Usein kysytyt kysymykset
Pitääkö minun sertifioitua, jotta voin toimia tietosuojavastaavana?
Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.
Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
Lisätietoja:
Pitääkö organisaationi noudattaa yleistä tietosuoja-asetusta?
Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin.
Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.
Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
Lisätietoja:
Kuka voi hoitaa tietosuojavastaavan tehtävää?
Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.
Lisätietoja:
Mikä on yhteisrekisterinpitäjä?
Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.
On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.
- Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.
Lisätietoja:
Mitä evästeet ovat?
Evästeet ovat pieniä tiedostoja, jotka tallennetaan käyttäjän päätelaitteelle, kuten tietokoneelle tai mobiililaitteelle, ja jotka voivat tallentaa tietoja. Evästeet palvelevat monia tärkeitä toimintoja, kuten verkkosivuston käyttäjien ja heidän aiemman toimintansa muistamista. Niiden avulla voidaan seurata tuotteita verkkokaupan ostoskorissa tai tietoja, jotka täytetään sähköiseen lomakkeeseen.
Todentamisevästeitä hyödynnetään käyttäjien tunnistamiseen, kun he kirjautuvat erilaisiin verkkopalveluihin, kuten pankkipalveluihin. Evästeisiin tallennetut tiedot voivat sisältää henkilötietoja, kuten IP-osoitteen, käyttäjänimen, yksilöllisen tunnisteen tai sähköpostiosoitteen.
Samasta aiheesta:
• Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
Mitä voin tehdä, jos henkilötietojen käsittelijä ei halua allekirjoittaa rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimusta?
Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
Lisätietoja:
Miten huomioin ihmisten tietosuojaoikeudet?
Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:
- kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
- vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.
Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.
Lisätietoja:
Mitkä ovat yleisen tietosuoja-asetuksen mukaiset vastuuni?
Yleinen tietosuoja-asetus asettaa velvoitteita kaikille henkilötietoja käsitteleville organisaatioille riippumatta siitä, ovatko ne rekisterinpitäjiä vai henkilötietojen käsittelijöitä.
Sinun tulee erityisesti:
- Varmista, että tarkoitus, jota varten henkilötietoja kerätään, on perusteltu. Kerää vain henkilötietoja, jotka ovat tarpeen suunniteltuja tarkoituksia varten.
- Pidä ihmisten henkilötiedot virheettöminä ja ajan tasalla, ja poista tiedot, kun niitä ei enää tarvita.
- Huomioi ihmisten oikeudet kertomalla heille, miten ja miksi heidän tietojaan käsitellään, ja anna heille mahdollisuus käyttää tietosuojaoikeuksiaan.
- Tarkista, että sinulla on asianmukainen oikeusperuste henkilötietojen käsittelyyn. Jos aiot turvautua henkilöiden suostumukseen, pyydä heidän suostumustaan ennen henkilötietojen käsittelyn aloittamista.
- Varmista, että käsittelet henkilötietoja turvallisesti.
- Pidä kirjaa henkilötietojen käsittelytoimistasi.
Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia, eivätkä ne saa käsitellä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti.
Lisätietoja:
Onko myös henkilötietojen käsittelijöiden noudatettava tietosuoja-asetusta?
Kyllä, yleisessä tietosuoja-asetuksessa on velvoitteita henkilötietojen käsittelijöille (eli niille, jotka käsittelevät tietoja rekisterinpitäjän lukuun). Rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuissa on kuitenkin joitakin eroja.
Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia. Sopimuksessa määritellään yksityiskohtaisesti käsittelytoimet ja keinot henkilötietojen käsittelyyn. Henkilötietojen käsittelijän on esimerkiksi käsiteltävä henkilötietoja asianmukaisin teknisin ja organisatorisin toimenpitein rekisterinpitäjän ohjeiden mukaisesti. Näin henkilötietojen käsittelijä tukee rekisterinpitäjää tietosuojasäännösten noudattamisessa.
Lisätietoja:
Onko tietosuojavastaava vastuussa yleisen tietosuoja-asetuksen noudattamisesta?
Tietosuojavastaavan ei voida katsoa olevan vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuoja-asetuksen noudattaminen on tietosuojavastaavan nimittäneen organisaation vastuulla.
Lisätietoja: