Henkilötietojen käsittelyllä tarkoitetaan kaikenlaisia toimintoja (käsittelytoimia), joita suoritetaan ihmisten henkilötiedoilla tai joihin käytetään henkilötietoja. Käsittelyä on henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, palauttaminen, hakeminen, tiedustelujen tekeminen tietokannoista, käyttö, luovuttaminen siirtämällä, välittämällä tai asettamalla muulla tavalla saataville, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.

Rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa on määriteltävä, että henkilötietojen käsittelijä:

• käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tämä koskee myös henkilötietojen siirtoa ETA-maiden ulkopuolelle.
• varmistaa, että henkilöt, joilla on valtuudet käsitellä tietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus
• varmistaa käsittelyn turvallisuuden
• ei saa käyttää toista henkilötietojen käsittelijää ilman rekisterinpitäjän etukäteen antamaa kirjallista lupaa
• auttaa rekisterinpitäjää täyttämään velvoitteet ihmisten tietosuojaoikeuksia koskeviin pyyntöihin vastaamisessa
• avustaa rekisterinpitäjää henkilötietojen turvallisessa käsittelyssä, tietoturvaloukkauksista ilmoittamisessa ja tietosuojan vaikutustenarviointien tekemisessä
• poistaa tai palauttaa rekisterinpitäjälle kaikki henkilötiedot rekisterinpitäjän päättämällä tavalla, kun palvelujen tarjoaminen päättyy
• asettaa rekisterinpitäjän saataville kaikki tiedot, joilla voidaan osoittaa, että tietosuoja-asetuksen velvoitteita noudatetaan
• mahdollistaa tarkastukset ja osallistuu niihin. Niitä voivat olla esimerkiksi rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tilintarkastajan suorittamat tarkastukset.

Lisäksi henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo ohjeiden rikkovan yleistä tietosuoja-asetusta tai muita EU:n tai kansallisia tietosuojasäännöksiä.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Voimassa oleva sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä on pakollinen tietosuoja-asetuksen mukaan. Tämän vaatimuksen rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 10 miljoonaa euroa tai enintään 2 prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Tanskan ja Slovenian tietosuojaviranomaiset sekä Euroopan komissio ovat luoneet mallipohjia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen laatimiseksi.
 

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä
   

Tietosuojavastaavan tehtävänä on muun muassa

• antaa organisaation johdolle ja sen työntekijöille tietoa ja neuvoja tietosuojasääntöjen noudattamisesta
• seurata tietosuojasääntöjen noudattamista
• antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä
• toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa
• toimia yksityishenkilöiden yhteyspisteenä henkilötietojen käsittelyyn liittyvissä asioissa.

Lisäksi tietosuojavastaavan läsnäoloa suositellaan aina, kun organisaatiossa tehdään päätöksiä, joilla on tietosuojaan liittyviä vaikutuksia. Tietosuojavastaavaa tulisi myös kuulla viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeustilanne.

Lisätietoja:

• Tietosuojavastaava

Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:

• henkilöin suostumuksella
• jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
• EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
• käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
• yksilön elintärkeiden etujen suojaamiseksi
• organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.

Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.

Lisätietoja:

• Käsittele henkilötietoja lainmukaisesti

Kyllä, yleisessä tietosuoja-asetuksessa on velvoitteita henkilötietojen käsittelijöille (eli niille, jotka käsittelevät tietoja rekisterinpitäjän lukuun). Rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuissa on kuitenkin joitakin eroja.

Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia. Sopimuksessa määritellään yksityiskohtaisesti käsittelytoimet ja keinot henkilötietojen käsittelyyn. Henkilötietojen käsittelijän on esimerkiksi käsiteltävä henkilötietoja asianmukaisin teknisin ja organisatorisin toimenpitein rekisterinpitäjän ohjeiden mukaisesti. Näin henkilötietojen käsittelijä tukee rekisterinpitäjää tietosuojasäännösten noudattamisessa.

Lisätietoja:

• Rekisterinpitäjä tai henkilötietojen käsittelijä

Tietosuojavastaavan ei voida katsoa olevan vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuoja-asetuksen noudattaminen on tietosuojavastaavan nimittäneen organisaation vastuulla.

Lisätietoja:

• Tietosuojavastaava

Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.

Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
 

Lisätietoja:

• Tietosuojavastaava

   

Tietosuojavastaavan nimittäminen on pakollista seuraavissa kolmessa tapauksessa:

• organisaatio on viranomainen
• organisaation ydintoimintoihin kuuluu henkilöiden säännöllinen ja järjestelmällinen laajamittainen seuranta, kuten mobiilisovelluksen kautta tapahtuva paikannus tai julkisten tilojen kameravalvonta (esim. kauppakeskus) 
• organisaation ydintoimintaa on arkaluonteisten tietojen tai rikostuomioihin ja rikoksiin liittyvien henkilötietojen laajamittainen käsittely.

Voit aina nimittää tietosuojavastaavan vapaaehtoisesti, vaikka se ei olisi lakisääteistä. Huomaa, että tällöin sinun on noudatettava kaikkia tietosuoja-asetuksen säännöksiä, jotka koskevat tietosuojavastaavan tehtäviä ja asemaa.
 

Lisätietoja:

• Tietosuojavastaava

Jokaisen organisaation, joka käsittelee henkilötietoja ja on sijoittautunut Euroopan talousalueelle (ETA) tai joka tarjoaa tuotteita tai palveluja yksityishenkilöille ETA-alueella, on noudatettava yleistä tietosuoja-asetusta organisaation koosta tai toimialasta riippumatta. Vaikka tietosuoja-asetus liittyy pääasiassa henkilötietojen automatisoituun käsittelyyn, sovelletaan tietosuoja-asetusta myös manuaaliseen henkilötietojen käsittelyyn siitä hetkestä lähtien, kun esimerkiksi paperiasiakirjat on järjestetty systemaattisesti asettamalla ne aakkosjärjestykseen arkistokaappiin. 

Käsittelytoimia ovat esimerkiksi ihmisten henkilötietojen kerääminen, tallentaminen, järjestäminen, käyttö, muokkaaminen, säilyttäminen, julkaiseminen, muuttaminen ja poistaminen.

Yleisen tietosuoja-asetuksen soveltamista mukautetaan käsittelytoimien luonteen, asiayhteyden, tarkoitusten ja riskien mukaan. Niille pk-yrityksille, joiden ydinliiketoimintaa ei ole henkilötietojen käsittely, velvoitteet voivat olla kevyempiä kuin esimerkiksi suuryrityksille.
 

Lisätietoja:

• Tietosuojan perusteet