Usein kysytyt kysymykset
Sovelletaanko tietosuoja-asetusta myös paperiasiakirjoihin?
Kyllä, yleistä tietosuoja-asetusta sovelletaan, jos henkilötiedot on sisällytetty tai ne on tarkoitus sisällyttää osaksi rekisteriä. Tämä tarkoittaa, että tietosuoja-asetusta sovelletaan myös paperiasiakirjoihin, ei pelkästään automatisoituun henkilötietojen käsittelyyn.
Lisätietoja:
Milloin tiedot henkilötietojen käsittelystä pitää antaa?
Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi
- jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
- jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään.
Lisätietoja:
Missä ajassa minun on vastattava tietojen tarkastusoikeutta koskevaan pyyntöön?
Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja siihen vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.
Henkilön oikeus saada tutustua omiin tietoihinsa on toteutettava maksutta.
Lisätietoja:
Mistä tiedän, mihin tietoturvatoimiin minun on ryhdyttävä?
Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:
- suojaa pääsy tiloihin
- käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
- valitse huolellisesti salasanasi
- vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
- ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.
Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.
Lisätietoja:
Mitä henkilötietojen käsittely tarkoittaa?
Henkilötietojen käsittelyllä tarkoitetaan kaikenlaisia toimintoja (käsittelytoimia), joita suoritetaan ihmisten henkilötiedoilla tai joihin käytetään henkilötietoja. Käsittelyä on henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, palauttaminen, hakeminen, tiedustelujen tekeminen tietokannoista, käyttö, luovuttaminen siirtämällä, välittämällä tai asettamalla muulla tavalla saataville, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.
Mitkä ovat tietosuojavastaavan tehtävät?
Tietosuojavastaavan tehtävänä on muun muassa
- antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
- seurata tietosuojasääntöjen noudattamista
- antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
- toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
- toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.
Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.
Lisätietoja:
Pitääkö organisaationi nimittää tietosuojavastaava?
Tietosuojavastaavan nimittäminen on pakollista seuraavissa kolmessa tapauksessa:
- organisaatio on viranomainen
- organisaation ydintoimintoihin kuuluu henkilöiden säännöllinen ja järjestelmällinen laajamittainen seuranta, kuten mobiilisovelluksen kautta tapahtuva paikannus tai julkisten tilojen kameravalvonta (esim. kauppakeskus)
- organisaation ydintoimintaa on arkaluonteisten tietojen tai rikostuomioihin ja rikoksiin liittyvien henkilötietojen laajamittainen käsittely.
Voit aina nimittää tietosuojavastaavan vapaaehtoisesti, vaikka se ei olisi lakisääteistä. Huomaa, että tällöin sinun on noudatettava kaikkia tietosuoja-asetuksen säännöksiä, jotka koskevat tietosuojavastaavan tehtäviä ja asemaa.
Lisätietoja:
Rekisterinpitäjänä olen kerännyt ihmisten henkilötietoja kolmannelta osapuolelta. Mitä minun pitää tehdä, jotta täytän tietosuoja-asetuksen vaatimukset?
- Varmista, että saamasi tiedot on kerätty laillisesti ja että kyseisille henkilöille on ilmoitettu heidän tietojensa käsittelystä.
- Jos kolmas osapuoli käsittelee henkilötietoja puolestasi, varmista, että sinulla on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus, jossa määritellään käsittelytoimet ja henkilötietojen käsittelyn keinot.
Lisäksi sinun on tietysti noudatettava kaikkia rekisterinpitäjälle kuuluvia velvollisuuksia.
Lisätietoja:
Voinko julkaista kilpailun voittajien nimet organisaationi verkkosivuilla?
Kilpailun voittajien nimien julkaisu verkkosivuillasi voi perustua oikeutettuun etuusi, jos voit todistaa tämän tasapainotestillä. Tasapainotestillä määritetään, ylittävätkö oikeutetut etusi yksilöiden oikeudet.
On hyvä ottaa käyttöön sisäinen käytäntö, jossa selostetaan säännöt voittajien tietojen julkaisemiseen.
Tietojen julkaisusta tulisi kertoa kilpailun tietosuojaselosteessa, jotta osallistujat tietävät etukäteen, miten heidän tietojaan käytetään.
Lisätietoja:
Voinko tallentaa puhelinkeskusteluja asiakkaiden kanssa palvelun laadun parantamiseksi ja tarvitsenko siihen suostumuksen?
Kyllä, asiakkaallesi on puhelinsoiton yhteydessä kerrottava syyt puhelun tallentamiseen, tallenteen vastaanottajat sekä asiakkaan oikeudesta vastustaa tallentamista ja tutustua tallenteeseen.
Lisätietoja: