Tietosuojan peruskäsitteitä
Mitä tarkoittaa rekisteröity tai henkilötietojen käsittelijä? Tutustu tietosuojan peruskäsitteisiin ja ota talteen muistilista.Lyhyesti tietosuojasta
EU:n tietosuoja-asetus astui voimaan 05/2016. Lain keskeinen tehtävä on suojella EU-kansalaisten henkilötietoja ja oikeuksia. Laki koskee kaikkia organisaatioita, jotka käsittelevät EU-kansalaisten henkilötietoja, mikä tekee laista käytännössä maailmanlaajuisen.
Tietosuojan peruskäsitteitä
Rekisteröity
Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö
Suostumus
Mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojen käsittelyn
Henkilötieto
Kaikkea tunnistettua ja tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa
Henkilötietojen tietoturvaloukkaus
Tietoturvaloukkaus, jonka seurauksena on henkilötietojen lainvastainen käsittely.
Loukkauksesta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai saanti.
Rekisterinpitäjä
Esimerkiksi yritys, julkinen viranomainen tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot
Käsittely
Toiminto tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, kuten tietojen kerääminen, säilyttäminen, muokkaaminen, poistaminen jne.
Henkilötietojen käsittelijä
Taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun
Rekisteri
Samaan henkilörekisteriin kuuluvat erikseen pidetyt tietokannat, manuaaliset luettelot ja kortistot, jos niitä käytetään saman tehtävän hoitamiseen
Tietotilinpäätös
Raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta
Tietotilinpäätös kuvaa myös tietosuoja-asetuksen asianmukaisen tietojenkäsittelytavan noudattamista
Tietosuojavastaava
Tarkista tarvitsetko tietosuojasta vastaavan henkilön. Se ei ole aina pakollista. Tarve riippuu siitä, minkä tyyppisiä tietoja keräät ja kuinka paljon, onko tietojen käsittely pääasiallista liiketoimintaasi ja teetkö sitä suuressa mittakaavassa.
Käsittelet henkilötietoja kohdistaaksesi mainontaa hakukoneiden avulla ihmisten verkkokäyttäytymisen perusteella.
Käsittelet perinnöllisyyttä ja terveyttä koskevia henkilötietoja sairaalaa varten
Lähetät asiakkaillesi mainoksen kerran vuodessa mainostaaksesi paikallista elintarvikealan yritystäsi.
Olet kampaaja ja keräät asiakkaiden yhteystietoja.
Tietosuoja-asetuksen mukaiset vastuut
Asetus velvoittaa rekisterinpitäjiä ja yrityksiä tarkistamaan tietosuojakäytäntöjensä lainmukaisuuden.
- Asiakastiedot, kumppanitiedot, henkilöstötiedot
Yritysten tulee myös varmistaa tietoturvansa riittävyys ja varautua ongelmatilanteisiin.
- Osaaminen, vastuut, kontrollit
Uudella sääntelyllä ohjataan yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon toimintansa suunnittelussa.
- Suunnitteluvelvollisuuden (Privacy by Design) ja sisäänrakennetun ja oletusarvoisen tietosuojan (Privacy by Default) toteutumisen varmistaminen
Muistilista
Varmista henkilötietojen käsittelyn asianmukaiset perusteet.
Kerää ja käsittele vain tarvittavat tiedot, ei ylimääräistä varmuuden vuoksi.
Hallitse henkilötietojen elinkaari, tiedot säilytetään vain käyttötarkoituksen ajan.
Huolehdi rekisteröityjen oikeuksista.
Vältä arkaluontoisia henkilötietoja.
Kerro evästeiden käytöstä.
Huolehdi tietoturvasta.
Kerro heti, jos jotain sattuu.
Tarvitsetko apua?
Kehittämämme myGDPR-palvelu on käyttäjää ohjaava työkalu, jolla yritykset, organisaatiot sekä sosiaali- ja terveystoimijat voivat huolehtia läpinäkyvästi ja vastuullisesti henkilötietojen tietosuojasta EU:n tietosuoja-asetuksen mukaisesti.
Meiltä saat myös asiantuntija-apua pieniinkin tarpeisiin!
Kaarina Limingoja
CIPP/E, CIPM
Petteri Salokangas