Yleinen tietosuoja-asetus antaa yksityishenkilöille mahdollisuuden valvoa henkilötietojensa käsittelyä. Tätä varten avoimuus on avainasemassa. Tämä tarkoittaa, että sinun on ilmoitettava käsittelytoimistasi ja henkilötietojen käyttötarkoituksista henkilöille, joiden tietoja käsittelet. Toisin sanoen sinun täytyy kertoa, kuka käsittelee heidän tietojaan, millä tavalla ja miksi. Kun henkilötietojen käyttö on läpinäkyvää, henkilöt voivat arvioida mahdollisia riskejä ja tehdä omiin henkilötietoihinsa liittyviä päätöksiä.
Tietosuoja-asetuksen mukaan sinun on annettava henkilöille seuraavat tiedot:

• kuka rekisterinpitäjä on ja rekisterinpitäjän yhteystiedot
• mitä tarkoitusta varten henkilötietoja tarvitaan
• henkilötietojen käsittelyn oikeusperuste (jos peruste on oikeutettu etu, sinun on annettava tieto siitä, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja siitä, minkä tahon kukin oikeutettu etu on).
• tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava)
• tietojen vastaanottajat tai vastaanottajaryhmät (kuka pääsee tietoihin)
• tieto siitä, siirretäänkö tietoja Euroopan talousalueen ulkopuolelle (tieto tietosuojan riittävyyttä koskevan päätöksen olemassaolosta tai muusta käytettävästä siirtoperusteesta ja keinot saada tiedot niiden sisällöstä)
• käsiteltävien henkilötietojen ryhmät, jos tietoja ei saada henkilöltä itseltään.

Lisäksi sinun pitää antaa ihmisille seuraavat tiedot henkilötietojen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi:

• säilytysaika tai jos se ei ole mahdollista, säilytysajan määrittämisessä käytetyt perusteet
• rekisteröidyn oikeudet: oikeus saada tutustua omiin tietoihin sekä pyytää niiden poistamista ja oikaisemista, käsittelyn rajoittamista ja vastustamista sekä siirtoa järjestelmästä toiseen
• oikeus tehdä valitus tietosuojaviranomaiselle
• jos käsittelyn oikeusperusteena on suostumus, kerro oikeudesta peruuttaa suostumus milloin tahansa
• automaattisen päätöksenteon yhteydessä merkitykselliset tiedot päätöksenteon perustana olevasta logiikasta ja päätösten seurauksista rekisteröidylle
• henkilötietojen lähde, jos et ole saanut niitä suoraan kyseiseltä henkilöltä
• tieto siitä, onko henkilö velvollinen antamaan henkilötiedot (lain tai sopimuksen perusteella tai sopimuksen tekemistä varten) ja mitä seurauksia kieltäytymisellä on.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:

• henkilöin suostumuksella
• jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
• EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
• käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
• yksilön elintärkeiden etujen suojaamiseksi
• organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.

Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.

Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
 

Lisätietoja:

• Tietosuojavastaava

   

Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin. 

Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.

Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
 

Lisätietoja:

• Tietosuojan perusteet

Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.

Lisätietoja:

• Tietosuojavastaava

Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi

• jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
• jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään. 

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:

• suojaa pääsy tiloihin
• käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
• valitse huolellisesti salasanasi
• vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
• ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.

Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.

Lisätietoja:

•    Suojaa henkilötiedot

Evästeet ovat pieniä tiedostoja, jotka tallennetaan käyttäjän päätelaitteelle, kuten tietokoneelle tai mobiililaitteelle, ja jotka voivat tallentaa tietoja. Evästeet palvelevat monia tärkeitä toimintoja, kuten verkkosivuston käyttäjien ja heidän aiemman toimintansa muistamista. Niiden avulla voidaan seurata tuotteita verkkokaupan ostoskorissa tai tietoja, jotka täytetään sähköiseen lomakkeeseen.

Todentamisevästeitä hyödynnetään käyttäjien tunnistamiseen, kun he kirjautuvat erilaisiin verkkopalveluihin, kuten pankkipalveluihin. Evästeisiin tallennetut tiedot voivat sisältää henkilötietoja, kuten IP-osoitteen, käyttäjänimen, yksilöllisen tunnisteen tai sähköpostiosoitteen.

Samasta aiheesta:

•    Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
 

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:

• kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
• vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.

Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia