Usein kysytyt kysymykset
Sovelletaanko tietosuoja-asetusta myös paperiasiakirjoihin?
Kyllä, yleistä tietosuoja-asetusta sovelletaan, jos henkilötiedot on sisällytetty tai ne on tarkoitus sisällyttää osaksi rekisteriä. Tämä tarkoittaa, että tietosuoja-asetusta sovelletaan myös paperiasiakirjoihin, ei pelkästään automatisoituun henkilötietojen käsittelyyn.
Lisätietoja:
Voinko siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle?
Yleisen tietosuoja-asetuksen perusteella on periaatteessa kaksi pääasiallista tapaa siirtää henkilötietoja Euroopan talousalueen ulkopuoliseen maahan tai kansainväliselle järjestölle. Ensisijaisesti siirrot voidaan tehdä tietosuojan riittävyyttä koskevan päätöksen perusteella. Jos tietosuojan riittävyyspäätöstä ei ole, voidaan tietoja siirtää asianmukaisten suojatoimien nojalla. Niihin sisältyy täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja yksityishenkilöille. Tiedonsiirtoperusteet määritellään tietosuoja-asetuksessa.
Lisätietoja:
Kuinka kauan voin säilyttää henkilötietoja?
Henkilötietoja ei voi säilyttää ikuisesti.
Henkilötietoja voidaan pääsääntöisesti säilyttää vain niin kauan kuin se on tarpeen niiden käyttötarkoitusten kannalta, joita varten henkilötietoja käsitellään.
Joissakin tapauksissa säilytysaika voidaan määrittää laissa. Esimerkiksi työelämää koskevissa säännöksissä määritetään tietojen säilytysaikoja.
Organisaation on otettava käyttöön sisäiset toimintaperiaatteet tietojen säilyttämistä varten, jotta henkilötietoja ei säilytetä pidempään kuin on tarpeen. Ihmisten henkilötiedot on poistettava tai anonymisoitava, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten niitä on käsitelty.
Lisätietoja:
Mikä on tietosuojaa koskeva vaikutustenarviointi ja milloin sen tekeminen on pakollista?
Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.
Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy
- arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä
- henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
- yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.
Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.
Lisätietoja:
Mikä on tietosuojaseloste?
Jos henkilötietoja kerätään suoraan henkilöiltä itseltään, organisaation on kerrottava henkilötietojen käsittelystä tiiviisti ja läpinäkyvästi helposti ymmärrettävällä, selkeällä kielellä. Tämä voidaan tehdä kirjallisesti (esim. tarjouskirjeessä) tai sähköisesti (esim. verkkosivustolla). Jos henkilö pyytää, tiedot voi myös antaa suullisesti, mutta sinun on kyettävä todistamaan jälkikäteen, että tiedot on annettu.
Myös silloin, kun tiedot on kerätty muualta, eli jos et kerää henkilötietoja suoraan henkilöltä itse, vaan esimerkiksi kolmannen osapuolen kautta, sinun on annettava heille samat yksityiskohtaiset tiedot.
Mikä on tietosuojavastaavan eturistiriita?
Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei saa johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Ristiriitaisiin tehtäviin kuuluvat pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta niihin voi liittyä myös muita tehtäviä, jos niissä määritellään käsittelyn tarkoituksia ja keinoja.
Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:
- ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamisesta
- ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.
Lisätietoja:
Mikä on yhteisrekisterinpitäjä?
Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.
On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.
- Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.
Lisätietoja:
Milloin tiedot henkilötietojen käsittelystä pitää antaa?
Jos yrityksesi kerää henkilötietoja suoraan henkilöiltä itseltään, sen on kerrottava henkilötietojen käsittelystä tietojen keräämisen yhteydessä.
Jos henkilötietoja kerätään välillisesti, organisaation on toimitettava tiedot viimeistään kuukauden kuluessa siitä, kun tiedot on alun perin saatu. Tämä yhden kuukauden enimmäisaika voida olla lyhyempi
- jos henkilötietoja käytetään yhteydenpitoon henkilön kanssa. Tällöin sinun on kerrottava henkilötietojen käsittelystä viimeistään silloin, kun häneen ollaan yhteydessä ensimmäisen kerran.
- jos henkilötiedot siirretään toiselle vastaanottajalle, organisaation on ilmoitettava tästä henkilöille viimeistään silloin, kun tiedot siirretään.
Lisätietoja:
Mistä tiedän, mihin tietoturvatoimiin minun on ryhdyttävä?
Tarvittavat tietoturvatoimet voivat vaihdella käsittelemiesi henkilötietojen luonteen ja ihmisiin kohdistuvien riskien perusteella. Sinun pitäisi vähintään ottaa käyttöön seuraavat toimenpiteet:
- suojaa pääsy tiloihin
- käytä säännöllisesti päivitettyjä virustorjuntaohjelmia
- valitse huolellisesti salasanasi
- vaadi käyttäjien todentamista ennen tietokoneiden käyttöä
- ota käyttöön tietojen varmuuskopiointi- ja palautuskäytännöt poikkeustilanteiden varalta.
Lisäksi on aina hyvä muistaa perustoimenpiteet, kuten näytön lukitseminen poissa ollessasi sekä toimiston lukitseminen päivän päätteeksi.
Lisätietoja:
Mitä minun pitäisi tehdä, kun henkilö kysyy, miten käsittelen hänen tietojaan?
Yksityishenkilö voi kysyä, käsitteleekö yrityksesi hänen tietojaan. Jos näin on, hänellä on oikeus tutustua näihin tietoihin. Kun tätä kysytään sinulta ja jos käsittelet henkilön tietoja, sinun on toimitettava hänelle maksutta esimerkiksi kopio tiedoista sekä tarvittavat lisätiedot. Jos pyyntö esitetään sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei henkilö toisin pyydä.
Lisätietoja: