Kysymyksiä ja vastauksia
Yritysturvallisuus > Tietosuoja
Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus.Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 lähtien julkisella ja yksityisellä sektorilla. Asetus korvaa vuoden 1995 henkilötietodirektiivin (95/46/EY) ja sen kansalliseksi täytäntöön panemiseksi annetun tietosuojalain säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan.
ROOLIT | ||
Rekisterinpitäjä | Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Viite: 4 artikla | |
Yhteisrekisterinpitäjä | Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Yhteisrekisterinpitäjät määrittelevät keskinäisellä järjestelyllä ja läpinäkyvällä tavalla kunkin vastuualueen tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Viite: 26 artikla | |
Henkilötietojen käsittelijä | Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Viite: 46 artikla | |
Tietosuojavastaava | Tietosuojavastaavalla tarkoitetaan luonnollista henkilöä, jolla on tietosuoja-asetuksen 38 artiklan mukainen asema ja 39 artiklan mukaiset tehtävät. Rekisterinpitäjä ja henkilötiedon käsittelijä nimeää tietosuojavastaavan tietosuoja-asetuksen 37 artiklassa luetelluissa tilanteissa. Viite: 37 artikla | |
Kolmas osapuoli | Kolmannella osapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. Viite: 4 artikla | |
Edustaja | Edustajalla tarkoitetaan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista. Viite: 4 artikla | |
Yritys | Yrityksellä tarkoitetaan taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa. Viite: 4 artikla | |
Konserni | Konsernilla tarkoitetaan määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä. Viite: 4 artikla | |
Valvontaviranomainen |
Viite: 4 artikla | |
Osallistuva valvontaviranomainen | Osallistuvalla valvontaviranomaisella tarkoitetaan valvontaviranomaista, jolle asia kuuluu, koska
Viite: 4 artikla | |
Johtava valvontaviranomainen | Rekisterinpitäjä, joka toimii useassa EU:n jäsenvaltiossa, voi asioida päätoimipaikkansa valvontaviranomaisen, eli johtavan valvontaviranomaisen, kanssa henkilötietojen käsittelyä koskevissa asioissa. Menettely poistaa tarpeen asioida usean jäsenvaltion valvontaviranomaisen kanssa. Johtavan valvontaviranomaisen toimivalta on määritelty tietosuoja-asetuksen 56 artiklassa. |
KÄSITTEITÄ | ||
Mitä tarkoittaa suunnitteluvelvoite? |
| |
Mitä tarkoittaa käyttötarkoitussidonnaisuus? |
Viite: 5 artikla | |
Mikä on rekisteriseloste? | Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on laadittava ja ylläpidettävä rekisteriseloste vastuullaan olevista henkilötietojen käsittelytoimista. Tietosuoja-asetuksen 30 artiklassa on lueteltu selosteelta vaadittu tietosisältö.
Viite: 30 artikla | |
Mitä tietosuojan vaikutustenarvioinnilla tarkoitetaan? |
Viite: 35 artikla Kymen Vesi Oy:lle seuraamusmaksu Kymen Vesi Oy oli käsitellyt työntekijöidensä sijaintitietoja paikantamalla ajoneuvoja ajotietojärjestelmän avulla. Rekisterinpitäjä oli jättänyt tekemättä EU:n yleisen tietosuoja-asetuksen mukaisen vaikutustenarvioinnin ennen sijaintitietojen käsittelyn aloittamista. Sijaintitietoja oli käytetty mm. työajanseurantaan, joka liittyy työnantajan työnjohto-oikeuteen. Vaikutustenarviointi on tehtävä, mikäli sijaintitietoja käytetään järjestelmälliseen valvontaan. Seuraamuskollegio määräsi Kymen Vesi Oy:lle 16 000 euron suuruisen seuraamusmaksun. Lähteet: (tietosuoja.fi ajankohtaista 25.5.2020, kymensanomat.fi 27.5.2020) Taksi Helsinki Oy:lle seuraamusmaksu Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi hallinnollisen seuraamusmaksun Taksi Helsinki Oy:lle tietosuojalainsäädännön rikkomisesta. Yhtiöllä oli ongelmia useissa tietosuojan peruskysymyksissä. Yhtiö oli jättänyt mm. arvioimatta henkilötietojen käsittelyyn liittyvät riskit ja vaikutukset ennen kuin se otti käyttöönsä ääntä ja kuvaa takseissa tallentavan kameravalvontajärjestelmän. Apulaistietosuojavaltuutettu määräsi Taksi Helsingin korjaamaan käytäntöjään. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Taksi Helsingille 72 000 euron suuruisen seuraamusmaksun. Kollegio arvioi määrän oikeasuhteiseksi, tehokkaaksi ja varoittavaksi. Lähde: (tietosuoja.fi ajankohtaista 29.5.2020) | |
Mitä ennakkokuulemisella tarkoitetaan? | Rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi. Viite: 36 artikla | |
Mitä käsittelyn turvallisuudella tarkoitetaan? |
Viite: 32 artikla |
ILMOITUSVELVOLLISUUS | ||
Onko henkilötietojen tietoturvaloukkauksesta ilmoitettava valvontaviranomaiselle? |
Viite: 33 artikla |
TILINTEKOVELVOLLISUUS | ||
Mitä rekisterinpitäjän tilintekovelvollisuus tarkoittaa? | Rekisterinpitäjä vastaa käsittelyn asianmukaisuudesta EU:n tietosuoja-asetuksen 5 artiklan 1 kohdan mukaisesti, joka sen on pystyttävä osoittamaan.
| |
Mitä rekisterinpitäjän on kyettävä osoittamaan? | Rekisterinpitäjän on osoitettava, että se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan tarvittavin teknisin, hallinnollisin ja organisatorisin toimenpitein. Pelkkä vaatimuksenmukaisuus ei riitä. Rekisterinpitäjän on osoitettava, että
|
TIETOTILINPÄÄTÖS | ||
Mikä on tietotilinpäätöksen (accountability) tarkoitus? | Tietotilinpäätös ei sisälly EU:n tietosuoja-asetuksen käsitteisiin tai velvollisuuksiin. EU:n tietosuoja-asetus edellyttää kuitenkin tietojenkäsittelytoimintojen kattavaa dokumentoimista 28, 33 ja 49 artikloissa. Tietotilinpäätös on viranomaisille keino osoittaa julkisuuslain (621/1991) edellyttämän hyvän tiedonhallintatavan noudattaminen. Tietotilinpäätöstä voivat käyttää myös yksityisoikeudelliset yhteisöt. Tietotilinpäätöksellä tai muulla henkilötietojen käsittelyä koskevalla dokumentaatiolla on osoitettava, että rekisterinpitäjän toiminnassa toteutuu huolellisuus ja riittävä tietosuoja.
| |
Mitä tietotilinpäätös kertoo henkilötietojen käsittelystä (accountability)? | Tietotilinpäätös tarjoaa vastauksen mm. seuraaviin kysymyksiin:
|
TIETOSUOJAVASTAAVA | ||
Milloin tietosuojavastaava on nimettävä? | Rekisterinpitäjän on nimettävä tietosuojavastaava aina, kun
Viite: 37 artikla | |
Kuinka monta tietosuojavastaavaa voidaan nimetä? |
Viite: 37 artikla | |
Mitä asioita tietosuojavastaavaa nimettäessä on huomioitava? |
Viite: 37 artikla | |
Mikä on tietosuojavastaavan asema? |
Viite: 38 artikla | |
Mitkä ovat tietosuojavastaavan tehtävät? | Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tietosuojavastaavalla on ainakin seuraavat tehtävät:
|
REKISTERÖIDYN OIKEUDET | ||
Voiko henkilö vaatia tietojensa oikaisua? | Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Viite: 16 artikla | |
Voiko henkilö peruttaa suostumuksensa henkilötietojensa käsittelyyn? | Rekisteröidyllä on oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn ja pyytää rekisterinpitäjää poistamaan kaikki häntä koskevat henkilötiedot, ellei henkilötietojen käsittelylle ole laissa määrättyä perustetta. Viite: 17 artikla | |
Voiko henkilö rajoittaa henkilötietojensa käsittelyä? | Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin vaatia rekisterinpitäjää rajoittamaan henkilötietojen käsittelyä. Viite: 18 artikla | |
Onko henkilöllä oikeus siirtää omat tietonsa järjestelmästä toiseen? | Rekisteröidyllä on oikeus siirtää häntä koskevat henkilötiedot järjestelmästä toiseen. Siirto-oikeus ei koske henkilötietoja, jotka ovat tarpeen yleistä etua koskevan tehtävän suorittamisessa tai julkisen vallan käyttämisessä. Viite: 20 artikla | |
Onko henkilöllä oikeus vastustaa henkilötietojen käsittelyä? | Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin vastustaa henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella rekisteröityä koskevien henkilötietojen käsittelyä. Tällöin henkilötietoja saa käsitellä vain, jos rekisterinpitäjä osoittaa, että käsittelyyn on olemassa perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet. Rekisteröidyn vastustaessa henkilötietojen käsittelyä suoramarkkinointia varten, ei henkilötietojen käsittelyä saa jatkaa tähän tarkoitukseen. Viite: 21 artikla Posti Oy:lle seuraamusmaksu Asiakkaat olivat saaneet Posti Oy:lle tekemänsä muuttoilmoituksen jälkeen yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Posti Oy ei informoinut rekisteröityjä heidän oikeudestaan kieltää tietojen luovutus muuttoilmoituksen yhteydessä, vaikka rekisteröidyillä on oikeus vastustaa henkilötietojen käsittelyä. Seuraamuskollegio määräsi Posti Oy:lle 100 000 euron suuruisen seuraamusmaksun. Lähde: (tietosuoja.fi ajankohtaista 22.5.2020) | |
Onko henkilöllä oikeus vastustaa automaattista päätöksentekoa? | Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin olla joutumatta pelkästään automaattisen päätöksenteon kohteeksi, kuten esimerkiksi profiloinnin, jos päätöksellä on rekisteröityyn kohdistuvia oikeusvaikutuksia. Viite: 22 artikla | |
Milloin henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle? | Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin saada ilmoitus tietoturvaloukkauksesta, jos tapahtuma vaarantaa rekisteröidyn henkilötietojen luottamuksellisuuden ja voi todennäköisesti loukata rekisteröidyn oikeuksia ja vapauksia (esimerkiksi identiteetinvarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan yhteydessä). Viite: 34 artikla |