Usein kysytyt kysymykset
Mikä on yhteisrekisterinpitäjä?
Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.
On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.
- Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.
Lisätietoja:
Sovelletaanko tietosuoja-asetusta myös paperiasiakirjoihin?
Kyllä, yleistä tietosuoja-asetusta sovelletaan, jos henkilötiedot on sisällytetty tai ne on tarkoitus sisällyttää osaksi rekisteriä. Tämä tarkoittaa, että tietosuoja-asetusta sovelletaan myös paperiasiakirjoihin, ei pelkästään automatisoituun henkilötietojen käsittelyyn.
Lisätietoja:
Mikä on tietosuojavastaavan eturistiriita?
Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.
Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:
- ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
- ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.
Lisätietoja:
Mitä pitää tehdä tietoturvaloukkauksen sattuessa?
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn niihin.
- Jos tietoturvaloukkaus aiheuttaa riskin kohteeksi joutuneille henkilöille, sinun on ilmoitettava siitä tietosuojaviranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi.
- Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, sinun on myös ilmoitettava loukkauksesta asianomaisille henkilöille ilman aiheetonta viivytystä.
Joka tapauksessa kaikista tietoturvaloukkauksista – myös niistä, joista ei ole ilmoitettu tietosuojaviranomaiselle – on dokumentoitava vähintään perustiedot siitä, mitä on tapahtunut, loukkauksen vakavuuden arviointi, sen vaikutukset sekä toimenpiteet, joihin on ryhdytty.
Lisätietoja:
Miten huomioin ihmisten tietosuojaoikeudet?
Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:
- kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
- vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.
Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.
Lisätietoja:
Kuinka kauan voin säilyttää henkilötietoja?
Henkilötietoja ei voi säilyttää ikuisesti.
Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.
Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.
Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty.
Lisätietoja:
Milloin tiedot henkilötietojen käsittelystä pitää antaa?
Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi
- jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
- jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään.
Lisätietoja:
Miten saan pätevän suostumuksen?
Jotta suostumus voidaan katsoa päteväksi, sen on oltava:
- vapaaehtoinen,
- yksilöity,
- tietoinen ja
- yksiselitteinen.
Tämä tarkoittaa, että henkilöllä on oltava aidosti vapaus valita, suostuuko hän henkilötietojensa käsittelyyn vai ei. Ihmiset tarvitsevat riittävästi tietoa, jotta he ymmärtävät, mitä tietoja heistä käsitellään, millä tavalla ja mihin tarkoitukseen. Myös suostumuspyyntöjen on oltava riittävän yksityiskohtaisia.
Lisäksi henkilön on annettava suostumus selkeästi aktiivisella toimella, eli esimerkiksi valmiiksi rastitettuja ruutuja ei voi käyttää. Suostumus on myös voitava antaa erillään yleisten käyttöehtojen hyväksynnästä.
Lisäksi henkilön on voitava vapaasti peruuttaa suostumuksensa ilman negatiivisia seurauksia, jos hän muuttaa mieltään myöhemmin.
Lisätietoja:
Mistä tiedän, mihin tietoturvatoimiin minun on ryhdyttävä?
Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:
- suojaa pääsy tiloihin
- käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
- valitse huolellisesti salasanasi
- vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
- ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.
Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.
Lisätietoja:
Rekisterinpitäjänä olen kerännyt ihmisten henkilötietoja kolmannelta osapuolelta. Mitä minun pitää tehdä, jotta täytän tietosuoja-asetuksen vaatimukset?
- Varmista, että saamasi tiedot on kerätty laillisesti ja että kyseisille henkilöille on ilmoitettu heidän tietojensa käsittelystä.
- Jos kolmas osapuoli käsittelee henkilötietoja puolestasi, varmista, että sinulla on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus, jossa määritellään käsittelytoimet ja henkilötietojen käsittelyn keinot.
Lisäksi sinun on tietysti noudatettava kaikkia rekisterinpitäjälle kuuluvia velvollisuuksia.
Lisätietoja: