Sanastoa tietosuojauudistukseen liittyen

Aineellinen soveltamisala

Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automatisoitu, sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin.

Henkilötieto

Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto)

Henkilötietojen käsittely

Kaikki henkilötietoihin kohdistuvat toimet (tiedon elinkaari; suunnittelusta → hävittämiseen)

Profilointi

Mikä tahansa henkilötietojen automaattinen käsittely, jossa henkilötietojen avulla arvioidaan tiettyjä henkilön ominaisuuksia tai analysoidaan tai ennakoidaan näkökohtia, jotka liittyvät kyseiseen henkilöön.

Rekisterinpitäjä

Luonnollinen tai oikeushenkilö, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Suostumus

Mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaus, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla lausumansa tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa.

Henkilötietojen tietoturvaloukkaus

Tietoturvaloukkaus, jonka seurauksena on henkilötietojen lainvastainen käsittely.

Geneettiset tiedot

Kaikenlaiset henkilötiedot, jotka koskevat yksilön perittyjä tai hankittuja geneettisä ominaisuuksia, joista selviää yksilöllistä teitoa kyseisestä henkilöstä ja jotka on saatu erityisesti henkilön biologisesta näytteestä analysoimalla.

Biometriset tiedot

Yksilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saadut henkilötiedot.

Yritystä koskevat sitovat säännöt

Henkilötietojen suojelutoimet, joita yritys sitoutuu noudattamaan siirtäessään tietoja kolmanteen maahan yritysryhmän sisällä ("Binding Corporate Rules").

Käsittelytarkoituksen rajoittaminen

Vastaa käyttötarkoitussidonnaisuuden periaatetta. Tietoja saa käyttää eräin poikkeuksin vain tarkoitukseen, johon ne on hankittu.

Henkilötietojen rajat ylittävä käsittely

Tilanne, jossa henkilötietojen käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin. Liittyy harmonisointiin.

Tietojen minimointi

Vastaa nykyistä tarpeellisuusvaatimusta. Tiedot eivät saa olla liian laajoja niihin tarkoituksiin, joihin ne kerätään.

Täsmällisyys

Vastaa nykyistä virheettömyysvaatimusta.

Säilytyksen rajoittaminen

Vastaa nykyistä tallennusajan määrittelemisen vaatimusta.

Eheys ja luottamuksellisuus

Vastaa tietoturvallisuus -vaatimusta.

Tilivelvollisuus

Rekisterinpitäjän vastaa ja sen on pystyttävä osoittamaan, että asetusta on noudatettu ("Accountability").

Avoin tiedottaminen, viestintä ja säännöt oikeuksien käyttöä varten

Vastaa rekisteröidyn oikeutta tulla informoiduksi henkilötietojensa käsittelystä ja oikeuksistaan.

Oikeus poistaa tiedot ("oikeus tulla unohdetuksi")

Rekisterinpitäjän on poistettava henkilötiedot, jos niitä ei enää tarvita määriteltyyn kyttötarkoitukseensa, rekisteröity peruuttaa suostumuksensa eikä muuta oikeuttamisperustetta ole ym. erityistilanteita.

Oikeus rajoittaa käsittelyä

Oikeus on tähän asti toteutettu tietosuojalautakunnan kieltotoimivallan kautta.

Oikeus siirtää tiedot järjestelmästä toiseen.

Rekisteröidyllä on oikeus saada henkilötietonsa rekisterinpitäjältä jäsennellyssä, yleisesti käyetyssä ja koneellisesti luettavassa muodossa ja oikeus toimittaa tietonsa toiselle rekisterinpitäjälle alkuperäisen rekisterinpitäjän estämättä. Tavoitteena on lisätä kilpailua palvelutarjoajien kesken ("Data Portability").

Oikeus vastustaa henkilötietojen käsittelyä

Edellyttää intressipunnintaa, jonka on aiemmin tehnyt tietosuojalautakunta.

Selvitys ("kirjanpito") käsittelytoimista

Vaatimus kohdistuu lähinnä sellaiseen toimintaan, johon liittyy tavanomaista korkeampi riski henkilötietojn suojalle.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Rekisterinpitäjän tehtävänä on huolehtia tietosuojaperiaatteiden ja sen mukana tietoturvan toteutumisesta ("Privacy by Default")

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle ja rekisteröidyille

Jos tapahtuu henkilötietojen tietoturvaloukkaus (esim. tietovuoto), rekisterinpitäjän on ilmoitettava siitä mahdollisuuksien mukaan 72 tunnissa valvontaviranomaiselle. Samoin ilmoitus pitää tehdä rekisteröidyille ("Data Breach Notification"). Nyt ilmoitusvevoite on vain teleoperaattoreilla, joten velvoitteen ala laajenee huomattavasti.

Tietosuojaa koskeva vaikutustenarviointi

Asetuksessa määritellyissä tilanteissa tehtävä riskiarvio ("Data Protection Impact Assesment, DPIA")

Tietosuojavastaava

Henkilö, joka antaa osaamisensa rekisterinpitäjän ja rekisteröityjen sekä valvontaviranomaisten käyttöön. Asema on itsenäinen. Raportoi suoraan rekisterinpitäjän ylimmälle johdolle.

Käytännesäännöt

Niiden avulla tuetaan asetuksen asianmukaista soveltamista erityisesti ottaen rekisterinpitäjien erityistarpeet ja sektorien erityispiirteet huomioon. Viranomaiset voivat vahvistaa ja hyväksyä käytännesäännöt. Eurooppalaiset käytännesäännöt hyväksytään Euroopan tietosuojaneuvostossa (EDPB) ja komissiossa.

Sertifioinnit, tietosuojasinetti

Niiden tehtävänä on osoittaa, että rekisterinpitäjä on luotettava toimija, joka noudattaa asetusta.

Johtava valvontaviranomainen

Käsite, jota käytetään ylikansallisesti tapahtuvan henkilötietojen käsittelyn valvonnassa. On yleensä rekisterinpitäjän päätoimipaikan kansallinen tietosuojaviranomainen.

Johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten välinen yhteistyö

Käsite liittyy yhdenluukun periaatteeseen ("One stop shop").

Yhdenmukaisuusmekanismi

Mekanismi, jolla pyritään huolehtimaan lähinnä rajatylittävässä henkilötietojen käsittelyssä harmonisoinnin saavuttaminen ("Consistency mechanism").

Euroopan tietosuojaneuvosto (EDPB)

Puheenjohtansa johtama itsenäinen oikeushenkilö, joka käyttää harmonisointiin liittyvissä asioissa ylintä päätösvaltaa. Neuvoston jäseninä ovat kansalliset tietosuojaviranomaiset.

Hallinnolliset sakot

Määrätään asetuksen rikkomistilanteissa. Enimmäismäärät ovat 20 m€ ja/tai 4% yhtiön maailmanlaajuisesta kokonaisliikevaihdosta.

Delegoidut säädökset

EU -oikeuden instrumentti, jonka nojalla komissio voi antaa asetukseen perustuvia tarkempia säädöksiä.

Komiteamenettely

Komissiota avustaa asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.


 
Julkaistu 17.1.2018