Evästeet ovat pieniä tiedostoja, jotka tallennetaan käyttäjän päätelaitteelle, kuten tietokoneelle tai mobiililaitteelle, ja jotka voivat tallentaa tietoja. Evästeet palvelevat monia tärkeitä toimintoja, kuten verkkosivuston käyttäjien ja heidän aiemman toimintansa muistamista. Niiden avulla voidaan seurata tuotteita verkkokaupan ostoskorissa tai tietoja, jotka täytetään sähköiseen lomakkeeseen.

Todentamisevästeitä hyödynnetään käyttäjien tunnistamiseen, kun he kirjautuvat erilaisiin verkkopalveluihin, kuten pankkipalveluihin. Evästeisiin tallennetut tiedot voivat sisältää henkilötietoja, kuten IP-osoitteen, käyttäjänimen, yksilöllisen tunnisteen tai sähköpostiosoitteen.

Samasta aiheesta:

•    Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
 

Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Yleinen tietosuoja-asetus antaa yksityishenkilöille mahdollisuuden valvoa henkilötietojensa käsittelyä. Tätä varten avoimuus on avainasemassa. Tämä tarkoittaa, että sinun on ilmoitettava käsittelytoimistasi ja henkilötietojen käyttötarkoituksista henkilöille, joiden tietoja käsittelet. Toisin sanoen sinun täytyy kertoa, kuka käsittelee heidän tietojaan, millä tavalla ja miksi. Kun henkilötietojen käyttö on läpinäkyvää, henkilöt voivat arvioida mahdollisia riskejä ja tehdä omiin henkilötietoihinsa liittyviä päätöksiä.
Tietosuoja-asetuksen mukaan sinun on annettava henkilöille seuraavat tiedot:

• kuka rekisterinpitäjä on ja rekisterinpitäjän yhteystiedot
• mitä tarkoitusta varten henkilötietoja tarvitaan
• henkilötietojen käsittelyn oikeusperuste (jos peruste on oikeutettu etu, sinun on annettava tieto siitä, mitkä oikeutetut edut liittyvät kyseiseen tilanteeseen ja siitä, minkä tahon kukin oikeutettu etu on).
• tietosuojavastaavan yhteystiedot (jos yritykselläsi on tietosuojavastaava)
• tietojen vastaanottajat tai vastaanottajaryhmät (kuka pääsee tietoihin)
• tieto siitä, siirretäänkö tietoja Euroopan talousalueen ulkopuolelle (tieto tietosuojan riittävyyttä koskevan päätöksen olemassaolosta tai muusta käytettävästä siirtoperusteesta ja keinot saada tiedot niiden sisällöstä)
• käsiteltävien henkilötietojen ryhmät, jos tietoja ei saada henkilöltä itseltään.

Lisäksi sinun pitää antaa ihmisille seuraavat tiedot henkilötietojen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi:

• säilytysaika tai jos se ei ole mahdollista, säilytysajan määrittämisessä käytetyt perusteet
• rekisteröidyn oikeudet: oikeus saada tutustua omiin tietoihin sekä pyytää niiden poistamista ja oikaisemista, käsittelyn rajoittamista ja vastustamista sekä siirtoa järjestelmästä toiseen
• oikeus tehdä valitus tietosuojaviranomaiselle
• jos käsittelyn oikeusperusteena on suostumus, kerro oikeudesta peruuttaa suostumus milloin tahansa
• automaattisen päätöksenteon yhteydessä merkitykselliset tiedot päätöksenteon perustana olevasta logiikasta ja päätösten seurauksista rekisteröidylle
• henkilötietojen lähde, jos et ole saanut niitä suoraan kyseiseltä henkilöltä
• tieto siitä, onko henkilö velvollinen antamaan henkilötiedot (lain tai sopimuksen perusteella tai sopimuksen tekemistä varten) ja mitä seurauksia kieltäytymisellä on.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:

• kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
• vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.

Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia 

Jotta suostumus voidaan katsoa päteväksi, sen on oltava:

• vapaaehtoinen,
• yksilöity,
• tietoinen ja
• yksiselitteinen.

Tämä tarkoittaa, että henkilöllä on oltava aidosti vapaus valita, suostuuko hän henkilötietojensa käsittelyyn vai ei. Ihmiset tarvitsevat riittävästi tietoa, jotta he ymmärtävät, mitä tietoja heistä käsitellään, millä tavalla ja mihin tarkoitukseen. Myös suostumuspyyntöjen on oltava riittävän yksityiskohtaisia. 

Lisäksi henkilön on annettava suostumus selkeästi aktiivisella toimella, eli esimerkiksi valmiiksi rastitettuja ruutuja ei voi käyttää. Suostumus on myös voitava antaa erillään yleisten käyttöehtojen hyväksynnästä.

Lisäksi henkilön on voitava vapaasti peruuttaa suostumuksensa ilman negatiivisia seurauksia, jos hän muuttaa mieltään myöhemmin.
 

Lisätietoja:

• Process personal data lawfully

Henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamista, jolloin rekisterinpitäjällä on velvollisuus poistaa tiedot. Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja pyyntöön vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.

On tärkeää huomata, että oikeus tietojen poistamiseen ei ole ehdoton. Sitä ei sovelleta, jos kyseiset tiedot ovat tarpeen

• sananvapauden ja tiedonvälityksen vapauden käyttämiseen (esim. journalistisia tarkoituksia varten)
• sellaisen lakisääteisen velvoitteen noudattamiseksi, joka edellyttää henkilötietojen käsittelyä (esim. työntekijöiden työaikaa koskevien tietojen käsittely)
• kansanterveyteen liittyvistä yleistä etua koskevista syistä
• yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten
• oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos poistettavat henkilötiedot on aiemmin siirretty muille organisaatioille, sinun on ilmoitettava näille tietojen vastaanottajille, että henkilö on pyytänyt tietojensa poistamista. Poistopyynnöstä ei tarvitse ilmoittaa kyseisille organisaatioille, jos se osoittautuu mahdottomaksi tai vaatisi kohtuuttomasti työtä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

   

Tietosuojavastaavan ei voida katsoa olevan vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuoja-asetuksen noudattaminen on tietosuojavastaavan nimittäneen organisaation vastuulla.

Lisätietoja:

• Tietosuojavastaava

Arkaluonteisten tietojen käsittely on lähtökohtaisesti kielletty. Se on sallittua vain tietyissä poikkeustapauksissa:

• Henkilö on antanut nimenomaisen suostumuksensa arkaluonteisten tietojensa käsittelyyn.
• Arkaluonteisten tietojen käsittely on tarpeen rekisterinpitäjän velvoitteiden täyttämiseksi erityisesti työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. Rekisterinpitäjä voi esimerkiksi joutua käsittelemään henkilön arkaluontoisia tietoja voidakseen määrittää, onko hänellä oikeus tiettyihin sosiaaliturvaetuuksiin tai työapurahoihin.
• Arkaluonteisten tietojen käsittely on tarpeen henkilön elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai juridisesti estynyt antamaan suostumustaan. Jos henkilö esimerkiksi jää tajuttomaksi onnettomuuden seurauksena ja vaatii välitöntä sairaanhoitoa, hänen terveystietojaan voidaan joutua käsittelemään hoidon vuoksi.
• Arkaluonteisten tietojen käsittely tapahtuu sellaisen säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä, jonka tavoitteena on poliittinen, filosofinen, uskonnollinen tai ammattiyhdistystoiminta, ja ainoastaan niiden jäsenten, entisten jäsenten tai niihin säännöllisesti yhteydessä olevien henkilöiden henkilötietojen käsittelyä varten.
• Henkilö on nimenomaisesti julkistanut arkaluonteiset tietonsa
• Arkaluonteisten tietojen käsittely on tarpeen oikeudellisten prosessien yhteydessä
• Arkaluonteisten tietojen käsittely on tarpeen yleistä etua koskevissa asioissa
• Arkaluonteisten tietojen käsittely on välttämätöntä ennaltaehkäisevän terveydenhuollon tai työterveydenhuollon yhteydessä. Esimerkiksi henkilön terveystietojen arviointi voi olla tarpeen työntekijän työkyvyn määrittämiseksi.
• Arkaluonteisten tietojen käsittely on tarpeen kansanterveyttä koskevissa asioissa EU:n tai kansallisen lainsäädännön perusteella. Henkilöiden arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi terveydenhuollon ja lääkkeiden korkean laadun varmistamiseksi tai vakavien terveysuhkien, kuten virusten, torjumiseksi.
• Arkaluonteisten tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi, jotta saadaan tarkkoja tilastoja maan tilanteesta.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Henkilötietojen käsittely on sallittua, jos sille on oikeusperuste. Vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen lisäksi voidaan käyttää muitakin käsittelyperusteita.
Toisin sanoen suostumus on tarpeen, kun mitään muuta oikeusperustetta ei voida soveltaa.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti