Pk-yritys palkkaa kirjanpitopalvelun, jolloin pk-yritys on rekisterinpitäjä ja kirjanpitopalvelu tietojen käsittelijä
- Tilitoimisto käsittelee pk-yrityksen henkilötietoja. Tilitoimisto toimii henkilötietojen käsittelijänä, jos se käsittelee henkilötietoja yksinomaan pk-yrityksen lukuun. Pk-yritys määrittää tietojen käsittelyn tarkoitukset ja keinot, minkä vuoksi se on rekisterinpitäjä.
- Pk-yritys valtuuttaa markkinointiyrityksen keräämään sähköpostiosoitteita kolmansien osapuolten verkkosivustojen kautta. Markkinointiyritys tekee tämän pk-yrityksen ohjeiden mukaisesti ja ainoastaan pk-yrityksen käyttöön. Markkinointiyhtiö toimii henkilötietojen käsittelijänä tietojen keräämisessä.
Lisätietoja:
Pitääkö minun ylläpitää selostetta käsittelytoimistani?
Käytännössä jokaisen yrityksesi tulee pitää kirjaa käsittelytoimistaan. Seloste käsittelytoimista on kirjallinen kuvaus kaikesta organisaation tekemästä henkilötietojen käsittelystä ja voi auttaa sinua tunnistamaan tietosuoja-asetuksen mukaisia vastuistasi ja mahdollisia riskejä.
Jokainen käsittelytoimi on kuvattava selosteessa seuraavilla tiedoilla:
- käsittelyn tarkoitus (esim. asiakasuskollisuus),
- käsiteltävien tietojen luokat (esim. palkkakuitissa nimi, syntymäaika, palkan suuruus jne.),
- kenellä on pääsy tietoihin (vastaanottajat, esim. rekrytoinnista vastaava yksikkö, IT-palvelu, organisaation johto, palveluntarjoajat, kumppanit),
- tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
- mahdollisuuksien mukaan tietojen säilytysaika (aika, jona tiedot ovat hyödynnettävissä sekä niiden arkistointiaika).
- mahdollisuuksien mukaan yleinen kuvaus turvatoimista.
Käsittelytoimien kirjaaminen kuuluu organisaatiosi johdon vastuulle.
Käsittelytoimia koskevan selosteen on oltava pyydettäessä sen maan tietosuojaviranomaisen saatavilla, jossa toimit.
Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse kirjata selosteeseen puhtaasti satunnaisia toimia (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).
Lisätietoja:
Mitkä ovat yleisen tietosuoja-asetuksen mukaiset vastuuni?
Yleinen tietosuoja-asetus asettaa velvoitteita kaikille henkilötietoja käsitteleville organisaatioille riippumatta siitä, ovatko ne rekisterinpitäjiä vai henkilötietojen käsittelijöitä.
Sinun tulee erityisesti:
- Varmista, että tarkoitus, jota varten henkilötietoja kerätään, on perusteltu. Kerää vain henkilötietoja, jotka ovat tarpeen suunniteltuja tarkoituksia varten.
- Pidä ihmisten henkilötiedot virheettöminä ja ajan tasalla, ja poista tiedot, kun niitä ei enää tarvita.
- Huomioi ihmisten oikeudet kertomalla heille, miten ja miksi heidän tietojaan käsitellään, ja anna heille mahdollisuus käyttää tietosuojaoikeuksiaan.
- Tarkista, että sinulla on asianmukainen oikeusperuste henkilötietojen käsittelyyn. Jos aiot turvautua henkilöiden suostumukseen, pyydä heidän suostumustaan ennen henkilötietojen käsittelyn aloittamista.
- Varmista, että käsittelet henkilötietoja turvallisesti.
- Pidä kirjaa henkilötietojen käsittelytoimistasi.
Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia, eivätkä ne saa käsitellä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti.
Lisätietoja:
Mitä eroa on pseudonymisoiduilla ja anonymisoiduilla tiedoilla?
Pseudonymisointi tarkoittaa henkilötietojen muuttamista sellaiseen muotoon, että niitä ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot on säilytettävä erillään, ja teknisten ja organisatoristen toimenpiteiden avulla on varmistettava, että tietoja ei voida yhdistää yksittäiseen henkilöön. Käytännössä pseudonymisointi voi tarkoittaa henkilötietojen (esim. nimen, henkilötunnuksen, puhelinnumeron tms.) korvaamista tietokokonaisuudessa epäsuorasti tunnistettavilla tiedoilla (alias, järjestysnumero tms.). Pseudonymisoidut tiedot ovat edelleen henkilötietoja ja niihin sovelletaan tietosuojalainsäädäntöä.
Anonymisoidut tiedot ovat tietoja, jotka on tehty tunnistamattomiksi niin, että henkilöä ei enää voida tunnistaa niistä millään kohtuullisella tavalla. Kun anonymisointi on toteutettu asianmukaisesti, yleistä tietosuoja-asetusta ei enää sovelleta niihin.
Lisätietoja:
Mitä henkilötiedot ovat?
Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Tunnistettavissa oleva henkilö on kuka tahansa, joka voidaan tunnistaa joko suoraan tai välillisesti. Henkilötietoja voivat olla myös erilaiset tiedot, joita yhdistämällä tietty henkilö voidaan tunnistaa.
Esimerkkejä henkilötiedoista ovat:
- etu- ja sukunimi
- kotiosoite
- sähköpostiosoite
- sijaintitiedot
- IP-osoite
- evästetunniste
- pankkitili
- verotiedot
- biometriset tiedot (esim. sormenjäljet)
- henkilötunnus
- passin numero
- testitulokset
- arvosanat koulussa
- selaushistoria
- valokuva henkilöstä
- ajoneuvon rekisterinumero jne.
Lisätietoja:
Miten pysyn Euroopan tietosuojaneuvoston työn tasalla?
Tietosuojaneuvosto julkaisee säännöllisesti tiedotteita, uutisia, blogeja ja muuta sisältöä verkkosivustollaan ja sosiaalisen median kanavissaan (Twitter: @EU_EDPB; LinkedIn: Euroopan tietosuojaneuvosto) pitääkseen tietosuojayhteisön ja suuren yleisön ajan tasalla työstään.
Tietosuojaneuvoston verkkosivustolla on myös kaksi RSS-syötettä, joista voit tilata päivityksiä tietosuojaneuvoston uutisista ja uusimmista julkaisuista.
Mitkä ovat henkilötietojen käsittelyn periaatteet tietosuoja-asetuksen mukaan?
- Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista ja läpinäkyvää.
- Kerää henkilötietoja vain tiettyjä, nimenomaisia ja laillisia tarkoituksia varten. Henkilön tietojen käsittely on rajattava tiukasti alun perin määriteltyyn käyttötarkoitukseen, eikä niitä saa käsitellä myöhemmin muita tarkoituksia varten, jotka ovat ristiriidassa alkuperäisten käyttötarkoitusten kanssa.
- Käsittele ainoastaan henkilötietoja, jotka ovat tarpeellisia ja oikeasuhteisia suunniteltuun tarkoitukseen nähden.
- Kaikkien käsittelemiesi henkilötietojen on oltava täsmällisiä ja ajan tasalla. Virheelliset henkilötiedot on oikaistava tai poistettava.
- Henkilötietojen säilytystä on rajoitettava ajallisesti ottaen huomioon se tarkoitus, jota varten kyseiset tiedot on kerätty. Henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita.
- Tietoja on käsiteltävä turvallisesti. Ota käyttöön vahvat tietoturvatoimet varmistamaan, että henkilötiedot suojataan asianmukaisesti.
Rekisterinpitäjällä on osoitusvelvollisuus. Se tarkoittaa, että rekisterinpitäjä on vastuussa tietosuojaperiaatteiden noudattamisesta ja sen on kyettävä osoittamaan, että näitä periaatteita noudatetaan.
Lisätietoja:
Onko minun julkistettava selosteeni käsittelytoimista?
Ei, sinun ei tarvitse julkistaa ylläpitämääsi selostetta tietojenkäsittelystäsi. Käsittelytoimia koskevan selosteen on kuitenkin oltava pyydettäessä tietosuojaviranomaisen saatavilla.
Lisätietoja: