Usein kysyttyä EU:n tietosuoja-asetuksesta

GDPR tulee sanoista General Data Protection Regulation (yleinen tietosuoja-asetus). Se on henkilötietojen käsittelyä sääntelevä laki, jota alettiin soveltaa kaikissa EU-maissa keväällä 2018.

Tietosuoja-asetus antaa paremman suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä.

Lue lisää EUR-Lexin verkkosivuilta:
EU:n yleinen tietosuoja-asetus

Lainsäädäntöuudistuksen tavoitteena on ollut

• parantaa henkilötietojen suojaa ja tietosuojaoikeuksia
• vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin
• yhtenäistää tietosuojasääntelyä kaikissa EU-maissa
• edistää digitaalisten sisämarkkinoiden kehittymistä.

Sinulla on oikeus

• tietää mitä henkilötietoja organisaatiolla on sinusta
• tietää miten ja mihin tarkoitukseen henkilötietojasi käsitellään
• pyytää virheellisten, epätarkkojen ja puutteellisten henkilötietojesi korjaamista
• pyytää henkilötietojesi poistamista
• vastustaa henkilötietojesi käsittelyä
• pyytää henkilötietojesi käsittelyn rajoittamista
• siirtää tietosi toiselle organisaatiolle
• olla joutumatta perusteetta automaattisen päätöksenteon kohteeksi.

Lue lisää:
Tunne oikeutesi (yksityishenkilöille)
Rekisteröidyn oikeudet (organisaatioille)

Voit kysyä, onko organisaatiolla henkilötietojasi. Sinulla on oikeus saada vahvistus siitä, että henkilötietojasi ei käsitellä. Jos yrityksellä on henkilötietojasi, sinulla on oikeus

• saada pääsy tietoihin
• saada lisätietoja tietojesi käsittelystä, kuten mihin tarkoitukseen niitä käytetään.

Organisaation on toimitettava tiedot yleisesti käytetyssä sähköisessä muodossa, jollet pyydä toisin. Organisaation ei kuitenkaan tarvitse antaa jäljennöstä tiedoistasi, jos se vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

Lue lisää:
Onko sinulle kerrottu tietojesi käsittelystä?
Kun haluat tarkastaa tietosi

Voit pyytää organisaatiota korjaamaan henkilötietojasi, jos huomaat niiden olevan virheellisiä, puutteellisia tai epätarkkoja. Tietyissä tilanteissa sinulla on oikeus täydentää puutteellisia henkilötietoja. Organisaation on vastattava pyyntöön kuukauden kuluessa.

Lue lisää:
Kun haluat oikaista tietojasi

Voit pyytää henkilötietojesi poistamista organisaatiolta esimerkiksi silloin, kun tietoja ei enää tarvita tai tietojasi on käytetty laittomasti. Organisaation on poistettava tietosi, jos sillä ei ole laillista perustetta käsitellä niitä.

Lue lisää:
Kun haluat poistaa tietojasi

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.

Henkilötietoja ovat esimerkiksi

• nimi
• kotiosoite
• sähköpostiosoite, kuten [email protected]
• puhelinnumero
• henkilökortin numero
• auton rekisterinumero
• paikannustiedot
• IP-osoite
• potilastiedot
• isovanhempien perinnöllisiä sairauksia koskevat tiedot.

Lue lisää:
Mikä on henkilötieto?

Saat käsitellä henkilötietoja, jos sille on laissa määritelty peruste.

Peruste voi olla

• rekisteröidyn suostumus
• sopimus
• rekisterinpitäjän lakisääteinen velvoite
• elintärkeiden etujen suojaaminen
• yleinen etu ja julkinen valta
• rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
• Henkilötietojen käsittelyssä on noudatettava aina lakia ja tietosuojaperiaatteita. Arkaluonteisia tietoja saa käsitellä vain poikkeustapauksissa.

Lue lisää:
Milloin henkilötietoja saa käsitellä?

Tietosuojavastaava on nimitettävä, jos

• käsittelette laajamittaisesti arkaluonteisia tietoja
• seuraatte ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
• organisaationne on julkishallinnon toimija (pois lukien tuomioistuimet).

Tietosuojavastaava on organisaation sisäinen asiantuntija tietosuoja-asioissa sekä rekisteröityjen ja tietosuojaviranomaisen yhteyshenkilö.

Lue lisää:
Tietosuojavastaavat

Jos organisaatiossanne on yli 250 työntekijää, teidän on laadittava seloste käsittelytoimista.

Jos organisaatiossanne on alle 250 työntekijää, seloste käsittelytoimista on laadittava, kun

• henkilötietojen käsittely organisaatiossa ei ole satunnaista
• organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille tai
• organisaatiossa käsitellään arkaluonteisia tietoja.

Lue lisää:
Seloste käsittelytoimista

Ilmoita avoimesti ja selkeästi vähintään

• organisaatiosi nimi, yhteystiedot ja mahdollisen tietosuojavastaavan yhteystiedot
• mitä tietoja organisaatiosi aikoo käsitellä
• mihin tarkoitukseen organisaatiosi käsittelee henkilötietoja
• henkilötietojen käsittelyn oikeusperuste
• kuinka kauan tietoja säilytetään
• mikä toinen organisaatio tai henkilö voi saada tiedot
• siirretäänkö henkilötietoja EU:n ulkopuolelle
• henkilön tietosuojaoikeudet
• oikeus tehdä valitus tietosuojaviranomaiselle
• oikeus milloin tahansa peruuttaa suostumus, jos käsittely perustuu suostumukseen
• tiedot automaattisesta päätöksenteosta ja käsittelyyn liittyvästä logiikasta.

Lue lisää:
Informointikäytännöt

Tietosuojaperiaatteiden mukaan henkilötietoja on

• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Tietosuojaperiaatteita on noudatettava henkilötietojen käsittelyn kaikissa vaiheissa. Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuojaperiaatteita.

Lue lisää:
Tietosuojaperiaatteet