Usein kysytyt kysymykset
Mitä voin tehdä, jos henkilötietojen käsittelijä ei halua allekirjoittaa rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimusta?
Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
Lisätietoja:
Mitkä ovat tietosuojavastaavan tehtävät?
Tietosuojavastaavan tehtävänä on muun muassa
- antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
- seurata tietosuojasääntöjen noudattamista
- antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
- toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
- toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.
Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.
Lisätietoja:
Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:
- henkilöin suostumuksella
- jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
- EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
- yksilön elintärkeiden etujen suojaamiseksi
- organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.
Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.
Lisätietoja:
Pitääkö minun sertifioitua, jotta voin toimia tietosuojavastaavana?
Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.
Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
Lisätietoja:
Rekisterinpitäjänä olen kerännyt ihmisten henkilötietoja kolmannelta osapuolelta. Mitä minun pitää tehdä, jotta täytän tietosuoja-asetuksen vaatimukset?
- Varmista, että saamasi tiedot on kerätty laillisesti ja että kyseisille henkilöille on ilmoitettu heidän tietojensa käsittelystä.
- Jos kolmas osapuoli käsittelee henkilötietoja puolestasi, varmista, että sinulla on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus, jossa määritellään käsittelytoimet ja henkilötietojen käsittelyn keinot.
Lisäksi sinun on tietysti noudatettava kaikkia rekisterinpitäjälle kuuluvia velvollisuuksia.
Lisätietoja:
Voinko julkaista kilpailun voittajien nimet organisaationi verkkosivuilla?
Kilpailun voittajien nimien julkaisu verkkosivuillasi voi perustua oikeutettuun etuusi, jos voit todistaa tämän tasapainotestillä. Tasapainotestillä määritetään, ylittävätkö oikeutetut etusi yksilöiden oikeudet.
On hyvä ottaa käyttöön sisäinen käytäntö, jossa selostetaan säännöt voittajien tietojen julkaisemiseen.
Tietojen julkaisusta tulisi kertoa kilpailun tietosuojaselosteessa, jotta osallistujat tietävät etukäteen, miten heidän tietojaan käytetään.
Lisätietoja:
Järjestän tapahtuman osana liiketoimintaani. Voinko ottaa kuvia ja videoita tapahtumasta ja osallistujista?
Kyllä voit, mutta sitä varten sinun on ensin määritettävä tämän henkilötietojen käsittelyn oikeusperuste. Tietojen käsittelyä voidaan esimerkiksi pitää organisaation oikeutettuna etuna. Kun henkilötietoja käsitellään oikeutetun edun perusteella, on aina tehtävä tasapainotesti sen määrittämiseksi, ylittävätkö oikeutetut etusi yksilön oikeudet, erityisesti jos kyseessä on lapsi.
Toinen mahdollinen oikeusperuste tällaiselle henkilötietojen käsittelylle voisi olla suostumus. Joka tapauksessa henkilöille on aina ilmoitettava etukäteen, että tapahtumaa kuvataan.
Lisätietoja:
Jos haluan tallentaa työnhakijoiden ansioluettelot tulevia rekrytointiprosesseja varten, onko minun pyydettävä heiltä suostumus?
Suostumus voi olla pätevä peruste työnhakijoiden ansioluetteloiden tallentamiselle. Toinen mahdollinen käsittelyperuste voisi olla oikeutettu etu. Tällöin sinun on suoritettava tasapainotesti, jolla osoitat, että organisaatiosi oikeutetut edut ylittävät työnhakijoiden oikeudet.
Sinun on joka tapauksessa kerrottava työnhakijoille, että aiot tallentaa heidän tietojaan ja mihin tarkoituksiin ne tallennetaan.
Lisätietoja:
Kuinka kauan voin säilyttää henkilötietoja?
Henkilötietoja ei voi säilyttää ikuisesti.
Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.
Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.
Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty.
Lisätietoja:
Kuka voi hoitaa tietosuojavastaavan tehtävää?
Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.
Lisätietoja: