Usein kysyttyjä kysymyksiä

GDPR-perusteet

A

Mitä ovat henkilötiedot?

Kaikki henkilöön liittyvät tiedot (Data Subject GDPR -kielellä), joita voidaan käyttää suoraan tai epäsuorasti henkilön tunnistamiseksi, ovat henkilötietoja. Se voi olla mikä tahansa henkilöön liitettävä tieto: nimi, puhelinnumero, sähköpostiosoite, valokuva tai video, osoite tai sijainti, pankkitilin numero, auton rekisterikilpi, sosiaalisen median tili jne.


A

Mitä seuraamuksia GDPR:n noudattamatta jättämisestä seuraa?

Uusi Tietosuoja-asetus (GDPR) on ottanut käyttöön rikkomuksen vakavuuteen perustuvan sakkorangaistuksen. Jos yritys ei ole noudattanut GDPR:n asettamia vaatimuksia tai yritys on jättänyt ilmoittamatta viranomaisille mahdollisista tietovuodoista, viranomaiset voivat määrätä sakon, joka on 2% yrityksen vuotuisesta globaalista liikevaihdosta. Suurin mahdollinen sakko on 4% vuotuisesta globaalista liikevaihdosta, tai 20 miljoonaa euroa, riippuen siitä kumpi on suurempi.







Organisaatiomenettelyt

A

Mitä minun pitäisi tehdä, jotta yritykseni olisi GDPR mukainen?

Pienille ja keskisuurille yrityksille on olemassa GDPR tarkistuslista, joka sisältää ohjeita GDPR:n täytäntöönpanosta. Ohjeisiin sisältyy:

  • Pidä selostetta käsittelytoimista. Ole valmis esittämään raportti paikalliselle tietosuojaviranomaiselle.
  • Kerro tietosuojakäytäntösi selkeästi ja varmista, että se on saatavilla sekä asiakkaille että yhteistyökumppaneille. Julkaise tietosuojaseloste verkkosivuillasi.
  • Hallitse asiakkaiden pyyntöjä liittyen henkilötietojen käsittelyyn, jotka perustuvat ”uusiin oikeuksiin”, joita GDPR määrittää. Tärkeimpiä ovat: a) Oikeus tietää, b) Oikeus tietojen siirrettävyyteen c) Oikeus tulla unohdetuksi.
  • Pidä listaa palveluntarjoajistasi (henkilötietojen käsittelijät), jotka käsittelevät henkilötietoja puolestasi ja tee tietojenkäsittelysopimus (DPA) jokaisen käsittelijän kanssa.
  • Hallinnoi tietovuotoja ja raportoi ne paikalliselle tietosuojaviranomaiselle.

 


A

Tarvitsenko tietosuojavastaavan (DPO)?

Yritysten tulee nimittää tietosuojavastaava (DPO) mikäli yritys

  • on julkinen viranomainen
  • suorittaa laajaa henkilötietojen käsittelyä säännöllisesti ja järjestelmällisesti
  • harjoittaa laajaa arkaluontoisten henkilötietojen käsittelyä

Mikäli et suorita mitään näistä toiminnoista, sinun ei tarvitse nimetä tietosuojavastaavaa.




A

Ketkä ovat henkilötietojen käsittelijät ja miten heidän kanssa tulisi toimia?

Jokainen yritys (tai henkilö), joka käsittelee sinulle henkilökohtaisia tietoja, kutsutaan henkilötietojen käsittelijäksi (GDPR-kielellä). Esimerkkejä henkilötietojen käsittelijöistä ovat markkinointiyritykset, kirjanpitäjät, maksu- ja jakelupalveluntarjoajat, IT/pilvipalvelut jne.

Sinun on lueteltava kaikki ulkoiset palveluntarjoajat, käsiteltävät tiedot (GDPR näkökulmasta pääsy tietoihin tarkoittaa niiden käsittelyä) ja päätä/tarkista sopimus, jossa määritellään yrityksen henkilökohtaisten tietojen käsittelyn säännöt.


A

Mitä minun tulee tehdä, mikäli tapahtuu tietovuoto?

Tietovuodon tapahtuessa sinun on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa tietovuodon havaitsemisesta.

Ilmoituksen on sisällettävä tiedot varastetusta tai kadonneesta tiedosta, tietojen suojaamisesta (esim. salanimi) ja siitä, miten rikkomus voi vaikuttaa henkilöihin, joiden tiedot olivat kyseesssä (Data Subject GDPR -kielellä). Mikäli tietovuoto on vakava ja se mahdollisesti vaikuttaa myös henkilöihin, on yrityksen ilmoitettava asianosaisille.


A

Mikä on tietosuojavaikutusten arviointi (DPIA)?

Mikäli tietonjenkäsittely ja kerätty tieto ovat vaarassa aiheuttaa riskin henkilöiden oikeuksissa ja vapaudessa, yritysten on arvioitava, miten käsittelymalli voidaan suojata ulkopuolisilta uhkilta. Nämä vaikutustenarvioinnit ovat välttämättömiä, mikäli yritys prosessoi (artikla 35):

  1. järjestelmällinen ja kattava henkilötietojen automaattinen arviointi;
  2. suuren mittakaavan erityiskategorian tietoja tai rikosoikeudellisia tuomioita tai rikoksia;
  3. julkisen alueen järjestelmällinen valvonta (esimerkiksi julkisen alueen edessä olevat kamerat)

Rekisteröidyt

A

Miksi tarvitsen suostumuksen ja miten sen voi saada?

Jos käsittelet henkilötietoja (esim. Verkkomarkkinoinnissa), sinun on pyydettävä suostumusta rekisteröidyltä.

Suostumus on pyydettävä selkeästi ja nimenomaisesti. Sen on oltava erillään kaikista muista teksteistä, lisäksi sen on oltava selkeä, vapaasti annettu ja täsmällinen, jotta henkilö tietäisi, mihin he suostuvat. Valmiiksi valitut kentät, vaikeneminen tai passiivisuus eivät ole suostutumuksia GDPR:ään, siksi yritysten on pyydettävä nimenomaista suostumusta. Rekisteröidyillä on myös oikeus peruuttaa heidän suostumuksensa (opt-out) milloin tahansa he haluavat. Yrityksen on tehtävä suostumuksen peruuttamisesta mahdollisimman helppoa.


A

Mitä tarkoittaa oikeus tulla unohdetuksi?

Henkilöillä on oikeus vaatia yrityksiä poistamaan henkilötietonsa (tämä on nimeltään ”oikeus tulla unohdetuksi” GDPR-termeillä). Yritysten on noudatettava henkilön vaatimusta ja poistettava (tai anonymisoitava) henkilötiedot. Esimerkiksi: mikäli henkilö peruuttaa suostumuksensa, henkilötietojen kerääminen ja käsittely ei ole enää tarpeellista (pois lukien sopimuksen päättyminen). Tiedot on poistettava ilman aiheetonta viivytystä (enintään 30 päivän sisällä).

Joissakin tapauksissa (esimerkiksi jonkin toisen lain tai lakisääteisen velvoitteen noudattamisen vuoksi) oikeutta tulla unohdetuksi ei voida soveltaa.



A

Oikeus tietojen siirrettävyyteen – mitä se tarkoittaa?

Oikeus henkilötietojen siirrettävyyteen tarkoittaa mahdollisuutta hankkia henkilökohtaisia tietoja yhdeltä palveluntarjoajalta ja käyttää sitä uudelleen toisessa palvelussa helposti ja turvallisesti. Sen avulla voidaan saada yhdestä IT-ympäristöstä jäsennelty, yleisesti käytetty ja koneella luettava muoto ja laittaa se toiseen järjestelmään vaikuttamatta sen käytettävyyteen (mikäli se on teknisesti mahdollista).