Tietosuojaneuvosto julkaisee säännöllisesti tiedotteita, uutisia, blogeja ja muuta sisältöä verkkosivustollaan ja sosiaalisen median kanavissaan (Twitter: @EU_EDPB; LinkedIn: Euroopan tietosuojaneuvosto) pitääkseen tietosuojayhteisön ja suuren yleisön ajan tasalla työstään.

Tietosuojaneuvoston verkkosivustolla on myös kaksi RSS-syötettä, joista voit tilata päivityksiä tietosuojaneuvoston uutisista ja uusimmista julkaisuista.

Pseudonymisointi tarkoittaa henkilötietojen muuttamista sellaiseen muotoon, että niitä ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot on säilytettävä erillään, ja teknisten ja organisatoristen toimenpiteiden avulla on varmistettava, että tietoja ei voida yhdistää yksittäiseen henkilöön. Käytännössä pseudonymisointi voi tarkoittaa henkilötietojen (esim. nimen, henkilötunnuksen, puhelinnumeron tms.) korvaamista tietokokonaisuudessa epäsuorasti tunnistettavilla tiedoilla (alias, järjestysnumero tms.). Pseudonymisoidut tiedot ovat edelleen henkilötietoja ja niihin sovelletaan tietosuojalainsäädäntöä.

Anonymisoidut tiedot ovat tietoja, jotka on tehty tunnistamattomiksi niin, että henkilöä ei enää voida tunnistaa niistä millään kohtuullisella tavalla. Kun anonymisointi on toteutettu asianmukaisesti, yleistä tietosuoja-asetusta ei enää sovelleta niihin.

Lisätietoja:

Huolehdi tietoturvasta

Yleinen tietosuoja-asetus (GDPR) luo yhdenmukaiset säännöt, joita sovelletaan kaikkeen henkilötietojen käsittelyyn, jota suorittavat Euroopan talousalueella (ETA) sijaitsevat organisaatiot tai joka kohdistuu yksityishenkilöihin EU:ssa. Tietosuoja-asetusta sovelletaan niin julkisen kuin yksityisen sektorin organisaatioihin niiden koosta riippumatta. Yleisen tietosuoja-asetuksen ensisijaisena tavoitteena on varmistaa, että henkilötiedoilla on sama korkeatasoinen suoja kaikissa EU- ja ETA-maissa. Tämä vahvistaa sekä yksilöiden että tietoja käsittelevien organisaatioiden oikeusvarmuutta ja tarjoaa korkeatasoisen suojan ihmisille.

Asetus tuli voimaan 24.5.2016, ja sitä on sovellettu 25.5.2018 alkaen.
 

Rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa on määriteltävä, että henkilötietojen käsittelijä:

• käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tämä koskee myös henkilötietojen siirtoa ETA-maiden ulkopuolelle.
• varmistaa, että henkilöt, joilla on valtuudet käsitellä tietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus
• varmistaa käsittelyn turvallisuuden
• ei saa käyttää toista henkilötietojen käsittelijää ilman rekisterinpitäjän etukäteen antamaa kirjallista lupaa
• auttaa rekisterinpitäjää täyttämään velvoitteet ihmisten tietosuojaoikeuksia koskeviin pyyntöihin vastaamisessa
• avustaa rekisterinpitäjää henkilötietojen turvallisessa käsittelyssä, tietoturvaloukkauksista ilmoittamisessa ja tietosuojan vaikutustenarviointien tekemisessä
• poistaa tai palauttaa rekisterinpitäjälle kaikki henkilötiedot rekisterinpitäjän päättämällä tavalla, kun palvelujen tarjoaminen päättyy
• asettaa rekisterinpitäjän saataville kaikki tiedot, joilla voidaan osoittaa, että tietosuoja-asetuksen velvoitteita noudatetaan
• mahdollistaa tarkastukset ja osallistuu niihin. Niitä voivat olla esimerkiksi rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tilintarkastajan suorittamat tarkastukset.

Lisäksi henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo ohjeiden rikkovan yleistä tietosuoja-asetusta tai muita EU:n tai kansallisia tietosuojasäännöksiä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn niihin.

• Jos tietoturvaloukkaus aiheuttaa riskin kohteeksi joutuneille henkilöille, sinun on ilmoitettava siitä tietosuojaviranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi.
• Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, sinun on myös ilmoitettava loukkauksesta asianomaisille henkilöille ilman aiheetonta viivytystä.

Joka tapauksessa kaikista tietoturvaloukkauksista – myös niistä, joista ei ole ilmoitettu tietosuojaviranomaiselle – on dokumentoitava vähintään perustiedot siitä, mitä on tapahtunut, loukkauksen vakavuuden arviointi, sen vaikutukset sekä toimenpiteet, joihin on ryhdytty.
 

 Lisätietoja:

• Tietoturvaloukkaukset
   

Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi

• jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
• jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään. 

Lisätietoja:

• Kunnioita ihmisten tietosuojaoikeuksia

Tietosuojavastaava voi olla yrityksen työntekijä, jolla on riittävät tiedot yleisestä tietosuoja-asetuksesta, jos työntekijän tehtävät ovat yhteensopivia tietosuojavastaavan tehtävien kanssa eivätkä johda eturistiriitoihin. Tietosuojavastaava voi myös olla ulkopuolinen henkilö. Tietosuojavastaavan on voitava hoitaa tehtäväänsä riippumattomasti, ja hänellä on oltava mahdollisuus raportoida suoraan ylimmälle johdolle.

Lisätietoja:

• Tietosuojavastaava

Yleisessä tietosuoja-asetuksessa erotetaan toisistaan kaksi keskeistä roolia: rekisterinpitäjä ja henkilötietojen käsittelijä. Roolien ero on tärkeä, koska rekisterinpitäjällä on enemmän vastuita ja sen on täytettävä enemmän velvoitteita kuin henkilötietojen käsittelijän.

Rekisterinpitäjiä ja henkilötietojen käsittelijöitä voivat olla esimerkiksi pk-yritys, viranomainen, yhtiö, valtion elin, yhdistys jne. Myös luonnollinen henkilö voi olla rekisterinpitäjä tai henkilötietojen käsittelijä. 

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin sanoen rekisterinpitäjä päättää, miten ja miksi tietoja käsitellään. Henkilötietojen käsittelijät käsittelevät henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijöiden suorittamaa käsittely on määritettävä rekisterinpitäjän kanssa tehdyssä sopimuksessa tai muulla oikeudellisella asiakirjalla.

Esimerkkejä rekisterinpitäjistä:

• yritykset, jotka käsittelevät asiakkaidensa henkilötietoja myyntiä varten
• rahoituslaitokset, jotka käsittelevät asiakkaidensa henkilötietoja
• yhdistykset, jotka käsittelevät jäsentensä tietoja
• koulut tai yliopistot, jotka käsittelevät opiskelijoiden ja opettajien henkilötietoja
• sairaalat, jotka käsittelevät potilaidensa henkilötietoja
• valtion virastot, jotka käsittelevät kansalaisten henkilötietoja.

Esimerkkejä henkilötietojen käsittelijöistä:

• Pk-yritys palkkaa kirjanpitopalvelun, jolloin pk-yritys on rekisterinpitäjä ja kirjanpitopalvelu tietojen käsittelijä
• Tilitoimisto käsittelee pk-yrityksen henkilötietoja. Tilitoimisto toimii henkilötietojen käsittelijänä, jos se käsittelee henkilötietoja yksinomaan pk-yrityksen lukuun. Pk-yritys määrittää tietojen käsittelyn tarkoitukset ja keinot, minkä vuoksi se on rekisterinpitäjä.
• Pk-yritys valtuuttaa markkinointiyrityksen keräämään sähköpostiosoitteita kolmansien osapuolten verkkosivustojen kautta. Markkinointiyritys tekee tämän pk-yrityksen ohjeiden mukaisesti ja ainoastaan pk-yrityksen käyttöön. Markkinointiyhtiö toimii henkilötietojen käsittelijänä tietojen keräämisessä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä