Data protection guide for small business logo
Close menu
Back to EDPB

Usein kysytyt kysymykset

Filter on
Filter on topic

Miten saan pätevän suostumuksen?

Jotta suostumus voidaan katsoa päteväksi, sen on oltava:

  • vapaaehtoinen,
  • yksilöity,
  • tietoinen ja
  • yksiselitteinen.

Tämä tarkoittaa, että henkilöllä on oltava aidosti vapaus valita, suostuuko hän henkilötietojensa käsittelyyn vai ei. Ihmiset tarvitsevat riittävästi tietoa, jotta he ymmärtävät, mitä tietoja heistä käsitellään, millä tavalla ja mihin tarkoitukseen. Myös suostumuspyyntöjen on oltava riittävän yksityiskohtaisia. 

Lisäksi henkilön on annettava suostumus selkeästi aktiivisella toimella, eli esimerkiksi valmiiksi rastitettuja ruutuja ei voi käyttää. Suostumus on myös voitava antaa erillään yleisten käyttöehtojen hyväksynnästä.

Lisäksi henkilön on voitava vapaasti peruuttaa suostumuksensa ilman negatiivisia seurauksia, jos hän muuttaa mieltään myöhemmin.
 

Lisätietoja:

Milloin tiedot henkilötietojen käsittelystä pitää antaa?

Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi

  • jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
  • jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään. 

Lisätietoja:

Pitääkö organisaationi noudattaa yleistä tietosuoja-asetusta?

Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin. 

Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.

Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
 

Lisätietoja:

Mitkä ovat tietosuojavastaavan tehtävät?

Tietosuojavastaavan tehtävänä on muun muassa

  • antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
  • seurata tietosuojasääntöjen noudattamista
  • antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
  • toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
  • toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.

Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.

Lisätietoja:

Mitkä ovat yleisen tietosuoja-asetuksen mukaiset vastuuni?

Yleinen tietosuoja-asetus asettaa velvoitteita kaikille henkilötietoja käsitteleville organisaatioille riippumatta siitä, ovatko ne rekisterinpitäjiä vai henkilötietojen käsittelijöitä.
Sinun tulee erityisesti:

  • Varmista, että tarkoitus, jota varten henkilötietoja kerätään, on perusteltu. Kerää vain henkilötietoja, jotka ovat tarpeen suunniteltuja tarkoituksia varten.
  • Pidä ihmisten henkilötiedot virheettöminä ja ajan tasalla, ja poista tiedot, kun niitä ei enää tarvita.
  • Huomioi ihmisten oikeudet kertomalla heille, miten ja miksi heidän tietojaan käsitellään, ja anna heille mahdollisuus käyttää tietosuojaoikeuksiaan.
  • Tarkista, että sinulla on asianmukainen oikeusperuste henkilötietojen käsittelyyn. Jos aiot turvautua henkilöiden suostumukseen, pyydä heidän suostumustaan ennen henkilötietojen käsittelyn aloittamista.
  • Varmista, että käsittelet henkilötietoja turvallisesti.
  • Pidä kirjaa henkilötietojen käsittelytoimistasi.

Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia, eivätkä ne saa käsitellä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti.

Lisätietoja:

Mitkä ovat henkilötietojen käsittelyn periaatteet tietosuoja-asetuksen mukaan?

  • Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista ja läpinäkyvää.
  • Kerää henkilötietoja vain tiettyjä, nimenomaisia ja laillisia tarkoituksia varten. Henkilön tietojen käsittely on rajattava tiukasti alun perin määriteltyyn käyttötarkoitukseen, eikä niitä saa käsitellä myöhemmin muita tarkoituksia varten, jotka ovat ristiriidassa alkuperäisten käyttötarkoitusten kanssa.
  • Käsittele ainoastaan henkilötietoja, jotka ovat tarpeellisia ja oikeasuhteisia suunniteltuun tarkoitukseen nähden.
  • Kaikkien käsittelemiesi henkilötietojen on oltava täsmällisiä ja ajan tasalla. Virheelliset henkilötiedot on oikaistava tai poistettava.
  • Henkilötietojen säilytystä on rajoitettava ajallisesti ottaen huomioon se tarkoitus, jota varten kyseiset tiedot on kerätty. Henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita.
  • Tietoja on käsiteltävä turvallisesti. Ota käyttöön vahvat tietoturvatoimet varmistamaan, että henkilötiedot suojataan asianmukaisesti.

Rekisterinpitäjällä on osoitusvelvollisuus. Se tarkoittaa, että rekisterinpitäjä on vastuussa tietosuojaperiaatteiden noudattamisesta ja sen on kyettävä osoittamaan, että näitä periaatteita noudatetaan.

Lisätietoja:

Kuinka kauan voin säilyttää henkilötietoja?

Henkilötietoja ei voi säilyttää ikuisesti.

Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.

Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.

Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty. 

Lisätietoja:

Pitääkö minun ylläpitää selostetta käsittelytoimistani?

Käytännössä jokaisen yrityksesi tulee pitää kirjaa käsittelytoimistaan. Seloste käsittelytoimista on kirjallinen kuvaus kaikesta organisaation tekemästä henkilötietojen käsittelystä ja voi auttaa sinua tunnistamaan tietosuoja-asetuksen mukaisia vastuistasi ja mahdollisia riskejä.
Jokainen käsittelytoimi on kuvattava selosteessa seuraavilla tiedoilla:

  • käsittelyn tarkoitus (esim. asiakasuskollisuus),
  • käsiteltävien tietojen luokat (esim. palkkakuitissa nimi, syntymäaika, palkan suuruus jne.),
  • kenellä on pääsy tietoihin (vastaanottajat, esim. rekrytoinnista vastaava yksikkö, IT-palvelu, organisaation johto, palveluntarjoajat, kumppanit),
  • tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
  • mahdollisuuksien mukaan tietojen säilytysaika (aika, jona tiedot ovat hyödynnettävissä sekä niiden arkistointiaika).
  • mahdollisuuksien mukaan yleinen kuvaus turvatoimista.

Käsittelytoimien kirjaaminen kuuluu organisaatiosi johdon vastuulle.

Käsittelytoimia koskevan selosteen on oltava pyydettäessä sen maan tietosuojaviranomaisen saatavilla, jossa toimit.

Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse kirjata selosteeseen puhtaasti satunnaisia toimia (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).

Lisätietoja:

Mikä on tietosuojavastaavan eturistiriita?

Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.

Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:

  • ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
  • ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.

Lisätietoja:

Mitä pitää tehdä tietoturvaloukkauksen sattuessa?

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn niihin.

  • Jos tietoturvaloukkaus aiheuttaa riskin kohteeksi joutuneille henkilöille, sinun on ilmoitettava siitä tietosuojaviranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi.
  • Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, sinun on myös ilmoitettava loukkauksesta asianomaisille henkilöille ilman aiheetonta viivytystä.

Joka tapauksessa kaikista tietoturvaloukkauksista – myös niistä, joista ei ole ilmoitettu tietosuojaviranomaiselle – on dokumentoitava vähintään perustiedot siitä, mitä on tapahtunut, loukkauksen vakavuuden arviointi, sen vaikutukset sekä toimenpiteet, joihin on ryhdytty.
 

 Lisätietoja:

Miten huomioin ihmisten tietosuojaoikeudet?

Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:

  • kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
  • vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.

Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.

Lisätietoja:

Miten pysyn Euroopan tietosuojaneuvoston työn tasalla?

Tietosuojaneuvosto julkaisee säännöllisesti tiedotteita, uutisia, blogeja ja muuta sisältöä verkkosivustollaan ja sosiaalisen median kanavissaan (Twitter: @EU_EDPB; LinkedIn: Euroopan tietosuojaneuvosto) pitääkseen tietosuojayhteisön ja suuren yleisön ajan tasalla työstään.

Tietosuojaneuvoston verkkosivustolla on myös kaksi RSS-syötettä, joista voit tilata päivityksiä tietosuojaneuvoston uutisista ja uusimmista julkaisuista.

Mikä on EU:n yleinen tietosuoja-asetus?

Yleinen tietosuoja-asetus (GDPR) luo yhdenmukaiset säännöt, joita sovelletaan kaikkeen henkilötietojen käsittelyyn, jota suorittavat Euroopan talousalueella (ETA) sijaitsevat organisaatiot tai joka kohdistuu yksityishenkilöihin EU:ssa. Tietosuoja-asetusta sovelletaan niin julkisen kuin yksityisen sektorin organisaatioihin niiden koosta riippumatta. Yleisen tietosuoja-asetuksen ensisijaisena tavoitteena on varmistaa, että henkilötiedoilla on sama korkeatasoinen suoja kaikissa EU- ja ETA-maissa. Tämä vahvistaa sekä yksilöiden että tietoja käsittelevien organisaatioiden oikeusvarmuutta ja tarjoaa korkeatasoisen suojan ihmisille.

Asetus tuli voimaan 24.5.2016, ja sitä on sovellettu 25.5.2018 alkaen.
 

Sovelletaanko tietosuoja-asetusta myös paperiasiakirjoihin?

Kyllä, yleistä tietosuoja-asetusta sovelletaan, jos henkilötiedot on sisällytetty tai ne on tarkoitus sisällyttää osaksi rekisteriä. Tämä tarkoittaa, että tietosuoja-asetusta sovelletaan myös paperiasiakirjoihin, ei pelkästään automatisoituun henkilötietojen käsittelyyn.

Lisätietoja:

Mikä on yhteisrekisterinpitäjä?

Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.

On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.

  • Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.

Lisätietoja:

Järjestän tapahtuman osana liiketoimintaani. Voinko ottaa kuvia ja videoita tapahtumasta ja osallistujista?

Kyllä voit, mutta sitä varten sinun on ensin määritettävä tämän henkilötietojen käsittelyn oikeusperuste. Tietojen käsittelyä voidaan esimerkiksi pitää organisaation oikeutettuna etuna. Kun henkilötietoja käsitellään oikeutetun edun perusteella, on aina tehtävä tasapainotesti sen määrittämiseksi, ylittävätkö oikeutetut etusi yksilön oikeudet, erityisesti jos kyseessä on lapsi.

Toinen mahdollinen oikeusperuste tällaiselle henkilötietojen käsittelylle voisi olla suostumus. Joka tapauksessa henkilöille on aina ilmoitettava etukäteen, että tapahtumaa kuvataan.

Lisätietoja:

Jos haluan tallentaa työnhakijoiden ansioluettelot tulevia rekrytointiprosesseja varten, onko minun pyydettävä heiltä suostumus?

Suostumus voi olla pätevä peruste työnhakijoiden ansioluetteloiden tallentamiselle. Toinen mahdollinen käsittelyperuste voisi olla oikeutettu etu. Tällöin sinun on suoritettava tasapainotesti, jolla osoitat, että organisaatiosi oikeutetut edut ylittävät työnhakijoiden oikeudet.

Sinun on joka tapauksessa kerrottava työnhakijoille, että aiot tallentaa heidän tietojaan ja mihin tarkoituksiin ne tallennetaan.

Lisätietoja:

Voinko käsitellä henkilötietoja vain silloin, kun minulla on henkilön suostumus?

Henkilötietojen käsittely on sallittua, jos sille on oikeusperuste. Vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen lisäksi voidaan käyttää muitakin käsittelyperusteita.
Toisin sanoen suostumus on tarpeen, kun mitään muuta oikeusperustetta ei voida soveltaa.

Lisätietoja:

Pitääkö minun sertifioitua, jotta voin toimia tietosuojavastaavana?

Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.

Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
 

Lisätietoja:

Mikä on tietosuojaa koskeva vaikutustenarviointi ja milloin sen tekeminen on pakollista?

Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.

Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy

  • arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä  
  • henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
  • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.

Lisätietoja: