Usein kysytyt kysymykset
Rekisterinpitäjänä olen kerännyt ihmisten henkilötietoja kolmannelta osapuolelta. Mitä minun pitää tehdä, jotta täytän tietosuoja-asetuksen vaatimukset?
- Varmista, että saamasi tiedot on kerätty laillisesti ja että kyseisille henkilöille on ilmoitettu heidän tietojensa käsittelystä.
- Jos kolmas osapuoli käsittelee henkilötietoja puolestasi, varmista, että sinulla on rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus, jossa määritellään käsittelytoimet ja henkilötietojen käsittelyn keinot.
Lisäksi sinun on tietysti noudatettava kaikkia rekisterinpitäjälle kuuluvia velvollisuuksia.
Lisätietoja:
Voinko julkaista kilpailun voittajien nimet organisaationi verkkosivuilla?
Kilpailun voittajien nimien julkaisu verkkosivuillasi voi perustua oikeutettuun etuusi, jos voit todistaa tämän tasapainotestillä. Tasapainotestillä määritetään, ylittävätkö oikeutetut etusi yksilöiden oikeudet.
On hyvä ottaa käyttöön sisäinen käytäntö, jossa selostetaan säännöt voittajien tietojen julkaisemiseen.
Tietojen julkaisusta tulisi kertoa kilpailun tietosuojaselosteessa, jotta osallistujat tietävät etukäteen, miten heidän tietojaan käytetään.
Lisätietoja:
Mitä minun pitäisi tehdä, kun henkilö kysyy, miten käsittelen hänen tietojaan?
Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.
Lisätietoja:
Mitä voin tehdä, jos henkilötietojen käsittelijä ei halua allekirjoittaa rekisterinpitäjän ja henkilötietojen käsittelijän välistä sopimusta?
Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
Lisätietoja:
Voinko käsitellä arkaluonteisia henkilötietoja?
Arkaluonteisten tietojen käsittely on lähtökohtaisesti kielletty. Se on sallittua vain tietyissä poikkeustapauksissa:
- Henkilö on antanut nimenomaisen suostumuksensa arkaluonteisten tietojensa käsittelyyn.
- Arkaluonteisten tietojen käsittely on tarpeen rekisterinpitäjän velvoitteiden täyttämiseksi erityisesti työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. Rekisterinpitäjä voi esimerkiksi joutua käsittelemään henkilön arkaluontoisia tietoja voidakseen määrittää, onko hänellä oikeus tiettyihin sosiaaliturvaetuuksiin tai työapurahoihin.
- Arkaluonteisten tietojen käsittely on tarpeen henkilön elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai juridisesti estynyt antamaan suostumustaan. Jos henkilö esimerkiksi jää tajuttomaksi onnettomuuden seurauksena ja vaatii välitöntä sairaanhoitoa, hänen terveystietojaan voidaan joutua käsittelemään hoidon vuoksi.
- Arkaluonteisten tietojen käsittely tapahtuu sellaisen säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä, jonka tavoitteena on poliittinen, filosofinen, uskonnollinen tai ammattiyhdistystoiminta, ja ainoastaan niiden jäsenten, entisten jäsenten tai niihin säännöllisesti yhteydessä olevien henkilöiden henkilötietojen käsittelyä varten.
- Henkilö on nimenomaisesti julkistanut arkaluonteiset tietonsa
- Arkaluonteisten tietojen käsittely on tarpeen oikeudellisten prosessien yhteydessä
- Arkaluonteisten tietojen käsittely on tarpeen yleistä etua koskevissa asioissa
- Arkaluonteisten tietojen käsittely on välttämätöntä ennaltaehkäisevän terveydenhuollon tai työterveydenhuollon yhteydessä. Esimerkiksi henkilön terveystietojen arviointi voi olla tarpeen työntekijän työkyvyn määrittämiseksi.
- Arkaluonteisten tietojen käsittely on tarpeen kansanterveyttä koskevissa asioissa EU:n tai kansallisen lainsäädännön perusteella. Henkilöiden arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi terveydenhuollon ja lääkkeiden korkean laadun varmistamiseksi tai vakavien terveysuhkien, kuten virusten, torjumiseksi.
- Arkaluonteisten tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi, jotta saadaan tarkkoja tilastoja maan tilanteesta.
Lisätietoja:
Voinko tallentaa puhelinkeskusteluja asiakkaiden kanssa palvelun laadun parantamiseksi ja tarvitsenko siihen suostumuksen?
Kyllä, asiakkaallesi on puhelinsoiton yhteydessä kerrottava syyt puhelun tallentamiseen, tallenteen vastaanottajat sekä asiakkaan oikeudesta vastustaa tallentamista ja tutustua tallenteeseen.
Lisätietoja:
Mikä on tietosuojaseloste?
Jos henkilötietoja kerätään suoraan henkilöiltä itseltään, organisaation on kerrottava henkilötietojen käsittelystä tiiviisti ja läpinäkyvästi helposti ymmärrettävällä, selkeällä kielellä. Tämä voidaan tehdä kirjallisesti (esim. tarjouskirjeessä) tai sähköisesti (esim. verkkosivustolla). Jos henkilö pyytää, tiedot voi myös antaa suullisesti, mutta sinun on kyettävä todistamaan jälkikäteen, että tiedot on annettu.
Myös silloin, kun tiedot on kerätty muualta, eli jos et kerää henkilötietoja suoraan henkilöltä itse, vaan esimerkiksi kolmannen osapuolen kautta, sinun on annettava heille samat yksityiskohtaiset tiedot.
Missä ajassa minun on vastattava tietojen tarkastusoikeutta koskevaan pyyntöön?
Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja siihen vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.
Henkilön oikeus saada tutustua omiin tietoihinsa on toteutettava maksutta.
Lisätietoja:
Miten vastaan tietojen poistopyyntöön?
Henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamista, jolloin rekisterinpitäjällä on velvollisuus poistaa tiedot. Sinun on vastattava henkilölle ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan pidentää kahdella kuukaudella, jos pyyntö on liian monimutkainen ja pyyntöön vastaamiseen tarvitaan enemmän aikaa. Ilmoita henkilölle lisäajan tarpeesta kuukauden kuluessa pyynnön vastaanottamisesta.
On tärkeää huomata, että oikeus tietojen poistamiseen ei ole ehdoton. Sitä ei sovelleta, jos kyseiset tiedot ovat tarpeen
- sananvapauden ja tiedonvälityksen vapauden käyttämiseen (esim. journalistisia tarkoituksia varten)
- sellaisen lakisääteisen velvoitteen noudattamiseksi, joka edellyttää henkilötietojen käsittelyä (esim. työntekijöiden työaikaa koskevien tietojen käsittely)
- kansanterveyteen liittyvistä yleistä etua koskevista syistä
- yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten
- oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos poistettavat henkilötiedot on aiemmin siirretty muille organisaatioille, sinun on ilmoitettava näille tietojen vastaanottajille, että henkilö on pyytänyt tietojensa poistamista. Poistopyynnöstä ei tarvitse ilmoittaa kyseisille organisaatioille, jos se osoittautuu mahdottomaksi tai vaatisi kohtuuttomasti työtä.
Lisätietoja: