Oikeusperusteen valinta ja rekisteröidyn oikeudet | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

MAKSUTON GDPR-KURSSI

TIETOSUOJA-ASETUKSEN VELVOITTEET PIENYRITTÄJÄLLE – OSA 5

Kun tietosuojan yhteydessä puhutaan perusteesta, tarkoitetaan sillä käsittelyn oikeusperustetta.

On melko tavanomaista, että tietosuojaselosteessa luetellaan mitä tahansa perusteita, jolla henkilötiedot on kerätty. Aina kyse ei ole edes laillisesta perusteesta, vaan perusteena saattaa olla myös jotain aivan muuta.

Jotta vältyt tältä virheeltä, sinun täytyy valita laillinen peruste, jolla henkilötietoja kerätään. Perusteen valinnassa täytyy huomioida mm. omat velvollisuudet, rekisteröidyn etu, yleiset käytännöt, sekä perusteen sopivuus oman liiketoiminnan kannalta.

Tästä syystä esimerkiksi tietosuojaselosteita kannattaa olla useampi, sillä tavanomaisesti eri henkilötietoryhmien tai rekisteröityjen ryhmien (esim. asiakkaat, työntekijät, s-postilistalla olevat jne.) tietoja kerätään eri perusteilla, ja myös käytetään eri tarkoituksiin. Jos kyseessä on esimerkiksi lakisääteinen velvoite kerätä henkilötiedot, vaikkapa työsuhteessa olevalta, ei oikeusperusteeksi kannata valita suostumusta.

Oikeusperuste kuuluu päättää ennen käsittelyn aloittamista, eikä sitä voi myöhemmin vaihtaa toiseen oikeusperusteeseen.

 

Mitä GDPR-asetuksen määrittelemät oikeusperusteet tarkoittavat?

Mitä tarkoittaa suostumus / rekisteröidyn (vapaaehtoinen) suostumus ?

Rekisteröity voi antaa suostumuksensa sille, että hänen henkilötietojaan käsitellään yhtä tai useampaa tarkoitusta varten. Suostumuksen on oltava vapaaehtoinen. Suostumuspyynnön täytyy olla selkeä ja helposti ymmärrettävä. Myös suullinen suostumus on lainmukainen, mutta sen todistaminen saattaa olla vaikeaa. Siksi suostumus kannattaa aina tallentaa.

Esimerkkejä suostumuksen antamisesta

  • raksi ruutuun internetsivulla
  • kirjallinen suostumuslomake
  • suostumuksen antaminen sähköpostiviestillä

 

Suostumus ja suoramarkkinointi

Sähköisen suoramarkkinoinnin lähettämiseen täytyy olla ennalta saatu suostumus. Suostumus on pystyttävä myös todistaa. Sähköistä suoramarkkinointia ovat sähköpostiviestit, tekstiviestit, puheviestit, ääniviestit ja kuvaviestit. Rekisteröity voi myös sallia automaattisen päätöksenteon (ml. profilointi) nimenomaisella suostumuksellaan

Perinteistä suoramarkkinointia (postitse ja puhelimitse) saa tehdä myös ilman suostumusta. Ks. kohta 6. Rekisterinpitäjän ja kolmannen osapuolen oikeutettu etu.

Linkit:

EU yleinen tietosuoja-asetus , artikla 7 ”Suostumuksen edellytykset”

EU yleinen tietosuoja-asetus, artikla 8 ”Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot” Suomessa lapsen suostumuksen ikäraja on 13 vuotta.

Mitä tarkoittaa sopimus?

Sopimus on kahden osapuolen välinen oikeustoimi, jossa osapuolet sopivat keskenään jostakin asiasta. Sopimus voi olla kirjallinen tai suullinen. Kirjallinen sopimus on kuitenkin helpompi todistaa. Jos henkilötietojen kerääminen perustuu sopimukseen, henkilötietoja saa käsitellä vain sopimuksen täytäntöön panemiseksi.

Sopimuksia syntyy päivittäin normaalissa arjessa esimerkiksi silloin, kun kuluttaja ostaa tavaraa kaupasta, käy kampaajalla, vuokraa asunnon, tai hankkii puhelinliittymän. Sopimuksia voivat olla myös mm. asunto- tai autokauppa, tai palvelujen ostaminen lakiasiantoimistolta.

Mitä tarkoittaa lakisääteinen velvoite?

Rekisterinpitäjällä voi olla lain perusteella velvoite kerätä ja säilyttää henkilötietoja, esim. työsopimuslain tai terveydenhuoltolain velvoittamana.

Esimerkkejä milloin henkilötietoja voidaan kerätä lakisääteisen velvoitteen perusteella

  • Työnantajan on ilmoitettava työntekijänsä palkkatiedot veroviranomaisille.
  • Sosiaalipalveluntuottajan velvoite kerätä asiakkaan henkilötiedot, viranomaisten veroedun valvontaa varten.
  • Rahoituslaitosten on raportoitava epäilyttävistä liiketoimista viranomaisille.
  • Yksityisten sosiaali- ja terveysalan velvoite ylläpitää lakisääteisiä potilas- ja asiakasrekistereitä.

Mitä tarkoittaa elintärkeiden etujen suojaaminen?

Elintärkeiden etujen suojaaminen sopii käsittelyperusteeksi esimerkiksi tilanteisiin, joissa on kysymys elämästä ja kuolemasta tai uhkista, jotka voisivat johtaa rekisteröidyn, tai jonkun toisen loukkaantumiseen tai olla muutoin terveydelle vahingollisia. Henkilötietojen käsittely voi palvella elintärkeää etua esimerkiksi luonnonkatastrofeissa tai epidemioissa.

Yleistä etua koskeva tehtävä tai julkinen valta on täytynyt antaa lailla, tai muilla oikeudellisilla säännöksillä.

Yleinen etu voi olla perusteena esimerkiksi

  • historiallisessa tutkimuksessa
  • lääketieteellisessä tilastoinnissa
  • museotoiminnassa
  • kaupallisessa tutkimuksessa
  • teknologian kehittämisessä
  • palkkatilastoinnissa
  • kulttuuriperintöaineiston säilyttämisessä

Mitä tarkoittaa oikeutettu etu?

Oikeutettu etu , eli rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu on tietosuojalaissa ympäripyöreä käsite. Oikeutetulla edulla viitataan yleensä ihmisen perusoikeuksiin.

Perusoikeuksiin liittyviä lakeja ovat
  • kansalliset perusoikeudet
  • kansainväliset ihmisoikeudet
  • Euroopan unionin perusoikeudet

Lue lisää: oikeusasiamies.fi/web/selkosuomi/mita-ovat-perus-ja-ihmisoikeudet

Yritystoiminnassa oikeutettuun etuun vedotaan yleensä silloin, kun perusteena käytetään perustuslain oikeutta harjoittaa elinkeinoa ja käydä kauppaa. Pääperiaatteena voidaan kuitenkin pitää sitä, että henkilötietojen käyttötarkoituksen täytyy olla lainmukainen ja asianmukainen.

 

Lainmukaisuudella ja asianmukaisuudella tarkoitetaan mm. sitä, että:

  • Rekisteröidyn täytyy kohtuudella osata odottaa tietojen keräämisen yhteydessä, että, henkilötietoja voidaan käsitellä kyseistä tarkoitusta varten.
  • Henkilötietoja ei käsitellä tavalla, joka on ennalta-arvaamatonta ja odottamatonta rekisteröidyn kannalta.
  • Rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu oikeutetun edun edelle.
  • Käsittelyssä on huomioitu käyttäytymissäännöt, sopimusehdot ja eettiset säännöt.
  • Rekisterinpitäjän ja rekisteröidyn välinen merkityksellinen ja asianmukainen suhde, esimerkiksi asiakassuhde, voi tehdä henkilötietojen käsittelyä edellyttävästä edusta oikeutetun.

Myös evästeiden kautta kerätty data, eli tieto jonka avulla rekisterinpitäjä voi arvioida ja profiloida sivuilla kävijöitä, kuuluu oikeutetun edun piiriin. Tästä sivuston vierailija voi kuitenkin halutessaan kieltäytyä.

Lue tästä tietosuojavaltuutettu Anu Taluksen kommentit evästeasiaan.

Pro gradu tutkielma – Rekisterinpitäjän oikeutettu etu henkilötietojen käsittelyn oikeusperusteena

 

Milloin oikeutettu etu sopii käsittelyperusteeksi – esimerkkejä

Oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on jokin ”merkityksellinen suhde”, eli kun:

  • Rekisteröity on rekisterinpitäjän asiakas.
  • Rekisteröity on rekisterinpitäjän alainen.

 

Oikeutettu etu voi olla kyseessä myös, jos

  • kyseessä on tieteellinen ja historiallinen tutkimus sekä tilastointi
  • henkilötietoja siirretään hallinnollisista syistä konsernin sisällä
  • kyse on petoksen estämisestä
  • kyse on tietoturvan varmistamisesta.

 

Suoramarkkinointi kuluttajille

Suomessa saa tehdä oikeutetun edun perusteella perinteistä suoramarkkinointia postitse ja puhelimitse. Kuluttajalta ei siis tarvitse pyytää ennakkoon suostumusta perinteiseen suoramarkkinointiin. Kuluttajalla on kuitenkin oikeus kieltää suoramarkkinointi, ja hänelle on selkeästi kerrottava tästä mahdollisuudesta.

EU yleinen tietosuoja-asetus: ”Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa käsittelyä, mukaan lukien profilointia niiltä osin kuin se liittyy suoramarkkinointiin, olipa kyse sitten alkuperäisestä tai myöhemmästä käsittelystä. Tämä oikeus olisi nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.”

Sähköisen suoramarkkinoinnin lähettämiseen puolestaan täytyy olla ennalta saatu suostumus. Ks. kohta 1. Suostumus.

Tietosuoja.fi – Usein kysyttyä suoramarkkinoinnista

Suoramarkkinointi yrityksille

Suoramarkkinointia saa tehdä sekä sähköisesti ja postitse yrityksille ja yritysten yhteyshenkilöille, ilman erillistä markkinointilupaa.

  • Markkinoinnin täytyy liittyä jollain tavalla yrityksen toimintaan/toimialaan.
  • Sähköpostin tulee olla oikea yrityssähköposti. Ts. esim. malli.yritys@gmail.com – osoitteeseen ei saa luvatta lähettää sähköpostia –> tulkitaan henkilökohtaiseksi s-postiksi.

Lue blogikirjoitus: Suoramarkkinointi yrityksille? – B2B suoramarkkinoinnin lainalaisuudet, os. moitaas.fi

Tasapainotesti – Oikeutetun edun arvioiti

Tietojen keräämisen arvioimiseen käytetään ns. tasapainotestiä. Tasapainotestillä arvioidaan rekisteröidyn etuja ja oikeuksia, suhteessa rekisterinpitäjän etuihin ja oikeuksiin. Yksityishenkilön edut ja oikeudet ovat etusijalla rekisterinpitäjään nähden. Henkilötietoja siis ei saa käsitellä, jos rekisteröidyn edut tai oikeudet syrjäyttävät rekisterinpitäjän tai kolmannen osapuolen edun.

Mitä merkittävämpi ja pakottavampi rekisterinpitäjän oikeutettu etu on, sitä merkittävämpi puuttuminen rekisteröidyn yksityisyyteen, sekä muihin etuihin ja oikeuksiin voidaan sallia. Tasapainotesti täytyy tehdä kirjallisesti, ja se kannattaa säilyttää mahdollista viranomaisten tarkastusta varten.

Ohjeet tasapainotestin tekemiseen löydä täältä: https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu

Katso myös Tietosuojatyöryhmän lausunto: Lausunto rekisterinpitäjän oikeutetun intressin käsitteestä 

Se millä oikeusperusteella henkilötietoja kerätään, vaikuttaa siihen mitä oikeuksia rekisteröidyllä on omia tietojaan koskien.

Lisäksi rekisteröity voi milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä.

Lue lisää: https://www.privacy-regulation.eu/fi/21.htm

 

Mitä rekisteröidyn eri oikeudet tarkoittavat, ja miten tulee toimia, jos rekisteröity haluaa käyttää oikeuksiaan.

Rekisteröidyllä on oikeus saada tietää

  • käsitteleekö rekisterinpitäjä hänen tietojaan
  • mitä tietoja hänestä on kerätty.

Miten toimitaan, jos rekisteröity esittää pyynnön saada tutustua tietoihinsa?

  • varmistetaan rekisteröidyn henkilöllisyys
  • varmistetaan, että tietojen toimittaminen on turvallista, perusteltua ja kohtuullista
  • toimitetaan jäljennös käsiteltävistä henkilötiedoista, eli käytännössä tehdään kirje/s-posti, joka sisältää kaikki rekisteröidyn henkilötiedot, jotka on tallennettu yrityksen järjestelmiin

Tietojen toimitustapa

  • Jos pyyntö lähetetään sähköisesti, esim. s-postina, Tietosuojaviranomaisen ohje: ”tiedot on toimitetaan yleisesti käytetyssä sähköisessä muodossa (paitsi jos rekisteröity toisin pyytää).”
  • Jos pyyntö lähetään kirjeitse, toimitetaan tiedot kirjepostina.

https://tietosuoja.fi/oikeus-saada-tutustua-tietoihin

Rekisteröidyllä on oikeus saada tietää

  • miten tietoja käsitellään
  • miten ne on suojattu.

Miten toimitaan, jos rekisteröity esittää pyynnön saada informaatiota henkilötietojen käsittelystä?

  • varmistetaan rekisteröidyn henkilöllisyys (paitsi että tämä ei ole välttämätöntä, jos hänelle lähetetään vain tietyn henkilötietoryhmän tietosuojaseloste)
  • toimitetaan kuvaus (tietosuojaseloste), jossa kaikki rekisteröityä koskevat käsittelytoimet on kuvattu.

Tietojen toimitustapa

  • Jos pyyntö lähetetään sähköisesti, esim. s-postina, Tietosuojaviranomaisen ohje: ”tiedot on toimitetaan yleisesti käytetyssä sähköisessä muodossa (paitsi jos rekisteröity toisin pyytää).”
  • Jos pyyntö lähetään kirjeitse, toimitetaan tiedot kirjepostina.

Rekisteröidyllä on oikeus

  • vaatia epätarkkojen ja virheellisten henkilötietojen korjaamista
  • oikeus täydentää omia tietojaan.

Huom. älä kuitenkaan tallenna käsittelyn tarkoituksen kannalta tarpeettomia tietoja, vaikka rekisteröity tietojaan tarjoaisikin (minimointivelvoite).

Jos rekisteröity haluaa täydentää tietojaan

  • varmistetaan rekisteröidyn henkilöllisyys
  • pyydetään toimittamaan lisätietoja / oikeat tiedot kirjallisesti (eli esim. s-postina tai kirjeenä)
  • ilmoitetaan rekisteröidylle, kun tiedot on täydennetty /korjattu, eli ilmoitetaan rekisteröidylle uudet päivitetyt tiedot.

https://tietosuoja.fi/oikeus-saada-tietoa-kasittelysta

Rekisteröity voi pyytää rekisterinpitäjää rajoittamaan häntä koskevien henkilötietojen käsittelyä.

Käsittelyn rajoittaminen tarkoittaa, että rajoituksen alaisia henkilötietoja saa säilyttämisen lisäksi käsitellä vain tietyissä tilanteissa.

Käytännössä tällaisessa tilanteessa käsittely täytyy estää siten, että yrityksen sisällä, eikä henkilötietojen käsittelijän toimesta ole mahdollista ”vahingossa” käsitellä tietoja. Tarvittaessa pääsy niihin estetään tai tiedot siirretään toiseen järjestelmään ”suojaan”.

Rekisterinpitäjä voi myös kieltäytyä pyynnöstä, jos pyyntö on ”perusteeton tai kohtuuton”.

Käytännössä tällaisia pyyntöjä tuskin tulee, ja jos tulee, niin kannattaa ottaa yhteyttä Tietosuojavaltuutetun toimistoon, ja kysyä ohjeita.

Lue lisää: https://tietosuoja.fi/oikeus-rajoittaa-kasittelya

 

Rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä poistamaan itseään koskevat tiedot ilman aiheetonta viivytystä, eli viimeistään kuukauden kuluessa pyynnön vastaanottamisesta.

Usein tietojen poistaminen ei ole mahdollista, esimerkiksi jos rekisterinpitäjällä on velvollisuus säilyttää tiedot, esim. asiakkaan laskussa näkyvät tiedot 6v. tilikauden päättymisen jälkeen (kirjanpitolaki). Tällaisessa tapauksessa asiakkaan tiedot voidaan kuitenkin poistaa muista järjestelmistä, esimerkiksi sähköpostilistalta.

Jos kyseessä puolestaan on esim. markkinointirekisteri, eikä tietojen säilyttämiselle ole mitään lainmukaista perustetta tai velvoitetta, täytyy tiedot tietenkin heti poistaa.

Lue lisää: https://tietosuoja.fi/oikeus-poistaa-tiedot

Ks. Oikeus poistaa tiedot (oikeus tulla unohdetuksi)

EU yleinen tietosuoja-asetus:

”Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16artikla 17 1 kohdan ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.”

Ja sama suomeksi:

Jos rekisteröidyn tietoja oikaistaan, poistetaan tai käsittelyä rajoitetaan, täytyy rekisteröidyn päivitetyt tiedot ilmoittaa myös muille tahoille, jotka käsittelee rekisteröidyn henkilötietoja. Eli esim. kaikille henkilötietojen käsittelijöille (esim. tilitoimisto, mainostoimisto) ja yhteisrekisterinpitäjille, sekä muille tahoille, joille henkilötietoja on luovutettu.

Ja jos rekisteröity erikseen pyytää (tuskin pyytää), täytyy hänelle ilmoittaa, että kenen järjestelmiin ne tiedot nyt on päivitetty.

Tämä koskee vain oikeusperusteita: ”lakisääteinen velvoite” ja ”yleistä etua koskeva tehtävä tai julkinen valta”

EU yleinen tietosuoja-asetus:

”Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 kohdan ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.”

Ja sama suomeksi:

Jos rekisteröidyn tietoja oikaistaan tai käsittelyä rajoitetaan, täytyy rekisteröidyn päivitetyt tiedot ilmoittaa myös muille tahoille, jotka käsittelee rekisteröidyn henkilötietoja. Eli esim. kaikille henkilötietojen käsittelijöille (esim. tilitoimisto, mainostoimisto) ja yhteisrekisterinpitäjille, sekä muille tahoille, joille henkilötietoja on luovutettu.

Ja jos rekisteröity erikseen pyytää (tuskin pyytää), täytyy hänelle ilmoittaa, että kenen järjestelmiin ne tiedot nyt on päivitetty.

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

  • käsittely perustuu suostumukseen (ja suostumus on lainmukainen)
  • käsittely perustuu sopimukseen (ja sopimus on lainmukainen)
  • ja käsittely suoritetaan automaattisesti ja jos se on teknisesti mahdollista.
    • –> Eipä tule edes esimerkkiä mieleen, milloin tämä olisi mahdollista tai edes tarpeen.

 

EU:n tietosuoja-asetus:

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

Edellä olevaa ei sovelleta, jos päätös
a) on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;
b) on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai
c) perustuu rekisteröidyn nimenomaiseen suostumukseen.
3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.
4. Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua artikla 9 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan artikla 9 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

Ja sama suomeksi:

Rekisteröityä koskevia päätöksiä ei saa pääsääntöisesti tehdä pelkästään koneellisesti, vaan päätökseen täytyy osallistua oikea ihminen.

Automaattinen päätöksenteko, eli esim. profilointi on kuitenkin sallittua jos

  • automaattinen päätöksenteko on välttämätöntä, jotta sopimus voidaan tehdä
  • rekisteröity on antanut siihen (kirjallisen) suostumuksen (koskee myös erityisiä henkilötietoryhmiä)
  • se on Suomen lain mukaan hyväksytty
  • kyseessä on lainmukainen ja oikeasuhtainen yleistä etua koskeva syy.

 

https://www.privacy-regulation.eu/fi/21.htm

Oikeusperusteeseen liittyvät dokumentit ja toimenpiteet osoitusvelvollisuuden toteuttamiseksi

Sisäiset ja ulkoiset ohjeet käytännössä

  • Rekisterinpitäjällä täytyy olla kirjallinen kuvaus prosessista, eli siitä miten toimitaan, jos rekisteröity haluaa käyttää oikeuksiaan.
  • Rekisterinpitäjällä täytyy olla ohjeistus henkilöstölle miten toimitaan, jos rekisteröity esittää pyynnön käyttää oikeuksiaan.
  • Rekisterinpitäjällä täytyy olla ohjeet rekisteröidylle (tietosuojaselosteessa), miten rekisteröity voi käyttää oikeuksiaan.

Käsittelyn eri oikeusperusteita koskevat arviot

  • Tasapainotesti: Jos tietoja kerätään oikeutetun edun perusteella, täytyy käsittelystä laatia tasapainotesti. Tasapainotestillä arvioidaan rekisteröidyn etuja ja oikeuksia, suhteessa rekisterinpitäjän etuihin ja oikeuksiin, sekä sitä onko oikeutettu etu sopivin käsittelyperuste. Aiheesta lisää kohdassa 6. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
  • Vaikutustenarvointi: Jos käsittely aiheuttaa todennäköisesti korkean riskin rekisteröidyn oikeuksille ja vapauksille. Vaikutustenarviointi on kirjallinen henkilötietojen käsittelystä. Lue lisää: https://gdprhelposti.com/vaikutustenarviointi-on-kirjallinen-riskiarvio-kenella-se-taytyy-olla-ja-mita-sen-kuuluu-sisaltaa/
  • Suostumuksenhallinta: Jos tietoja kerätään suostumuksen perusteella, täytyy rekisterinpitäjän voida tarvittaessa todistaa, että lainmukainen suostumus on olemassa. Tästä syystä suostumuksesta täytyisi jäädä aina todiste. Aiheesta lisää kohdassa 1. Rekisteröidyn (vapaaehtoinen) suostumus.

Asiakirja, jonka avulla rekisteröityä informoidaan hänen oikeuksistaan

Rekisteröityä täytyy informoida henkilötietojen käsittelystä, eli käytännössä antaa luettavaksi tietosuojaseloste, jossa on kuvattu myös rekisteröidyn oikeudet. Rekisteröidyillä ei ole kaikkia oikeuksia kaikissa tilanteissa.

Lue lisää: tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa

Henkilötiedon tunnistettavuuden poistaminen siten, ettei  yhdistäminen rekisteröityyn ole enää mahdollista.

Lue lisää ja katso myös linkit sivun alaosasta: Minimointivelvoite ja EU:n tietosuoja-asetus | Henkilötietoja saa kerätä ja käsitellä vain silloin, kun se on välttämätöntä.

Ks. kohta erityinen henkilötietoryhmä

Rekisteröidyn henkilötietojen tulee olla luotettavia, oikeita ja ajantasaisia. Tietoja saa ja kuuluu päivittää/muuttaa vain silloin, kun ne oikeasti muuttuvat tai tarkentuvat. Henkilötietoja ei saa kuitenkaan kerätä enempää, kuin on ennalta sovittu.

Elintärkeiden etujen suojaaminen on yksi lainmukainen käsittelyperuste. Se sopii käsittelyperusteeksi silloin, kun kyse on esimerkiksi elämän tai terveyden suojaamisesta.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Epäsuorat tiedot eivät yksinään riitä henkilön tunnistamiseen, mutta niitä yhdistelemällä henkilö voidaan tunnistaa. Tällaisia tietoja ovat mm. asuinalue, sukupuoli tai ikä. 

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Arkaluontoisia, eli erityisiä henkilötietoja ovat sellaiset henkilötiedot, joista ilmenee henkilön: rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisten tai biometrinen tietojen käsittely (esim. DNA, sormenjälki, kasvojentunnistus, iiristunnistus), terveyttä koskevia tietoja tai seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja.

Lue lisää: Erityiset henkilötietoryhmät | Arkaluontoisia tietoja on oikeus käsitellä vain poikkeuksellisesta syystä.

Evästeet ovat koodinpätkiä, joilla kerätään tietoa verkkosivujen kävijöistä. Evästeet jakautuvat välttämättömiin ja ei välttämättömiin evästeisiin. Toimintaevästeiden tarkoituksena on parantaa sivujen käytettävyyttä.

Analyysievästeiden tarkoituksena puolestaan on tarkoitus kerätä tietoa sivuilla vierailleen käyttäytymisestä. Tietoa voidaan käyttää esim. tilastointiin, analysointiin, profilointiin, sekä sivuston eri toimintojen parantamiseen

Linkit: Tietosuojavaltuutettu Anu Taluksen kommentit evästeasiaan. ja Traficomin 5/20 päivitetty evästeohjeistus.

Henkilötietoja, joista ilmenee henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia. Geneettiset tiedot sisältävät tietoa henkilön fysiologiasta tai terveydentilasta. Tietoa voidaan saada myös biologisesta näytteestä analysoimalla.

Kaikki luonnollista henkilöä, henkilön ominaisuuksia tai elinolosuhteita kuvaavat merkinnät, joista henkilö tai hänen perheenjäsenensä voidaan tunnistaa. Yksittäisiä tietoja, joiden avulla henkilön voi helposti tunnistaa ovat mm. nimi, henkilötunnus ja valokuva.

Myös epäsuorat tiedot ovat henkilötietoja, vaikka tiedot eivät yksinään riitä henkilön tunnistamiseen. Epäsuoria tietoja yhdistelemällä henkilö voidaan tunnistaa. Tällaisia tietoja ovat mm. asuinalue, sukupuoli tai ikä.

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Palveluntarjoaja (yritys/yksityinen elinkeinonharjoittaja / viranomainen / yhdistys), joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja rekisterinpitäjän lukuun, ja toimii rekisterinpitäjän ohjeiden mukaan. Esim. kirjanpidon tai palkanmaksun hoitava ulkopuolinen yritys, markkinointitoimisto, IT-konsultti. Myös palveluita hallinnoivat yritykset, kuten esimerkiksi laskutuspalveluita tarjoava ohjelmistoyritys voi olla henkilötietojen käsittelijä, vaikka se ei varsinaisesti käsittelisikään tietoja. Henkilötietojen käsittelyksi lasketaan myös se, että yrityksen henkilöstöllä on tarvittaessa pääsy järjestelmään ja sen sisältämiin henkilötietoihin esimerkiksi silloin, kun palvelun toimivuudessa on ongelmia.

Katso myös kohta: ”Kolmas osapuoli”.

Henkilötietoihin kohdistuva automaattinen tai manuaalinen toimenpide: henkilötietojen kerääminen, säilyttäminen, käyttäminen, hakeminen, järjestäminen, jäsentäminen, siirtäminen, käytön suunnittelu, muokkaaminen, poistaminen, tuhoaminen ja luovuttaminen. Ts. kaikki henkilötietoihin kohdistuvat toimenpiteet.

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Henkilötietojen käsittelysopimus (ja henkilötietojen käsittelijän ohjeet)

Kun yritys käyttää toiminnassaan ulkopuolisia palveluntarjoajaa, eli esimerkiksi tilitoimistoa tai ohjelmistoa, täytyy palveluntarjoajalle antaa kirjalliset ohjeet, sekä tehdä asianmukainen sopimus henkilötietojen käsittelystä. Rekisterinpitäjän täytyy pystyä osoittaa tietosuojan toteutuminen myös niiltä osin, kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun.

Lue erityisesti siniset laatikot: ”Läpinäkyvyys ja jäljitettävyys” ja ”Mistä on sovittava, kun henkilötietoja käsitellään rekisterinpitäjän lukuun?”

Lue myös: artikla 28 EU yleinen tietosuoja-asetus ”Henkilötietojen käsittelijä”

Yritys tai muu organisaatio, jolle on luovutettu henkilötietoja, ja jolla on oikeus niiden käsittelyyn tai pääsy tietoihin.
tietosuoja.fi – informointivelvoitteen edellyttämät tiedot:  ”Käsite ”vastaanottaja” määritellään asetuksen 4.9 artiklassa siten, että sillä ei tarkoiteta vain kolmansia osapuolia. Näin ollen rekisterinpitäjät, yhteisrekisterinpitäjät ja henkilötietojen käsittelijät, joille henkilötiedot siirretään tai luovutetaan, ovat artiklan nojalla ”vastaanottajia”.

Kyberturvallisuus on turvallisuuden osa-alue. Sillä pyritään sähköisten järjestelmien verkkojen yhteiskunnalliseen turvallisuuteen. Kyberturvallisuuteen liittyy riskien tunnistaminen ja ennaltaehkäisy, sekä varautuminen mahdollisiin ongelmiin (haittaohjelmat, laiteviat, tietomurrot ym.). Kyberturvallisuudella pyritään takaamaan tietoturvallisuus myös mahdollisten kriisien aikana.

Lainmukaisia käsittelyperusteita on kuusi. Perusteita ovat rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu. Perusteella tarkoitetaan siis lainmukaista perustetta, eikä perustetta voi keksiä itse.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Henkilötiedot ovat niihin oikeutettujen henkilöiden käytettävissä etukäteen määritellyssä vasteajassa. Tämä on erityisen tärkeää esim. terveydenhuollossa, jossa potilaan henki voi olla sen varassa, ovatko tiedot käytettävissä juuri silloin, kun niitä tarvitaan.

Erilaiset henkilötiedot ja järjestelmät ovat vain sellaisten henkilöiden käytettävissä, joilla on oikeus niiden käyttöön. Henkilötiedot on suojattu asianmukaisesti, eli riittävän hyvin riskeihin nähden.

Minimointi­velvoite / minimaali­suusvelvoite

Minimointivelvotteeseen liittyy henkilötietojen määrän, käsittelyn, käsittelijöiden määrän ja säilytyksen minimointi.

Lue lisää: Minimointivelvoite ja EU:n tietosuoja-asetus | Henkilötietoja saa kerätä ja käsitellä vain silloin, kun se on välttämätöntä.

Oikeusperuste /peruste / käsittelyperuste

Henkilötietoja saa kerätä vain, mikäli tietojen keräämiselle on lainmukainen peruste. Henkilötietojen keräämisen oikeusperuste on määriteltävä tietosuojaselosteessa, ts. rekisteröityä täytyy informoida siitä, millä oikeusperusteella hänen tietonsa kerätään.

Oikeusperusteita ovat rekisteröidyn (vapaaehtoinen) suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Oikeutettu etu

Oikeutettu etu on tietosuojalaissa ympäripyöreä käsite. Oikeutetulla edulla viitataan yleensä ihmisen perusoikeuksiin. Perusoikeuksiin liittyviä lakeja ovat kansalliset perusoikeudet,
kansainväliset ihmisoikeudet ja Euroopan unionin perusoikeudet. Oikeutettu etu täytyy olla todellinen ja perusteltu. Kun henkilötietoja käsitellään oikeutetun edun perusteella, täytyy käsittelystä tehdä ns. tasapainotesti, jossa arvioidaan onko käsittely lainmukaista, tarpeellista ja oikeasuhtaista.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Osoitusvelvollisuus (dokumentointivelvoite)

Velvollisuus todistaa /toteen näyttää viranomaisille, että on noudattanut tietosuojalakia- ja asetusta. Terminä osoitusvelvollisuus tarkoittaa sitä, että jokin taho on tilivelvollinen jonkin asian suhteen, ja että ulkopuolinen taho voi määrätä velvoitteen noudattamatta jättämisestä sanktion. Rekisterinpitäjällä on velvoite dokumentoida tietosuojatoimet, jotta rekisterinpitäjä voi osoittaa noudattavansa tietosuojasäädöksiä, sekä vakuuttaa että se on aktiivisesti pyrkinyt tunnistamaan kaikki tietosuojaan liittyvät riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita, se voi aiheuttaa maineriskin lisäksi hallinnollisia seuraamuksia.

Rekisterinpitäjän täytyy pystyä erilaisin dokumentein osoittaa, että rekisterinpitäjä on mm.

  • tehnyt tarvittavat ja riittävät turvatoimet henkilötietojen suojaamiseksi (koneet/laitteet ja fyysiset tilat)
  • kouluttanut ja ohjeistanut henkilöstön toimimaan turvallisesti
  • huolehtinut rekisteröidyn informoinnista (esim. tietosuojaselosteella) asianmukaisesti
  • tehnyt asianmukaiset sopimukset yritykseen lukuun toimivien henkilötietojen käsittelijöiden kanssa
  • aktiivisesti pyrkinyt tunnistamaan kaikki tietosuojaan liittyvät riskit ja tehnyt asianmukaiset riskiarviot (esim. vaikutustenarvioinnit, tasapainotestit, siirrot ja luovutukset EU-alueen ulkopuolelle)
  • varautunut tietoturvaloukkauksiin tekemällä asianmukaiset suunnitelmat ja ohjeistukset
  • huomioinut toiminnassaan tietosuoja- ja tietoturvatason säännöllisen seurannan

Lue lisää: Osoitusvelvollisuus | Kaikilla yrityksillä on velvoite tehdä ja dokumentoida tietosuojatoimet.

Profilointi

Henkilötietojen automaattista käsittelyä, jossa kerätyn tiedon avulla arvioidaan / analysoidaan henkilön ominaisuuksia tai piirteitä, jotka liittyvät henkilön työhön, taloudelliseen tilanteeseen, terveydentilaan, mieltymyksiin, kiinnostuksen kohteisiin, käyttäytymiseen, liikkeisiin, sijaintiin tai luotettavuuteen. Profiloinnin tarkoituksena on usein ennakoida tulevaa käyttäytymistä. Profilointia käytetään esim. sosiaalisen median palveluissa ja päätelaitteilla olevissa sovelluksissa. Profilointi on sallittua vain tietyissä tilanteissa.

Lue lisää: https://www.minilex.fi/a/ihmistä-ei-saa-arvioida-koneellisesti

Pseudonymisointi

Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Pseudonymisoidut tiedot täytyy säilyttää erillään rekisteröidyn muista henkilötiedoista.

Lue lisää ja katso myös linkit sivun alaosasta: Minimointivelvoite ja EU:n tietosuoja-asetus | Henkilötietoja saa kerätä ja käsitellä vain silloin, kun se on välttämätöntä.

Rekisterinpitäjä

Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin henkilötietojen käsittelyt tarkoitukset ja keinot. Organisaatio ihmisten muodostama yhteenliittymä, joka toimii tiettyjen tavoitteiden saavuttamiseksi. Organisaatioita ovat mm. yritykset, yhdistykset/seurat, järjestöt, poliittiset puolueet jne.

Lue lisää: GDPR-asetus on henkilötietojen käsittelyä sääntelevä laki, joka koskee kaikkia yrityksiä.

Rekisteröity

Henkilö, jonka henkilötietoja rekisterinpitäjä tai henkilötietojenkäsittelijä käsittelee. Rekisteröityjä ovat kaikki henkilöt, riippumatta siitä missä asemassa henkilö on. Rekisteröityjä voivat olla esimerkiksi asiakkaat, työntekijät, yhteistyökumppanit, viranomaiset, potentiaaliset asiakkaat jne. Rekisteröityä kuuluu aina informoida, eli antaa nähtäväksi tietosuojaseloste ja tarvittaessa pyytää suostumus henkilötietojen käsittelyyn.

Lue lisää: Tietosuojaselosteen malli ja rekisteröidyn informointi

Rekisteröidyn oikeudet

Rekisteröidyllä on pääsääntöisesti oikeus: saada tietoa henkilötietojensa, käsittelystä, saada pääsy tietoihin, oikaista tietoja, poistaa tiedot ja tulla unohdetuksi, rajoittaa tietojen käsittelyä, siirtää tiedot järjestelmästä toiseen, vastustaa tietojen käsittelyä ja olla joutumatta automaattisen päätöksenteon kohteeksi. Joissakin tilanteissa rekisteröity ei voi käyttää kaikkia oikeuksiaan. Rekisterinpitäjällä on velvollisuus kertoa rekisteröidylle näistä oikeuksista. Rekisteröityä informoidaan tavanomaisesti tietosuojaselosteen avulla.

Lue lisää:  tietosuoja.fi/rekisteroidyn-oikeudet,  tietosuoja.fi/rekisteroidyn-oikeuksista-poikkeaminen ja  Tietosuojaselosteen malli ja rekisteröidyn informointi

Seloste käsittelytoimista

Seloste käsittelytoimista on kirjallinen tiivis kuvaus yrityksen tekemästä henkilötietojen käsittelystä viranomaisille ja yrityksen sisäiseen käyttöön.

Seuraamuskolleegio

Tietosuojavaltuutetun ja apulaistietosuojavaltuuttujen (Jari Råhman ja Heljä-Tuulia Pihamaa) muodostama seuraamuskollegio, jonka tehtävänä on seuraamusmaksujen määrääminen. Kollegion puheenjohtajana toimii tietosuojavaltuutettu Anu Talus.

Sopimus

Kahden osapuolen välinen oikeustoimi, jossa osapuolet sopivat keskenään jostakin asiasta. Sopimus voi olla kirjallinen tai suullinen. Kirjallinen sopimus on kuitenkin helpompi todistaa.

Suoraan tunnistettavissa oleva / suorat tunnisteet / välittömät tunnisteet

Yksittäisiä tietoja, joiden avulla henkilön voi helposti tunnistaa ovat mm. nimi, henkilötunnus tai valokuva.

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Suoramarkkinointi

Perinteistä suoramarkkinointia on postitse ja puhelimitse tehtävä markkinointi. Sähköistä suoramarkkinointia ovat sähköpostiviestit, tekstiviestit, puheviestit, ääniviestit ja kuvaviestit. Suomessa perinteistä suoramarkkinointia saa tehdä ilman rekisteröidyn suostumusta.

Katso kohta 1. Rekisteröidyn (vapaaehtoinen) suostumus: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Suostumuksen tallentaminen

Kun henkilötietoja kerätään suostumuksen perusteella (eli käsittelyn oikeusperusteena on suostumus), kannattaa suostumus ottaa kirjallisesti, jotta voit tarvittaessa todistaa asian. Suostumuksen tallentaminen kannattaa huomioida esimerkiksi silloin, kun keräät s-postiosoitteita markkinointitarkoituksiin. Onkin tärkeä valita järjestelmä, joka tallentaa suostumuksen automaattisesti. Jos saat rekisteröidyltä suostumuksen esim. s-postin välityksellä, kannattaa suostumus tallentaa esimerkiksi Tietosuojavastaajan s-postiin tai omavalvontasuunnitelman liitteeksi.

Tasapainotesti

Tasapainotesti on kirjallinen kuvaus / arvionti, jonka avulla voidaan päätellä, sopiiko oikeutettu etu lainmukaiseksi käsittelyperusteeksi.

Katso kohta 6. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Tietosuoja

Tietosuoja on osa yksityisyyden suojaa, joka taataan perustuslaissa kaikille henkilöille. Tietosuojan tarkoituksena on varmistaa, että henkilötietoja käsitellään lainmukaisesti, ettei henkilötietoja kerätä tarpeettomasti, ettei henkilötietoja käsitellä tarpeettomasti, ja että niitä käsitellään vain silloin, kun käsittelyyn on lainmukainen oikeusperuste

Lue lisää: GDPR-asetus on henkilötietojen käsittelyä sääntelevä laki, joka koskee kaikkia yrityksiä.

Tietosuojaseloste

Tietosuojaseloste on asiakirja, joka sisältää kaikki informaatiovelvoitteen edellyttämät tiedot. Kaikilla yrityksillä ja organisaatioilla täytyy olla asiakirja henkilötietojen lainmukaisesta käsittelystä asiakkaalle. Tietosuojaselosteessa kerrotaan rekisteröidylle hänestä kerätyt henkilötiedot tiiviisti, läpinäkyvästi ja ymmärrettävästi. Tietosuoja-asiakirjaan kirjataan tavat, joilla yritys käyttää, kerää, suojaa ja tarvittaessa siirtää henkilötietoja luotettavasti ja turvallisesti.

Tietosuojavastaava

Organisaation sisäinen asiantuntija joka seuraa ja valvoo tietosuoja-asioiden noudattamista, kehittää tietosuojan tasoa, neuvoo ja ohjeistaa johtoa ja työntekijöitä, toimii yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa ja toimii yhteyshenkilönä, kun asioidaan Tietosuojavaltuutetun toimiston tai rekisteröityjen kanssa.

Muuta huomioitavaa:

  • Tietosuojavastaavan yhteystietojen on oltava julkisesti saatavilla esimerkiksi yrityksen verkkosivuilla.
  • Tietosuojavastaavan täytyy olla riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Siksi tietosuojavastaavana ei voi toimia esimerkiksi toimitusjohtaja tai hallituksen edustaja.
  • Tietosuojavastaava on nimitettävä, jos käsitellään laajamittaisesti arkaluontoisia tietoja, henkilötietoja käsitellään säännöllisesti, organisaationne on julkishallinnon toimija. Tietosuojavastaavan voi nimittää myös vapaaehtoisesti.
  • Tietosuojavastaavan yhteystiedot kuuluu ilmoittaa Tietosuojavastaavan toimistoon: tietosuoja.fi/ilmoitus-tietosuojavastaavasta

Lue lisää: tietosuoja.fi/tietosuojavastaavat

Ryhmitelty, saman tyyppisten henkilötietojen ryhmitelty / luetteloitu tietojoukko.
Esim. työntekijät, asiakkaat, markkinointirekisteri, arvontaan osallistuneet, yhteistyökumppanit jne.

Tietotilinpäätös

Raportti yrityksen tai muun organisaation tietojenkäsittelyn nykytilasta. Raportti sisältää perustiedot, organisaation hallussa olevat tietovarannot, tietojen käsittelyssä noudatettavat menettelytavat ja periaatteet, tietojen suojaustavat, tietojen käsittelyn seuranta- ja valvontatoimet, selvityksen rekisteröityjen oikeuksien toteutumisesta, sekä arviointi ja kehittämiskohteet.

Tietoturva

Tietoturva on tietojen suojaamista. Turvallisuuteen kuuluvat henkilötietojen suojaaminen luvattomalta ja lainvastaiselta käsittelyltä, sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tietoturvaa toteutetaan mm. suojaamalla fyysinen ja konkreettinen tietoaineisto, suojaamalla tietojärjestelmien tietoaineisto, säilyttämällä tiedot luottamuksellisina, säilyttämällä tiedot eheinä (muuttumattomine) ja  pitämällä tiedot saatavissa / käytettävissä.

Tietoturvaloukkaus / tietoturvapoikkeama

Tietoturvaloukkaus tarkoittaa henkilötietojen lainvastaista käsittelyä, jonka mahdollisia seurauksia ovat mm. tuhoutuminen, muuttuminen, luvaton pääsy tietoihin ja häviäminen.

Tietoturvasuunnitelma / Tietosuojan- ja tietoturvallisuuden omavalvontasuunnitelma

Yrityksen tai organisaation sisäinen asiakirja, joka sisältää lähes kaikki osoitusvelvollisuuden vaatimat tiedot.

Lue lisää: tietosuoja.fi/osoitusvelvollisuus – Osoita noudattavasi tietosuojasäännöksiä

Valvontaviranomainen / Tietosuojavaltuutettu

Suomessa kansallisena valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto, joka valvoo tietosuojalainsäädännön noudattamista.

Lue lisää: tietosuoja.fi/tietosuojavaltuutetun-toimisto

Vastaanottaja

Henkilö, oikeushenkilö, viranomainen, virasto tai muu toimija, jolle luovutetaan henkilötietoja.

Yksityisyys

Yksityisyys tarkoittaa luonnollisen henkilön oikeutta suojautua ulkopuoliselta puuttumiselta.

Lue lisää: minilex.fi/a/yksityisyyden-suoja-suomessa

⇐ Siirry tästä osaan 4.

Siirry tästä osaan 6. ⇒

Kurssin sisältö

  • Mikä on tietosuoja-asetuksen tarkoitus?
  • Mitä eroa on tietosuojalla ja tietoturvalla?
  • Ketä tietosuoja-asetus koskee?
  • Roolit ja vastuut henkilötietojen käsittelyssä
  • Tietosuojariskit lyhyesti

Siirry tästä osaan 1.

  • Milloin henkilötietojen käsittely on sallittua?
  • Mitä henkilötiedot ovat?
  • Mitä arkaluontoiset henkilötiedot ovat, ja kenellä niitä on oikeus käsitellä?

Siirry tästä osaan 2.

  • Mitä osoitusvelvollisuus ja dokumentointivelvoite tarkoittaa?
  • GDPR-sakot ja sanktiot
  • Mitä tietosuoja-asiakirjoja tarvitset osoitusvelvollisuuden todentamiseen?
  • Miten saat osoitusvelvollisuuden kuntoon?

Siirry tästä osaan 3.

  • Käyttötarkoitussidonnaisuus
  • Miten toteutat minimoinnin velvoitetta, kun keräät henkilötietoja?
  • Pseudonymisointi ja anonymisointi
  • Välttämätön käsittely ja käsittelyn rajoittaminen.
  • Kauanko henkilötietoja saa säilyttää?

Siirry tästä osaan 4.

  • Mitä GDPR-asetuksen määrittelemät oikeusperusteet tarkoittavat?
  • Mitä rekisteröidyn eri oikeudet tarkoittavat, ja miten tulee toimia, jos rekisteröity haluaa käyttää oikeuksiaan.
  • Oikeusperusteeseen liittyvät dokumentit ja toimenpiteet osoitusvelvollisuuden toteuttamiseksi
  • Sisäiset ja ulkoiset ohjeet käytännössä
  • Käsittelyn eri oikeusperusteita koskevat arviot

Olet nyt osassa 5.

  • Mitä informointivelvoite tarkoittaa?
  • Miten rekisteröityä kuuluu informoida ja millainen tietosuojaselosteen kuuluu olla?
  • Yksitasoinen ja monitasoinen tietosuojaseloste
  • Yksitasoisen tietosuojaselosteen suurimmat ongelmat
  • Kuinka tehdään tietosuojaseloste?

Siirry tästä osaan 6.

  • Monitasoiset tietosuojaselosteet ja informointi monitasoisesti
  • Tietosuojatyöryhmän suosittelema monitasoisen tietosuojaselosteen malli
  • Tietosuojaa koskeva hallintapaneeli
  • Push- ja pull-ilmoitukset
  • Henkilötietojen kerääminen liidimagneettien ja yhteydenottolomakkeiden avulla
  • Evästeet ja evästeilmoitukset

Siirry tästä osaan 7.

  • Henkilötietojen siirtäminen ja luovuttaminen
  • Henkilötietojen siirtäminen EU-alueen ulkopuolelle
  • Henkilötietojen käsittelysopimus ja käsittelijän ohjeistaminen

Siirry tästä osaan 8.

  • Mikä on vaikutustenarviointi?
  • Milloin vaikutustenarviointi täytyy tehdä?
  • Mitä hyötyä vaikutustenarvioinnista on?
  • Vaikutustenarvioinnin sisältö

Siirry tästä osaan 9.

  • Seloste käsittelytoimista – asiakirjan tarkoitus
  • Todennäköinen riski rekisteröidyn oikeuksille ja vapauksille aiheutuu kun…
  • Rekisterinpitäjän Seloste käsittelytoimista
  • Henkilötietojen käsittelijän Seloste käsittelytoimista

Siirry tästä osaan 10.

Haluatko antaa palautetta, onko sinulla kysyttävää, tai tarvitko apua asiakirjojen kanssa?

Ota yhteyttä