Kysymyksiä ja vastauksia - SecMeter

Sisältöön

Kysymyksiä ja vastauksia

Yritysturvallisuus > Tietosuoja
Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus.

Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 lähtien julkisella ja yksityisellä sektorilla. Asetus korvaa vuoden 1995 henkilötietodirektiivin (95/46/EY) ja sen kansalliseksi täytäntöön panemiseksi annetun tietosuojalain säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan.

ROOLIT
Rekisterinpitäjä
Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Viite: 4 artikla

Yhteisrekisterinpitäjä
Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä.

Yhteisrekisterinpitäjät määrittelevät keskinäisellä järjestelyllä ja läpinäkyvällä tavalla kunkin vastuualueen tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi.

Viite: 26 artikla

Henkilötietojen käsittelijä
Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Viite: 46 artikla

Tietosuojavastaava
Tietosuojavastaavalla tarkoitetaan luonnollista henkilöä, jolla on tietosuoja-asetuksen 38 artiklan mukainen asema ja 39 artiklan mukaiset tehtävät.

Rekisterinpitäjä ja henkilötiedon käsittelijä nimeää tietosuojavastaavan tietosuoja-asetuksen 37 artiklassa luetelluissa tilanteissa.

Viite: 37 artikla

Kolmas osapuoli
Kolmannella osapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena.

Viite: 4 artikla

Edustaja
Edustajalla tarkoitetaan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista.

Viite: 4 artikla

Yritys
Yrityksellä tarkoitetaan taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa.

Viite: 4 artikla

Konserni
Konsernilla tarkoitetaan määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä.

Viite: 4 artikla

Valvontaviranomainen
  1. Valvontaviranomaisella tarkoitetaan jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista.
  2. Valvontaviranomaisen tehtävät on määritelty tietosuoja-asetuksen 57 artiklassa.
  3. Suomessa tietosuojavaltuutetun toimistolla on valvontaviranomaisen rooli, jonka tehtäviin kuuluu mm. valvoa tietosuoja-asetuksen soveltamista.

Viite: 4 artikla

Osallistuva valvontaviranomainen
Osallistuvalla valvontaviranomaisella tarkoitetaan  valvontaviranomaista, jolle asia kuuluu, koska

  1. rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle,
  2. käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin tai
  3. kyseiselle valvontaviranomaiselle on tehty valitus.

Viite: 4 artikla

Johtava valvontaviranomainen

Rekisterinpitäjä, joka toimii useassa EU:n jäsenvaltiossa, voi asioida päätoimipaikkansa valvontaviranomaisen, eli johtavan valvontaviranomaisen, kanssa henkilötietojen käsittelyä koskevissa asioissa.

Menettely poistaa tarpeen asioida usean jäsenvaltion valvontaviranomaisen kanssa.

Johtavan valvontaviranomaisen toimivalta on määritelty tietosuoja-asetuksen 56 artiklassa.

KÄSITTEITÄ
Mitä tarkoittaa suunnitteluvelvoite?
  1. Henkilötietojen käsittely on suunniteltava niin, että se palvelee ihmistä. (EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679, esipuhe (4)
  1. Rekisterinpitäjän tulee nimetä tietosuojan hallinnointiin liittyvät vastuut ja varata riittävät resurssit tietosuojatehtävien toteuttamiseen.

Mitä tarkoittaa käyttötarkoitussidonnaisuus?
  1. Rekisterinpitäjän on ennakkoon määriteltävä ne käyttötarkoitukset, joissa henkilötietoja käsitellään ja varmistua siitä, ettei tietoja käsitellä muissa tarkoituksissa.
  1. Kaikki muut käyttötarkoitukset ovat luvatonta käyttöä.

Viite: 5 artikla

Mikä on rekisteriseloste?
Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on laadittava ja ylläpidettävä rekisteriseloste vastuullaan olevista henkilötietojen käsittelytoimista. Tietosuoja-asetuksen 30 artiklassa on lueteltu selosteelta vaadittu tietosisältö.

  1. rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
  2. käsittelyn tarkoitukset
  3. kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä.

Viite: 30 artikla

Mitä tietosuojan vaikutustenarvioinnilla tarkoitetaan?
  1. Tietosuojan vaikutustenarviointi vaaditaan henkilötietojen käsittelytoimille, joiden suunnitteluvaiheessa on todennäköistä, että käsittelytoimiin liittyy yksilöiden oikeuksien ja vapauksien kannalta merkittäviä riskejä.
  1. Vaikutustenarvioinnin tuloksia käytetään hallintakeinojen määrittelemisessä, joilla pyritään pienentämään riskitasoa, sekä samalla varmistumaan asetuksen vaatimusten toteutumisesta.
  1. Vaikutustenarviointi suoritetaan suunnitteluvaiheessa olevalle järjestelmälle, sovellukselle, palvelulle tai hankkeelle, jossa tullaan käsittelemään henkilötietoja.
  1. Mikäli vaikutustenarvioinnin perusteella riskitaso on suuri, eikä rekisterinpitäjä pysty sitä pienentämään, on otettava yhteyttä valvontaviranomaiseen (ennakkokuuleminen).

Viite: 35 artikla

Kymen Vesi Oy:lle seuraamusmaksu
Kymen Vesi Oy oli käsitellyt työntekijöidensä sijaintitietoja paikantamalla ajoneuvoja ajotietojärjestelmän avulla. Rekisterinpitäjä oli jättänyt tekemättä EU:n yleisen tietosuoja-asetuksen mukaisen vaikutustenarvioinnin ennen sijaintitietojen käsittelyn aloittamista.

Sijaintitietoja oli käytetty mm. työajanseurantaan, joka liittyy työnantajan työnjohto-oikeuteen. Vaikutustenarviointi on tehtävä, mikäli sijaintitietoja käytetään järjestelmälliseen valvontaan.  Seuraamuskollegio määräsi Kymen Vesi Oy:lle 16 000 euron suuruisen seuraamusmaksun. Lähteet: (tietosuoja.fi ajankohtaista 25.5.2020, kymensanomat.fi 27.5.2020)

Taksi Helsinki Oy:lle seuraamusmaksu
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi hallinnollisen seuraamusmaksun Taksi Helsinki Oy:lle tietosuojalainsäädännön rikkomisesta. Yhtiöllä oli ongelmia useissa tietosuojan peruskysymyksissä. Yhtiö oli jättänyt mm. arvioimatta henkilötietojen käsittelyyn liittyvät riskit ja vaikutukset ennen kuin se otti käyttöönsä ääntä ja kuvaa takseissa tallentavan kameravalvontajärjestelmän.

Apulaistietosuojavaltuutettu määräsi Taksi Helsingin korjaamaan käytäntöjään. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Taksi Helsingille 72 000 euron suuruisen seuraamusmaksun. Kollegio arvioi määrän oikeasuhteiseksi, tehokkaaksi ja varoittavaksi. Lähde: (tietosuoja.fi ajankohtaista 29.5.2020)

Mitä ennakkokuulemisella tarkoitetaan?
Rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.
Viite: 36 artikla

Mitä käsittelyn turvallisuudella tarkoitetaan?
  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset turvatoimenpiteet.

Viite: 32 artikla

ILMOITUSVELVOLLISUUS
Onko henkilötietojen tietoturvaloukkauksesta ilmoitettava valvontaviranomaiselle?
  1. Rekisterinpitäjän on ilmoitettava henkilötietoihin kohdistuvista tietoturvaloukkauksista valvontaviranomaiselle viimeistään 72 tunnin kuluessa ilmitulosta.
  2. Rekisterinpitäjän on ilmoitettava rekisteröidylle tietoturvaloukkauksesta, jos se vaarantaa rekisteröidyn henkilötietojen luottamuksellisuuden ja voi todennäköisesti loukata rekisteröidyn oikeuksia ja vapauksia.
  3. Tietosuoja-asetuksen 33 artiklassa luetellaan ilmoituksessa vaadittava tietosisältö.

Viite: 33 artikla

TILINTEKOVELVOLLISUUS
Mitä rekisterinpitäjän tilintekovelvollisuus tarkoittaa?
Rekisterinpitäjä vastaa käsittelyn asianmukaisuudesta EU:n tietosuoja-asetuksen 5 artiklan 1 kohdan mukaisesti, joka sen on pystyttävä osoittamaan.

  1. Osoitusvelvollisuuteen liittyvät asiat on lueteltu tietosuoja-asetuksessa (5 artikala 1 kohta).
  2. Eräs keino osoittaa tämä on toteuttaa raportointi tietotilinpäätöksen avulla.

Mitä rekisterinpitäjän on kyettävä osoittamaan?
Rekisterinpitäjän on osoitettava, että se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan tarvittavin teknisin, hallinnollisin ja organisatorisin toimenpitein. Pelkkä vaatimuksenmukaisuus ei riitä. Rekisterinpitäjän on osoitettava, että

  1. käsittely tapahtuu lain mukaisesti.
  2. tiedot on kerätty tiettyä, nimenomaista ja laillista tarkoitusta varten.
  3. tiedot ovat asianmukaisia ja olennaisia.
  4. tiedot ovat täsmällisiä ja tarvittaessa päivitettyjä.
  5. tiedot säilytetään tunnistettavassa muodossa ainoastaan niin kauan kuin on tarpeen.
  6. tietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus (eheys ja luottamuksellisuus).

Viite: 5 artikla

TIETOTILINPÄÄTÖS
Mikä on tietotilinpäätöksen (accountability) tarkoitus?
Tietotilinpäätös ei sisälly EU:n tietosuoja-asetuksen käsitteisiin tai velvollisuuksiin. EU:n tietosuoja-asetus edellyttää kuitenkin tietojenkäsittelytoimintojen kattavaa dokumentoimista 28, 33 ja 49 artikloissa.

Tietotilinpäätös on viranomaisille keino osoittaa julkisuuslain (621/1991) edellyttämän hyvän tiedonhallintatavan noudattaminen. Tietotilinpäätöstä voivat käyttää myös yksityisoikeudelliset yhteisöt.

Tietotilinpäätöksellä tai muulla henkilötietojen käsittelyä koskevalla dokumentaatiolla on osoitettava, että rekisterinpitäjän toiminnassa toteutuu huolellisuus ja riittävä tietosuoja.

  1. Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys.
  2. Käsittelyssä toteutuu käyttötarkoitussidonnaisuus
  3. Kerää ja käsittelee ainoastaan tarpeellisia tietoja.
  4. erätyt tiedot ovat täsmällisiä ja asianmukaisia.
  5. Henkilötiedoille on määritelty asianmukaiset säilytysajat.
  6. Henkilötiedot on suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisin teknisin mekanismein ja organisatorisin kontrollein.

Mitä tietotilinpäätös kertoo henkilötietojen käsittelystä (accountability)?
Tietotilinpäätös tarjoaa vastauksen mm. seuraaviin kysymyksiin:

  1. Mihin rekisterinpitäjän henkilötietojen käsittely perustuu?
  2. Mitä henkilötietoja rekisterinpitäjä käsittelee?
  3. Miten rekisteröityjen oikeudet on toteutettu?
  4. Miten rekisterinpitäjän rekisterisovellukset on toteutettu?
  5. Miten rekisterinpitäjä on organisoinut henkilötietojen käsittelyn?
  6. Mitä käsittelytapoja ja käytänteitä henkilötietojen käsittelyssä noudatetaan?
  7. Miten henkilötiedot on suojattu?
  8. Miten henkilötietojen käsittelyn turvallisuutta ylläpidetään ja kehitetään?
  9. Miten käyttötarkoituksenmukaisuutta valvotaan?
  10. Miten mahdollisiin väärinkäytöksiin on puututtu?

TIETOSUOJAVASTAAVA
Milloin tietosuojavastaava on nimettävä?
Rekisterinpitäjän on nimettävä tietosuojavastaava aina, kun

  1. tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin tuomioistuin).
  1. ydintehtävät muodostuvat käsittelytoimista, jotka ovat luonteelta sellaisia, että ne edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa
  1. ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.

Viite: 37 artikla

Kuinka monta tietosuojavastaavaa voidaan nimetä?
  1. Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
  1. Yksi ainoa tietosuojavastaava voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

Viite: 37 artikla

Mitä asioita tietosuojavastaavaa nimettäessä on huomioitava?
  1. Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa luetellut tehtävät.
  2. Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen.
  3. Tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella
  4. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

Viite: 37 artikla

Mikä on tietosuojavastaavan asema?
  1. Tietosuojavastaava on otettava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.
  2. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava tietosuojavastaavalle tarpeellinen tuki ja resurssit tämän suorittaessa 39 artiklassa tarkoitettuja tehtäviä.
  3. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä.
  4. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään.
  5. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

Viite: 38 artikla

Mitkä ovat tietosuojavastaavan tehtävät?
Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tietosuojavastaavalla on ainakin seuraavat tehtävät:

  1. Antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia.
  2. Seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset.
  3. Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti.
  4. Tehdä yhteistyötä valvontaviranomaisen kanssa.
  5. Toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

Viite: 39 artikla

REKISTERÖIDYN OIKEUDET
Voiko henkilö vaatia tietojensa oikaisua?
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Viite: 16 artikla

Voiko henkilö peruttaa suostumuksensa henkilötietojensa käsittelyyn?
Rekisteröidyllä on oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn ja pyytää rekisterinpitäjää poistamaan kaikki häntä koskevat henkilötiedot, ellei henkilötietojen käsittelylle ole laissa määrättyä perustetta.

Viite: 17 artikla

Voiko henkilö rajoittaa henkilötietojensa käsittelyä?
Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin vaatia rekisterinpitäjää rajoittamaan henkilötietojen käsittelyä.

Viite: 18 artikla

Onko henkilöllä oikeus siirtää omat tietonsa järjestelmästä toiseen?
Rekisteröidyllä on oikeus siirtää häntä koskevat henkilötiedot järjestelmästä toiseen.
Siirto-oikeus ei koske henkilötietoja, jotka ovat tarpeen yleistä etua koskevan tehtävän suorittamisessa tai julkisen vallan käyttämisessä.

Viite: 20 artikla

Onko henkilöllä oikeus vastustaa henkilötietojen käsittelyä?
Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin vastustaa henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella rekisteröityä koskevien henkilötietojen käsittelyä.

Tällöin henkilötietoja saa käsitellä vain, jos rekisterinpitäjä osoittaa, että käsittelyyn on olemassa perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet.

Rekisteröidyn vastustaessa henkilötietojen käsittelyä suoramarkkinointia varten, ei henkilötietojen käsittelyä saa jatkaa tähän tarkoitukseen.

Viite: 21 artikla

Posti Oy:lle seuraamusmaksu
Asiakkaat olivat saaneet Posti Oy:lle tekemänsä muuttoilmoituksen jälkeen yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Posti Oy ei informoinut rekisteröityjä heidän oikeudestaan kieltää tietojen luovutus muuttoilmoituksen yhteydessä, vaikka rekisteröidyillä on oikeus vastustaa henkilötietojen käsittelyä. Seuraamuskollegio määräsi Posti Oy:lle 100 000 euron suuruisen seuraamusmaksun. Lähde: (tietosuoja.fi ajankohtaista 22.5.2020)

Onko henkilöllä oikeus vastustaa automaattista päätöksentekoa?
Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin olla joutumatta pelkästään automaattisen päätöksenteon kohteeksi, kuten esimerkiksi profiloinnin, jos päätöksellä on rekisteröityyn kohdistuvia oikeusvaikutuksia.

Viite: 22 artikla

Milloin henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle?
Rekisteröidyllä on oikeus tietosuoja-asetuksessa mainituin poikkeuksin saada ilmoitus tietoturvaloukkauksesta, jos tapahtuma vaarantaa rekisteröidyn henkilötietojen luottamuksellisuuden ja voi todennäköisesti loukata rekisteröidyn oikeuksia ja vapauksia (esimerkiksi identiteetinvarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan yhteydessä).

Viite: 34 artikla

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön