Tietosuojan ABC

Toukokuussa 2018 voimaan astuneen EU:n yleisen tietosuoja-asetuksen (ns. GDPR) tarkoituksena on parantaa yksityishenkilöiden henkilötietojen suojaa ja tietosuojaoikeuksia, vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin,  yhtenäistää tietosuojasääntelyä kaikissa EU-maissa sekä edistää digitaalisten sisämarkkinoiden kehittymistä.
 
 
Keskeisiä käsitteitä:
 
• Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.
 
• Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella.
 
• Rekisteröity on henkilö, jota henkilötieto koskee.
 
• Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. (SKTL:n jäsenet toimivat yleensä rekisterinpitäjänä).
 
• Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka pelkästään käsittelee henkilötietoja rekisterinpitäjän lukuun.
 
 
Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi:
• nimi
• kotiosoite
• sähköpostiosoite, kuten etunimi.sukunimi@yritys.com
• puhelinnumero
• henkilökortin numero
• auton rekisterinumero
• paikannustiedot
• IP-osoite
• potilastiedot
• perinnöllisiä sairauksia koskevat tiedot.
 
Peruste käsitellä henkilötietoja voi olla:
• rekisteröidyn suostumus
• sopimus (yleensä SKTL:n jäsenten peruste on sopimus)
• rekisterinpitäjän lakisääteinen velvoite
• elintärkeiden etujen suojaaminen
• yleinen etu ja julkinen valta
• rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
 
Tietosuojaperiaatteiden mukaan henkilötietoja on
• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten.
 
Tämän takia pitää ilmoittaa avoimesti ja selkeästi vähintään: 
• yrityksen nimi, yhteystiedot ja mahdollisen tietosuojavastaavan yhteystiedot (jos on isompi toimija)
• mitä tietoja yritys käsittelee
• mihin tarkoitukseen yritys käsittelee henkilötietoja
• henkilötietojen käsittelyn oikeusperuste
• kuinka kauan tietoja säilytetään
• mikä toinen yritys tai henkilö voi saada tiedot
• siirretäänkö henkilötietoja EU:n ulkopuolelle
• henkilön tietosuojaoikeudet:
• oikeus tehdä valitus tietosuojaviranomaiselle
• oikeus milloin tahansa peruuttaa suostumus, jos käsittely perustuu suostumukseen.
 
Henkilötietojen käsittelyssä on noudatettava aina lakia ja tietosuojaperiaatteita. Arkaluonteisia tietoja saa käsitellä vain poikkeustapauksissa. Tietosuojaseloste ei ole määrämuotoinen dokumentti.
 

Esimerkkinä SKTL:n tietosuojaseloste

SKTL:n tietosuojakäytännöt

Evästeistä SKTL:n verkkosivuilla

Tietosuoja-asetus vaatii yleisesti sen, että myös tietoturvasta on huolehdittu asianmukaisesti! 

 

Lue lisää SKTL:n jäsensivuilta (kirjautuminen omilla tunnuksilla):

Hyödyllisiä linkkejä

Tietosuojasta ja tietoturvasta 

GDPR:n keskeisimmät käsitteet 

Perusohje EU:n tietosuoja-asetuksen vaatimuksista