Usein kysytyt kysymykset
Missä ajassa minun on vastattava tietojen tarkastusoikeutta koskevaan pyyntöön?
Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja siihen vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.
Henkilön oikeus saada tutustua omiin tietoihinsa on toteutettava maksutta.
Lisätietoja:
Mitä voin tehdä, jos henkilötietojen käsittelijä ei halua allekirjoittaa rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimusta?
Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
Lisätietoja:
Pitääkö organisaationi nimittää tietosuojavastaava?
Tietosuojavastaavan nimittäminen on pakollista seuraavissa kolmessa tapauksessa:
- organisaatio on viranomainen
- organisaation ydintoimintoihin kuuluu henkilöiden säännöllinen ja järjestelmällinen laajamittainen seuranta, kuten mobiilisovelluksen kautta tapahtuva paikannus tai julkisten tilojen kameravalvonta (esim. kauppakeskus)
- organisaation ydintoimintaa on arkaluonteisten tietojen tai rikostuomioihin ja rikoksiin liittyvien henkilötietojen laajamittainen käsittely.
Voit aina nimittää tietosuojavastaavan vapaaehtoisesti, vaikka se ei olisi lakisääteistä. Huomaa, että tällöin sinun on noudatettava kaikkia tietosuoja-asetuksen säännöksiä, jotka koskevat tietosuojavastaavan tehtäviä ja asemaa.
Lisätietoja:
Kuka voi hoitaa tietosuojavastaavan tehtävää?
Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.
Lisätietoja:
Mistä tiedän, mihin tietoturvatoimiin minun on ryhdyttävä?
Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:
- suojaa pääsy tiloihin
- käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
- valitse huolellisesti salasanasi
- vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
- ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.
Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.
Lisätietoja:
Mitkä ovat tietosuojavastaavan tehtävät?
Tietosuojavastaavan tehtävänä on muun muassa
- antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
- seurata tietosuojasääntöjen noudattamista
- antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
- toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
- toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.
Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.
Lisätietoja:
Rekisterinpitäjänä olen kerännyt ihmisten henkilötietoja kolmannelta osapuolelta. Mitä minun pitää tehdä, jotta täytän tietosuoja-asetuksen vaatimukset?
- Varmista, että saamasi tiedot on kerätty laillisesti ja että kyseisille henkilöille on ilmoitettu heidän tietojensa käsittelystä.
- Jos kolmas osapuoli käsittelee henkilötietoja puolestasi, varmista, että sinulla on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus, jossa määritellään käsittelytoimet ja henkilötietojen käsittelyn keinot.
Lisäksi sinun on tietysti noudatettava kaikkia rekisterinpitäjälle kuuluvia velvollisuuksia.
Lisätietoja:
Voinko julkaista kilpailun voittajien nimet organisaationi verkkosivuilla?
Kilpailun voittajien nimien julkaisu verkkosivuillasi voi perustua oikeutettuun etuusi, jos voit todistaa tämän tasapainotestillä. Tasapainotestillä määritetään, ylittävätkö oikeutetut etusi yksilöiden oikeudet.
On hyvä ottaa käyttöön sisäinen käytäntö, jossa selostetaan säännöt voittajien tietojen julkaisemiseen.
Tietojen julkaisusta tulisi kertoa kilpailun tietosuojaselosteessa, jotta osallistujat tietävät etukäteen, miten heidän tietojaan käytetään.
Lisätietoja:
Kuinka kauan voin säilyttää henkilötietoja?
Henkilötietoja ei voi säilyttää ikuisesti.
Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.
Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.
Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty.
Lisätietoja:
Mikä on tietosuojavastaavan eturistiriita?
Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.
Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:
- ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
- ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.
Lisätietoja: