Usein kysytyt kysymykset
Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:
- henkilöin suostumuksella
- jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
- EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
- yksilön elintärkeiden etujen suojaamiseksi
- organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.
Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.
Lisätietoja:
Voinko siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle?
Yleisen tietosuoja-asetuksen perusteella on periaatteessa kaksi pääasiallista tapaa siirtää henkilötietoja Euroopan talousalueen ulkopuoliseen maahan tai kansainväliselle järjestölle. Ensisijaisesti siirrot voidaan tehdä tietosuojan riittävyyttä koskevan päätöksen perusteella. Jos tietosuojan riittävyyspäätöstä ei ole, voidaan tietoja siirtää asianmukaisten suojatoimien nojalla. Niihin sisältyy täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja yksityishenkilöille. Tiedonsiirtoperusteet määritellään tietosuoja-asetuksessa.
Lisätietoja:
Mikä on tietosuojaa koskeva vaikutustenarviointi ja milloin sen tekeminen on pakollista?
Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.
Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy
- arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä
- henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
- yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.
Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.
Lisätietoja:
Mitkä ovat seuraamukset, jos organisaationi ei noudata yleistä tietosuoja-asetusta tai jos tekemäni henkilötietojen käsittely rikkoo tietosuojasäännöksiä?
Tietosuoja-asetuksen noudattamista valvovat kansalliset tietosuojaviranomaiset. Tietosuojaviranomaiset voivat tarvittaessa tehdä selvityksiä ja määrätä seuraamuksia organisaatioille. Tietosuojaviranomaisilla on käytössään useita keinoja. Ne voivat muun muassa määrätä seuraamusmaksuja, joiden määrä voi olla enintään 20 miljoonaa euroa tai 4 prosenttia organisaation maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi. Lisäksi ne voivat antaa huomautuksia ja määräyksiä sekä määrätä väliaikaisia tai pysyviä henkilötietojen käsittelykieltoja.
Kaikkien ETA-maiden kansallisten tietosuojaviranomaisten yhteystiedot löytyvät tietosuojaneuvoston verkkosivuilta: Jäsenet
Lisätietoja:
Pitääkö minun sertifioitua, jotta voin toimia tietosuojavastaavana?
Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.
Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
Lisätietoja:
Voinko käsitellä henkilötietoja vain silloin, kun minulla on henkilön suostumus?
Henkilötietojen käsittely on sallittua, jos sille on oikeusperuste. Vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen lisäksi voidaan käyttää muitakin käsittelyperusteita.
Toisin sanoen suostumus on tarpeen, kun mitään muuta oikeusperustetta ei voida soveltaa.
Lisätietoja:
Järjestän tapahtuman osana liiketoimintaani. Voinko ottaa kuvia ja videoita tapahtumasta ja osallistujista?
Kyllä voit, mutta sitä varten sinun on ensin määritettävä tämän henkilötietojen käsittelyn oikeusperuste. Tietojen käsittelyä voidaan esimerkiksi pitää organisaation oikeutettuna etuna. Kun henkilötietoja käsitellään oikeutetun edun perusteella, on aina tehtävä tasapainotesti sen määrittämiseksi, ylittävätkö oikeutetut etusi yksilön oikeudet, erityisesti jos kyseessä on lapsi.
Toinen mahdollinen oikeusperuste tällaiselle henkilötietojen käsittelylle voisi olla suostumus. Joka tapauksessa henkilöille on aina ilmoitettava etukäteen, että tapahtumaa kuvataan.
Lisätietoja:
Jos haluan tallentaa työnhakijoiden ansioluettelot tulevia rekrytointiprosesseja varten, onko minun pyydettävä heiltä suostumus?
Suostumus voi olla pätevä peruste työnhakijoiden ansioluetteloiden tallentamiselle. Toinen mahdollinen käsittelyperuste voisi olla oikeutettu etu. Tällöin sinun on suoritettava tasapainotesti, jolla osoitat, että organisaatiosi oikeutetut edut ylittävät työnhakijoiden oikeudet.
Sinun on joka tapauksessa kerrottava työnhakijoille, että aiot tallentaa heidän tietojaan ja mihin tarkoituksiin ne tallennetaan.
Lisätietoja:
Mikä on arkaluonteinen tieto?
Tietyt henkilötietotyypit kuuluvat erityisiin henkilötietoryhmiin, mikä tarkoittaa, että niitä on suojattava erityisen huolellisesti. Ne ovat niin sanottuja arkaluonteisia tietoja. Arkaluonteisia tietoja ovat tiedot, joista ilmenee:
- henkilön terveys
- henkilön seksuaalinen suuntautuminen
- henkilön etninen alkuperä
- henkilön poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliittoon kuuluminen
- henkilön biometriset ja geneettiset tiedot.
Arkaluonteisten tietojen käsittely on yleensä kiellettyä lukuun ottamatta tiettyjä tilanteita, joissa niitä saa käsitellä.
Lisätietoja:
Mikä on yhteisrekisterinpitäjä?
Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.
On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.
- Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.
Lisätietoja: