Rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa on määriteltävä, että henkilötietojen käsittelijä:

• käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tämä koskee myös henkilötietojen siirtoa ETA-maiden ulkopuolelle.
• varmistaa, että henkilöt, joilla on valtuudet käsitellä tietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus
• varmistaa käsittelyn turvallisuuden
• ei saa käyttää toista henkilötietojen käsittelijää ilman rekisterinpitäjän etukäteen antamaa kirjallista lupaa
• auttaa rekisterinpitäjää täyttämään velvoitteet ihmisten tietosuojaoikeuksia koskeviin pyyntöihin vastaamisessa
• avustaa rekisterinpitäjää henkilötietojen turvallisessa käsittelyssä, tietoturvaloukkauksista ilmoittamisessa ja tietosuojan vaikutustenarviointien tekemisessä
• poistaa tai palauttaa rekisterinpitäjälle kaikki henkilötiedot rekisterinpitäjän päättämällä tavalla, kun palvelujen tarjoaminen päättyy
• asettaa rekisterinpitäjän saataville kaikki tiedot, joilla voidaan osoittaa, että tietosuoja-asetuksen velvoitteita noudatetaan
• mahdollistaa tarkastukset ja osallistuu niihin. Niitä voivat olla esimerkiksi rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tilintarkastajan suorittamat tarkastukset.

Lisäksi henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo ohjeiden rikkovan yleistä tietosuoja-asetusta tai muita EU:n tai kansallisia tietosuojasäännöksiä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Tietosuoja-asetuksen noudattamista valvovat kansalliset tietosuojaviranomaiset. Tietosuojaviranomaiset voivat tarvittaessa tehdä selvityksiä ja määrätä seuraamuksia organisaatioille. Tietosuojaviranomaisilla on käytössään useita keinoja. Ne voivat muun muassa määrätä seuraamusmaksuja, joiden määrä voi olla enintään 20 miljoonaa euroa tai 4 prosenttia organisaation maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi. Lisäksi ne voivat antaa huomautuksia ja määräyksiä sekä määrätä väliaikaisia tai pysyviä henkilötietojen käsittelykieltoja.

Kaikkien ETA-maiden kansallisten tietosuojaviranomaisten yhteystiedot löytyvät tietosuojaneuvoston verkkosivuilta: Jäsenet
 

Lisätietoja:

• Tietosuojaviranomainen ja sinä

Tietosuoja-asetusta sovelletaan evästeiden käyttöön, kun niihin liittyy henkilötietojen käsittelyä. Evästeille on olemassa myös tarkempia sääntöjä, kuten sähköisen viestinnän tietosuojadirektiivi.

Evästeen tallentaminen käyttäjän päätelaitteelle tai jo tallennettuun evästeeseen pääsy on sallittua vain, jos käyttäjä on saanut riittävät tiedot evästeiden tarkoituksista ja antanut suostumuksensa evästeiden käyttöön.

Ainoa poikkeus ovat teknisesti välttämättömät evästeet. Sinun ei tarvitse pyytää käyttäjältä suostumusta verkkosivustolla käytettäviin teknisesti välttämättömiin evästeisiin
 

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.

Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy

• arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä  
• henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
• yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.

Lisätietoja:

• Noudata tietosuojavaatimuksia

Ensimmäinen askel valvontakameran asentamisessa on tunnistaa kameravalvonnan tarkoitukset. Valvontakameran asentamisen käyttötarkoitukset voivat vaihdella. Niitä voivat olla esimerkiksi tilojen turvallisuuden varmistaminen, varkauksien ja muiden rikosten ehkäiseminen ja havaitseminen tai työntekijöiden hengen ja terveyden suojelu työn luonteen vuoksi.
Kuten kaikessa henkilötietojen käsittelyssä, myös henkilöiden kuvaamiselle valvontakameralla on oltava tietosuoja-asetuksen mukainen käsittelyperuste. Suostumus voi olla peruste tällaiselle tietojen käsittelylle. Tämä ei kuitenkaan todennäköisesti päde kameravalvontaan useimmissa tapauksissa, koska kaikilta henkilöiltä, joita kuvataan, on vaikea saada vapaaehtoista suostumusta. Tämäntyyppisen henkilötietojen käsittelyn yleisin peruste on oikeutettu etu. Kun käsittely perustuu oikeutettuun etuun, sinun on tehtävä tasapainotesti, jolla määritetään, ylittävätkö oikeutetut etusi yksilön oikeudet.
Sinun on kerrottava henkilöille kameravalvonnan käytöstä. Tämä voidaan tehdä asettamalla helposti luettavia kylttejä näkyviin paikkoihin. Lisäksi kaikille sisäänkäynneille tulee sijoittaa ilmoitus, josta käy ilmi kameravalvonnan tarkoitus sekä rekisterinpitäjän nimi ja yhteystiedot.
Henkilöille, joita kameravalvontajärjestelmä kuvaa, on annettava seuraavat tiedot:

• kuka on rekisterinpitäjä ja  rekisterinpitäjän yhteystiedot,
• henkilötietojen käsittelyn tarkoitukset,
• käsittelyn oikeusperuste (jos oikeusperusteena on oikeutettu etu, on kerrottava, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja minkä tahon kukin oikeutettu etu on),
• tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava),
• tietojen vastaanottajat tai vastaanottajaryhmät (kuka tietoihin voi päästä),
• kameravalvontatallennetta koskevat turvajärjestelyt,
• kameravalvontatallenteiden säilytysaika,
• tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet ja oikeus tehdä valitus tietosuojaviranomaiselle.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti
• Kunnioita ihmisten tietosuojaoikeuksia 

Yleisen tietosuoja-asetuksen perusteella on periaatteessa kaksi pääasiallista tapaa siirtää henkilötietoja Euroopan talousalueen ulkopuoliseen maahan tai kansainväliselle järjestölle. Ensisijaisesti siirrot voidaan tehdä tietosuojan riittävyyttä koskevan päätöksen perusteella. Jos tietosuojan riittävyyspäätöstä ei ole, voidaan tietoja siirtää asianmukaisten suojatoimien nojalla. Niihin sisältyy täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja yksityishenkilöille. Tiedonsiirtoperusteet määritellään tietosuoja-asetuksessa.  

Lisätietoja:

• Kansainväliset tiedonsiirrot

Kyllä voit, mutta sitä varten sinun on ensin määritettävä tämän henkilötietojen käsittelyn oikeusperuste. Tietojen käsittelyä voidaan esimerkiksi pitää organisaation oikeutettuna etuna. Kun henkilötietoja käsitellään oikeutetun edun perusteella, on aina tehtävä tasapainotesti sen määrittämiseksi, ylittävätkö oikeutetut etusi yksilön oikeudet, erityisesti jos kyseessä on lapsi.

Toinen mahdollinen oikeusperuste tällaiselle henkilötietojen käsittelylle voisi olla suostumus. Joka tapauksessa henkilöille on aina ilmoitettava etukäteen, että tapahtumaa kuvataan.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Suostumus voi olla pätevä peruste työnhakijoiden ansioluetteloiden tallentamiselle. Toinen mahdollinen käsittelyperuste voisi olla oikeutettu etu. Tällöin sinun on suoritettava tasapainotesti, jolla osoitat, että organisaatiosi oikeutetut edut ylittävät työnhakijoiden oikeudet.

Sinun on joka tapauksessa kerrottava työnhakijoille, että aiot tallentaa heidän tietojaan ja mihin tarkoituksiin ne tallennetaan.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.

On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.

• Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Henkilötietojen käsittelyllä tarkoitetaan kaikenlaisia toimintoja (käsittelytoimia), joita suoritetaan ihmisten henkilötiedoilla tai joihin käytetään henkilötietoja. Käsittelyä on henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, palauttaminen, hakeminen, tiedustelujen tekeminen tietokannoista, käyttö, luovuttaminen siirtämällä, välittämällä tai asettamalla muulla tavalla saataville, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.