Tietosuojavastaavan tehtävänä on muun muassa

• antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
• seurata tietosuojasääntöjen noudattamista
• antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
• toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
• toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.

Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.

Lisätietoja:

• Tietosuojavastaava

Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin. 

Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.

Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
 

Lisätietoja:

• Tietosuojan perusteet

Ei, sinun ei tarvitse julkistaa ylläpitämääsi selostetta tietojenkäsittelystäsi. Käsittelytoimia koskevan selosteen on kuitenkin oltava pyydettäessä tietosuojaviranomaisen saatavilla.

Lisätietoja:

• Noudata tietosuojavaatimuksia

Kyllä voit, mutta tietosuoja-asetuksessa on tiettyjä velvoitteita yrityksille, jotka jakavat henkilötietoja. Yrityksesi on ilmoitettava henkilöille, että jaat heidän tietonsa kolmannen osapuolen kanssa. Sinun on myös kerrottava heille, miksi tiedot jaetaan ja miten ne suojataan, sekä informoitava heitä tietojen säilyttämisestä ja siitä, kenellä on pääsy tietoihin.

Samasta aiheesta:

• Mitä henkilötiedot ovat?

Tietosuoja-asetusta sovelletaan evästeiden käyttöön, kun niihin liittyy henkilötietojen käsittelyä. Evästeille on olemassa myös tarkempia sääntöjä, kuten sähköisen viestinnän tietosuojadirektiivi.

Evästeen tallentaminen käyttäjän päätelaitteelle tai jo tallennettuun evästeeseen pääsy on sallittua vain, jos käyttäjä on saanut riittävät tiedot evästeiden tarkoituksista ja antanut suostumuksensa evästeiden käyttöön.

Ainoa poikkeus ovat teknisesti välttämättömät evästeet. Sinun ei tarvitse pyytää käyttäjältä suostumusta verkkosivustolla käytettäviin teknisesti välttämättömiin evästeisiin
 

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa on määriteltävä, että henkilötietojen käsittelijä:

• käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tämä koskee myös henkilötietojen siirtoa ETA-maiden ulkopuolelle.
• varmistaa, että henkilöt, joilla on valtuudet käsitellä tietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus
• varmistaa käsittelyn turvallisuuden
• ei saa käyttää toista henkilötietojen käsittelijää ilman rekisterinpitäjän etukäteen antamaa kirjallista lupaa
• auttaa rekisterinpitäjää täyttämään velvoitteet ihmisten tietosuojaoikeuksia koskeviin pyyntöihin vastaamisessa
• avustaa rekisterinpitäjää henkilötietojen turvallisessa käsittelyssä, tietoturvaloukkauksista ilmoittamisessa ja tietosuojan vaikutustenarviointien tekemisessä
• poistaa tai palauttaa rekisterinpitäjälle kaikki henkilötiedot rekisterinpitäjän päättämällä tavalla, kun palvelujen tarjoaminen päättyy
• asettaa rekisterinpitäjän saataville kaikki tiedot, joilla voidaan osoittaa, että tietosuoja-asetuksen velvoitteita noudatetaan
• mahdollistaa tarkastukset ja osallistuu niihin. Niitä voivat olla esimerkiksi rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tilintarkastajan suorittamat tarkastukset.

Lisäksi henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo ohjeiden rikkovan yleistä tietosuoja-asetusta tai muita EU:n tai kansallisia tietosuojasäännöksiä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Yleinen tietosuoja-asetus antaa yksityishenkilöille mahdollisuuden valvoa henkilötietojensa käsittelyä. Tätä varten avoimuus on avainasemassa. Tämä tarkoittaa, että sinun on ilmoitettava käsittelytoimistasi ja henkilötietojen käyttötarkoituksista henkilöille, joiden tietoja käsittelet. Toisin sanoen sinun täytyy kertoa, kuka käsittelee heidän tietojaan, millä tavalla ja miksi. Kun henkilötietojen käyttö on läpinäkyvää, henkilöt voivat arvioida mahdollisia riskejä ja tehdä omiin henkilötietoihinsa liittyviä päätöksiä.
Tietosuoja-asetuksen mukaan sinun on annettava henkilöille seuraavat tiedot:

• kuka rekisterinpitäjä on ja rekisterinpitäjän yhteystiedot
• mitä tarkoitusta varten henkilötietoja tarvitaan
• henkilötietojen käsittelyn oikeusperuste (jos peruste on oikeutettu etu, sinun on annettava tieto siitä, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja siitä, minkä tahon kukin oikeutettu etu on).
• tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava)
• tietojen vastaanottajat tai vastaanottajaryhmät (kuka pääsee tietoihin)
• tieto siitä, siirretäänkö tietoja Euroopan talousalueen ulkopuolelle (tieto tietosuojan riittävyyttä koskevan päätöksen olemassaolosta tai muusta käytettävästä siirtoperusteesta ja keinot saada tiedot niiden sisällöstä)
• käsiteltävien henkilötietojen ryhmät, jos tietoja ei saada henkilöltä itseltään.

Lisäksi sinun pitää antaa ihmisille seuraavat tiedot henkilötietojen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi:

• säilytysaika tai jos se ei ole mahdollista, säilytysajan määrittämisessä käytetyt perusteet
• rekisteröidyn oikeudet: oikeus saada tutustua omiin tietoihin sekä pyytää niiden poistamista ja oikaisemista, käsittelyn rajoittamista ja vastustamista sekä siirtoa järjestelmästä toiseen
• oikeus tehdä valitus tietosuojaviranomaiselle
• jos käsittelyn oikeusperusteena on suostumus, kerro oikeudesta peruuttaa suostumus milloin tahansa
• automaattisen päätöksenteon yhteydessä merkitykselliset tiedot päätöksenteon perustana olevasta logiikasta ja päätösten seurauksista rekisteröidylle
• henkilötietojen lähde, jos et ole saanut niitä suoraan kyseiseltä henkilöltä
• tieto siitä, onko henkilö velvollinen antamaan henkilötiedot (lain tai sopimuksen perusteella tai sopimuksen tekemistä varten) ja mitä seurauksia kieltäytymisellä on.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Tietosuojavastaavan ei voida katsoa olevan vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuoja-asetuksen noudattaminen on tietosuojavastaavan nimittäneen organisaation vastuulla.

Lisätietoja:

• Tietosuojavastaava

Ensimmäinen askel valvontakameran asentamisessa on tunnistaa kameravalvonnan tarkoitukset. Valvontakameran asentamisen käyttötarkoitukset voivat vaihdella. Niitä voivat olla esimerkiksi tilojen turvallisuuden varmistaminen, varkauksien ja muiden rikosten ehkäiseminen ja havaitseminen tai työntekijöiden hengen ja terveyden suojelu työn luonteen vuoksi.
Kuten kaikessa henkilötietojen käsittelyssä, myös henkilöiden kuvaamiselle valvontakameralla on oltava tietosuoja-asetuksen mukainen käsittelyperuste. Suostumus voi olla peruste tällaiselle tietojen käsittelylle. Tämä ei kuitenkaan todennäköisesti päde kameravalvontaan useimmissa tapauksissa, koska kaikilta henkilöiltä, joita kuvataan, on vaikea saada vapaaehtoista suostumusta. Tämäntyyppisen henkilötietojen käsittelyn yleisin peruste on oikeutettu etu. Kun käsittely perustuu oikeutettuun etuun, sinun on tehtävä tasapainotesti, jolla määritetään, ylittävätkö oikeutetut etusi yksilön oikeudet.
Sinun on kerrottava henkilöille kameravalvonnan käytöstä. Tämä voidaan tehdä asettamalla helposti luettavia kylttejä näkyviin paikkoihin. Lisäksi kaikille sisäänkäynneille tulee sijoittaa ilmoitus, josta käy ilmi kameravalvonnan tarkoitus sekä rekisterinpitäjän nimi ja yhteystiedot.
Henkilöille, joita kameravalvontajärjestelmä kuvaa, on annettava seuraavat tiedot:

• kuka on rekisterinpitäjä ja  rekisterinpitäjän yhteystiedot,
• henkilötietojen käsittelyn tarkoitukset,
• käsittelyn oikeusperuste (jos oikeusperusteena on oikeutettu etu, on kerrottava, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja minkä tahon kukin oikeutettu etu on),
• tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava),
• tietojen vastaanottajat tai vastaanottajaryhmät (kuka tietoihin voi päästä),
• kameravalvontatallennetta koskevat turvajärjestelyt,
• kameravalvontatallenteiden säilytysaika,
• tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet ja oikeus tehdä valitus tietosuojaviranomaiselle.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti
• Kunnioita ihmisten tietosuojaoikeuksia 

Tietyt henkilötietotyypit kuuluvat erityisiin henkilötietoryhmiin, mikä tarkoittaa, että niitä on suojattava erityisen huolellisesti. Ne ovat niin sanottuja arkaluonteisia tietoja. Arkaluonteisia tietoja ovat tiedot, joista ilmenee:

• henkilön terveys
• henkilön seksuaalinen suuntautuminen
• henkilön etninen alkuperä
• henkilön poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliittoon kuuluminen
• henkilön biometriset ja geneettiset tiedot.

Arkaluonteisten tietojen käsittely on yleensä kiellettyä lukuun ottamatta tiettyjä tilanteita, joissa niitä saa käsitellä.

Lisätietoja:

• Tietosuojan perusteet