Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.

Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy

• arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä  
• henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
• yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.

Lisätietoja:

• Noudata tietosuojavaatimuksia

Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.

Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:

• ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
• ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.

Lisätietoja:

• Tietosuojavastaava

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn niihin.

• Jos tietoturvaloukkaus aiheuttaa riskin kohteeksi joutuneille henkilöille, sinun on ilmoitettava siitä tietosuojaviranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi.
• Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, sinun on myös ilmoitettava loukkauksesta asianomaisille henkilöille ilman aiheetonta viivytystä.

Joka tapauksessa kaikista tietoturvaloukkauksista – myös niistä, joista ei ole ilmoitettu tietosuojaviranomaiselle – on dokumentoitava vähintään perustiedot siitä, mitä on tapahtunut, loukkauksen vakavuuden arviointi, sen vaikutukset sekä toimenpiteet, joihin on ryhdytty.
 

 Lisätietoja:

• Tietoturvaloukkaukset
   

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.

Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
 

Lisätietoja:

• Tietosuojavastaava

   

Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi

• jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
• jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään. 

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:

• kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
• vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.

Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia 

Henkilötietoja ei voi säilyttää ikuisesti.

Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.

Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.

Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty. 

Lisätietoja:

• Tietosuojan perusteet

Jos henkilötietoja kerätään suoraan henkilöiltä itseltään, organisaation on kerrottava henkilötietojen käsittelystä tiiviisti ja läpinäkyvästi helposti ymmärrettävällä, selkeällä kielellä. Tämä voidaan tehdä kirjallisesti (esim. tarjouskirjeessä) tai sähköisesti (esim. verkkosivustolla). Jos henkilö pyytää, tiedot voi myös antaa suullisesti, mutta sinun on kyettävä todistamaan jälkikäteen, että tiedot on annettu.

Myös silloin, kun tiedot on kerätty muualta, eli jos et kerää henkilötietoja suoraan henkilöltä itse, vaan esimerkiksi kolmannen osapuolen kautta, sinun on annettava heille samat yksityiskohtaiset tiedot.

Jotta suostumus voidaan katsoa päteväksi, sen on oltava:

• vapaaehtoinen,
• yksilöity,
• tietoinen ja
• yksiselitteinen.

Tämä tarkoittaa, että henkilöllä on oltava aidosti vapaus valita, suostuuko hän henkilötietojensa käsittelyyn vai ei. Ihmiset tarvitsevat riittävästi tietoa, jotta he ymmärtävät, mitä tietoja heistä käsitellään, millä tavalla ja mihin tarkoitukseen. Myös suostumuspyyntöjen on oltava riittävän yksityiskohtaisia. 

Lisäksi henkilön on annettava suostumus selkeästi aktiivisella toimella, eli esimerkiksi valmiiksi rastitettuja ruutuja ei voi käyttää. Suostumus on myös voitava antaa erillään yleisten käyttöehtojen hyväksynnästä.

Lisäksi henkilön on voitava vapaasti peruuttaa suostumuksensa ilman negatiivisia seurauksia, jos hän muuttaa mieltään myöhemmin.
 

Lisätietoja:

• Process personal data lawfully