Usein kysytyt kysymykset
Kuka on rekisterinpitäjä ja kuka henkilötietojen käsittelijä?
Yleisessä tietosuoja-asetuksessa erotetaan toisistaan kaksi keskeistä roolia: rekisterinpitäjä ja henkilötietojen käsittelijä. Roolien ero on tärkeä, koska rekisterinpitäjällä on enemmän vastuita ja sen on täytettävä enemmän velvoitteita kuin henkilötietojen käsittelijän.
Rekisterinpitäjiä ja henkilötietojen käsittelijöitä voivat olla esimerkiksi pk-yritys, viranomainen, yhtiö, valtion elin, yhdistys jne. Myös luonnollinen henkilö voi olla rekisterinpitäjä tai henkilötietojen käsittelijä.
Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin sanoen rekisterinpitäjä päättää, miten ja miksi tietoja käsitellään. Henkilötietojen käsittelijät käsittelevät henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijöiden suorittamaa käsittely on määritettävä rekisterinpitäjän kanssa tehdyssä sopimuksessa tai muulla oikeudellisella asiakirjalla.
Esimerkkejä rekisterinpitäjistä:
- yritykset, jotka käsittelevät asiakkaidensa henkilötietoja myyntiä varten
- rahoituslaitokset, jotka käsittelevät asiakkaidensa henkilötietoja
- yhdistykset, jotka käsittelevät jäsentensä tietoja
- koulut tai yliopistot, jotka käsittelevät opiskelijoiden ja opettajien henkilötietoja
- sairaalat, jotka käsittelevät potilaidensa henkilötietoja
- valtion virastot, jotka käsittelevät kansalaisten henkilötietoja.
Esimerkkejä henkilötietojen käsittelijöistä:
- Pk-yritys palkkaa kirjanpitopalvelun, jolloin pk-yritys on rekisterinpitäjä ja kirjanpitopalvelu tietojen käsittelijä
- Tilitoimisto käsittelee pk-yrityksen henkilötietoja. Tilitoimisto toimii henkilötietojen käsittelijänä, jos se käsittelee henkilötietoja yksinomaan pk-yrityksen lukuun. Pk-yritys määrittää tietojen käsittelyn tarkoitukset ja keinot, minkä vuoksi se on rekisterinpitäjä.
- Pk-yritys valtuuttaa markkinointiyrityksen keräämään sähköpostiosoitteita kolmansien osapuolten verkkosivustojen kautta. Markkinointiyritys tekee tämän pk-yrityksen ohjeiden mukaisesti ja ainoastaan pk-yrityksen käyttöön. Markkinointiyhtiö toimii henkilötietojen käsittelijänä tietojen keräämisessä.
Lisätietoja:
Onko minun julkistettava selosteeni käsittelytoimista?
Ei, sinun ei tarvitse julkistaa ylläpitämääsi selostetta tietojenkäsittelystäsi. Käsittelytoimia koskevan selosteen on kuitenkin oltava pyydettäessä tietosuojaviranomaisen saatavilla.
Lisätietoja:
Miten pysyn Euroopan tietosuojaneuvoston työn tasalla?
Tietosuojaneuvosto julkaisee säännöllisesti tiedotteita, uutisia, blogeja ja muuta sisältöä verkkosivustollaan ja sosiaalisen median kanavissaan (Twitter: @EU_EDPB; LinkedIn: Euroopan tietosuojaneuvosto) pitääkseen tietosuojayhteisön ja suuren yleisön ajan tasalla työstään.
Tietosuojaneuvoston verkkosivustolla on myös kaksi RSS-syötettä, joista voit tilata päivityksiä tietosuojaneuvoston uutisista ja uusimmista julkaisuista.
Pitääkö minun ylläpitää selostetta käsittelytoimistani?
Käytännössä jokaisen yrityksesi tulee pitää kirjaa käsittelytoimistaan. Seloste käsittelytoimista on kirjallinen kuvaus kaikesta organisaation tekemästä henkilötietojen käsittelystä ja voi auttaa sinua tunnistamaan tietosuoja-asetuksen mukaisia vastuistasi ja mahdollisia riskejä.
Jokainen käsittelytoimi on kuvattava selosteessa seuraavilla tiedoilla:
- käsittelyn tarkoitus (esim. asiakasuskollisuus),
- käsiteltävien tietojen luokat (esim. palkkakuitissa nimi, syntymäaika, palkan suuruus jne.),
- kenellä on pääsy tietoihin (vastaanottajat, esim. rekrytoinnista vastaava yksikkö, IT-palvelu, organisaation johto, palveluntarjoajat, kumppanit),
- tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
- mahdollisuuksien mukaan tietojen säilytysaika (aika, jona tiedot ovat hyödynnettävissä sekä niiden arkistointiaika).
- mahdollisuuksien mukaan yleinen kuvaus turvatoimista.
Käsittelytoimien kirjaaminen kuuluu organisaatiosi johdon vastuulle.
Käsittelytoimia koskevan selosteen on oltava pyydettäessä sen maan tietosuojaviranomaisen saatavilla, jossa toimit.
Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse kirjata selosteeseen puhtaasti satunnaisia toimia (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).
Lisätietoja:
Mikä on EU:n yleinen tietosuoja-asetus?
Yleinen tietosuoja-asetus (GDPR) luo yhdenmukaiset säännöt, joita sovelletaan kaikkeen henkilötietojen käsittelyyn, jota suorittavat Euroopan talousalueella (ETA) sijaitsevat organisaatiot tai joka kohdistuu yksityishenkilöihin EU:ssa. Tietosuoja-asetusta sovelletaan niin julkisen kuin yksityisen sektorin organisaatioihin niiden koosta riippumatta. Yleisen tietosuoja-asetuksen ensisijaisena tavoitteena on varmistaa, että henkilötiedoilla on sama korkeatasoinen suoja kaikissa EU- ja ETA-maissa. Tämä vahvistaa sekä yksilöiden että tietoja käsittelevien organisaatioiden oikeusvarmuutta ja tarjoaa korkeatasoisen suojan ihmisille.
Asetus tuli voimaan 24.5.2016, ja sitä on sovellettu 25.5.2018 alkaen.
Mikä on arkaluonteinen tieto?
Tietyt henkilötietotyypit kuuluvat erityisiin henkilötietoryhmiin, mikä tarkoittaa, että niitä on suojattava erityisen huolellisesti. Ne ovat niin sanottuja arkaluonteisia tietoja. Arkaluonteisia tietoja ovat tiedot, joista ilmenee:
- henkilön terveys
- henkilön seksuaalinen suuntautuminen
- henkilön etninen alkuperä
- henkilön poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliittoon kuuluminen
- henkilön biometriset ja geneettiset tiedot.
Arkaluonteisten tietojen käsittely on yleensä kiellettyä lukuun ottamatta tiettyjä tilanteita, joissa niitä saa käsitellä.
Lisätietoja:
Mitä evästeet ovat?
Evästeet ovat pieniä tiedostoja, jotka tallennetaan käyttäjän päätelaitteelle, kuten tietokoneelle tai mobiililaitteelle, ja jotka voivat tallentaa tietoja. Evästeet palvelevat monia tärkeitä toimintoja, kuten verkkosivuston käyttäjien ja heidän aiemman toimintansa muistamista. Niiden avulla voidaan seurata tuotteita verkkokaupan ostoskorissa tai tietoja, jotka täytetään sähköiseen lomakkeeseen.
Todentamisevästeitä hyödynnetään käyttäjien tunnistamiseen, kun he kirjautuvat erilaisiin verkkopalveluihin, kuten pankkipalveluihin. Evästeisiin tallennetut tiedot voivat sisältää henkilötietoja, kuten IP-osoitteen, käyttäjänimen, yksilöllisen tunnisteen tai sähköpostiosoitteen.
Samasta aiheesta:
• Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?
Mitä henkilötiedot ovat?
Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Tunnistettavissa oleva henkilö on kuka tahansa, joka voidaan tunnistaa joko suoraan tai välillisesti. Henkilötietoja voivat olla myös erilaiset tiedot, joita yhdistämällä tietty henkilö voidaan tunnistaa.
Esimerkkejä henkilötiedoista ovat:
- etu- ja sukunimi
- kotiosoite
- sähköpostiosoite
- sijaintitiedot
- IP-osoite
- evästetunniste
- pankkitili
- verotiedot
- biometriset tiedot (esim. sormenjäljet)
- henkilötunnus
- passin numero
- testitulokset
- arvosanat koulussa
- selaushistoria
- valokuva henkilöstä
- ajoneuvon rekisterinumero jne.
Lisätietoja:
Voinko jakaa luettelon ihmisten henkilötiedoista liikekumppaneideni (kolmansien osapuolten) kanssa?
Kyllä voit, mutta tietosuoja-asetuksessa on tiettyjä velvoitteita yrityksille, jotka jakavat henkilötietoja. Yrityksesi on ilmoitettava henkilöille, että jaat heidän tietonsa kolmannen osapuolen kanssa. Sinun on myös kerrottava heille, miksi tiedot jaetaan ja miten ne suojataan, sekä informoitava heitä tietojen säilyttämisestä ja siitä, kenellä on pääsy tietoihin.
Samasta aiheesta:
Mitä eroa on pseudonymisoiduilla ja anonymisoiduilla tiedoilla?
Pseudonymisointi tarkoittaa henkilötietojen muuttamista sellaiseen muotoon, että niitä ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot on säilytettävä erillään, ja teknisten ja organisatoristen toimenpiteiden avulla on varmistettava, että tietoja ei voida yhdistää yksittäiseen henkilöön. Käytännössä pseudonymisointi voi tarkoittaa henkilötietojen (esim. nimen, henkilötunnuksen, puhelinnumeron tms.) korvaamista tietokokonaisuudessa epäsuorasti tunnistettavilla tiedoilla (alias, järjestysnumero tms.). Pseudonymisoidut tiedot ovat edelleen henkilötietoja ja niihin sovelletaan tietosuojalainsäädäntöä.
Anonymisoidut tiedot ovat tietoja, jotka on tehty tunnistamattomiksi niin, että henkilöä ei enää voida tunnistaa niistä millään kohtuullisella tavalla. Kun anonymisointi on toteutettu asianmukaisesti, yleistä tietosuoja-asetusta ei enää sovelleta niihin.
Lisätietoja: