Usein kysytyt kysymykset
Mitä henkilötietojen käsittely tarkoittaa?
Henkilötietojen käsittelyllä tarkoitetaan kaikenlaisia toimintoja (käsittelytoimia), joita suoritetaan ihmisten henkilötiedoilla tai joihin käytetään henkilötietoja. Käsittelyä on henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, palauttaminen, hakeminen, tiedustelujen tekeminen tietokannoista, käyttö, luovuttaminen siirtämällä, välittämällä tai asettamalla muulla tavalla saataville, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.
Mitä voin tehdä, jos henkilötietojen käsittelijä ei halua allekirjoittaa rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimusta?
Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
Lisätietoja:
Voinko julkaista kilpailun voittajien nimet organisaationi verkkosivuilla?
Kilpailun voittajien nimien julkaisu verkkosivuillasi voi perustua oikeutettuun etuusi, jos voit todistaa tämän tasapainotestillä. Tasapainotestillä määritetään, ylittävätkö oikeutetut etusi yksilöiden oikeudet.
On hyvä ottaa käyttöön sisäinen käytäntö, jossa selostetaan säännöt voittajien tietojen julkaisemiseen.
Tietojen julkaisusta tulisi kertoa kilpailun tietosuojaselosteessa, jotta osallistujat tietävät etukäteen, miten heidän tietojaan käytetään.
Lisätietoja:
Mitä minun pitäisi tehdä, kun henkilö kysyy, miten käsittelen hänen tietojaan?
Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.
Lisätietoja:
Voinko tallentaa puhelinkeskusteluja asiakkaiden kanssa palvelun laadun parantamiseksi ja tarvitsenko siihen suostumuksen?
Kyllä, asiakkaallesi on puhelinsoiton yhteydessä kerrottava syyt puhelun tallentamiseen, tallenteen vastaanottajat sekä asiakkaan oikeudesta vastustaa tallentamista ja tutustua tallenteeseen.
Lisätietoja:
Missä ajassa minun on vastattava tietojen tarkastusoikeutta koskevaan pyyntöön?
Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja siihen vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.
Henkilön oikeus saada tutustua omiin tietoihinsa on toteutettava maksutta.
Lisätietoja:
Mistä tiedän, mihin tietoturvatoimiin minun on ryhdyttävä?
Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:
- suojaa pääsy tiloihin
- käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
- valitse huolellisesti salasanasi
- vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
- ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.
Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.
Lisätietoja:
Miten vastaan tietojen poistopyyntöön?
Henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamista, jolloin rekisterinpitäjällä on velvollisuus poistaa tiedot. Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja pyyntöön vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.
On tärkeää huomata, että oikeus tietojen poistamiseen ei ole ehdoton. Sitä ei sovelleta, jos kyseiset tiedot ovat tarpeen
- sananvapauden ja tiedonvälityksen vapauden käyttämiseen (esim. journalistisia tarkoituksia varten)
- sellaisen lakisääteisen velvoitteen noudattamiseksi, joka edellyttää henkilötietojen käsittelyä (esim. työntekijöiden työaikaa koskevien tietojen käsittely)
- kansanterveyteen liittyvistä yleistä etua koskevista syistä
- yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten
- oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos poistettavat henkilötiedot on aiemmin siirretty muille organisaatioille, sinun on ilmoitettava näille tietojen vastaanottajille, että henkilö on pyytänyt tietojensa poistamista. Poistopyynnöstä ei tarvitse ilmoittaa kyseisille organisaatioille, jos se osoittautuu mahdottomaksi tai vaatisi kohtuuttomasti työtä.
Lisätietoja:
Voinko käsitellä arkaluonteisia henkilötietoja?
Arkaluonteisten tietojen käsittely on lähtökohtaisesti kielletty. Se on sallittua vain tietyissä poikkeustapauksissa:
- Henkilö on antanut nimenomaisen suostumuksensa arkaluonteisten tietojensa käsittelyyn.
- Arkaluonteisten tietojen käsittely on tarpeen rekisterinpitäjän velvoitteiden täyttämiseksi erityisesti työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. Rekisterinpitäjä voi esimerkiksi joutua käsittelemään henkilön arkaluontoisia tietoja voidakseen määrittää, onko hänellä oikeus tiettyihin sosiaaliturvaetuuksiin tai työapurahoihin.
- Arkaluonteisten tietojen käsittely on tarpeen henkilön elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai juridisesti estynyt antamaan suostumustaan. Jos henkilö esimerkiksi jää tajuttomaksi onnettomuuden seurauksena ja vaatii välitöntä sairaanhoitoa, hänen terveystietojaan voidaan joutua käsittelemään hoidon vuoksi.
- Arkaluonteisten tietojen käsittely tapahtuu sellaisen säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä, jonka tavoitteena on poliittinen, filosofinen, uskonnollinen tai ammattiyhdistystoiminta, ja ainoastaan niiden jäsenten, entisten jäsenten tai niihin säännöllisesti yhteydessä olevien henkilöiden henkilötietojen käsittelyä varten.
- Henkilö on nimenomaisesti julkistanut arkaluonteiset tietonsa
- Arkaluonteisten tietojen käsittely on tarpeen oikeudellisten prosessien yhteydessä
- Arkaluonteisten tietojen käsittely on tarpeen yleistä etua koskevissa asioissa
- Arkaluonteisten tietojen käsittely on välttämätöntä ennaltaehkäisevän terveydenhuollon tai työterveydenhuollon yhteydessä. Esimerkiksi henkilön terveystietojen arviointi voi olla tarpeen työntekijän työkyvyn määrittämiseksi.
- Arkaluonteisten tietojen käsittely on tarpeen kansanterveyttä koskevissa asioissa EU:n tai kansallisen lainsäädännön perusteella. Henkilöiden arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi terveydenhuollon ja lääkkeiden korkean laadun varmistamiseksi tai vakavien terveysuhkien, kuten virusten, torjumiseksi.
- Arkaluonteisten tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi, jotta saadaan tarkkoja tilastoja maan tilanteesta.
Lisätietoja: