GDPR-termit hukassa? Lue tämä.

01.06.2018

Pitkät tietosuoja-blogipostaukset, joissa käytetään muutokseen liittyviä käsitteitä niitä selittämättä? Boring. Kokoamamme tietopaketin lukemalla opit keskeisimmät käsitteet minuuteissa.

Mikä GDPR?

GDPR on EU:n uusi tietosuoja-asetus, jonka tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa. GDPR tuli voimaan kaksi vuotta sitten 24.5.2016, jolloin alkoi kahden vuoden siirtymäaika. Asetuksen soveltaminen alkoi 25.5.2018.

Anonymisointi

Anonymisoinnissa henkilötiedon tunnistettavuus poistetaan niin, ettei tietoa voida enää yhdistää rekisteröityyn.

Arkaluonteiset henkilötiedot

Arkaluonteisia henkilötietoja ovat esimerkiksi rotu tai etninen alkuperä, uskonnollinen vakaumus, poliittiset mielipiteet, geneettiset, terveydelliset ja seksuaaliseen suuntautumiseen liittyvät tiedot sekä kuuluminen ammattiliittoon. Arkaluonteisia henkilötietoja koskevat tiukemmat säännöt kuin muita henkilötietoja.

Henkilötieto

Henkilötietoja ovat kaikki sellaiset tiedot, joiden perusteella henkilöitä voidaan tunnistaa ja yksilöidä. Näin henkilötietoja voivat helposti mieleen tulevien nimen, osoitteen, henkilötunnuksen, sähköpostiosoitteen, kuvien ja verkkotunnistetietojen lisäksi olla vaikkapa paikkatiedot ja potilastiedot, mikäli yksittäinen henkilö on niistä tunnistettavissa.

Henkilötietojen käsittely

Henkilötietojen käsittelyä ovat kaikki toimet, jotka joko automaattisesti tai manuaalisesti kohdistetaan henkilötietoihin. Nämä toimet voivat olla tiedon hakemista, keräämistä, jonkinlaista käyttöä, tallentamista, muokkaamista, säilyttämistä, järjestämistä, luovuttamista ja levittämistä muille tahoille, eri tietojen yhdistelyä, rajoittamista sekä poistamista ja hävittämistä.

Henkilötietojen tietoturvaloukkaus

Henkilötietojen tietoturvaloukkaus tarkoittaa sellaista tapahtumaa, jossa käsitellyt henkilötiedot on vahingossa tai laittomasti tuhottu, hävitetty, muutettu, luovutettu luvattomasti tai niihin on päästy luvattomasti käsiksi.

Käsittelijä

Käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Hän käsittelee tietoja sovitulla (rekisterinpitäjän päättämällä) tavalla.

Oikeus käsittelyn rajoittamiseen

Rekisteröity voi rajoittaa henkilötietojensa käsittelyä, jos hän kiistää henkilötietojen paikkansapitävyyden tai jos käsittely on lainvastaista.

Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus siirtää henkilötietonsa suoraan rekisterinpitäjältä toiselle, mikäli tämä on teknisesti mahdollista.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan epätarkat ja virheelliset henkilötiedot.

Oikeus tulla unohdetuksi

Mikäli ei ole laillista tarvetta säilyttää henkilötietoja, rekisteröidyllä on oikeus tulla unohdetuksi, eli tiedot tulee poistaa mikäli rekisteröity näin haluaa. Henkilötiedot tulee säännöllisesti hävittää myös pyytämättä, mikäli niille ei ole perusteltua käyttötarkoitusta, esimerkiksi olemassa olevaa asiakassuhdetta.

Osoitusvelvollisuus

Rekisterinpitäjällä on velvollisuus osoittaa, että organisaatio käsittelee tietoja asianmukaisella tavalla. Dokumentointikin on siis tärkeää.

Pseudonymisointi

Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, etteivät tiedot ole yhdistettävissä rekisteröityyn, ellei käytetä lisätietoja, joita tulee säilyttää erillään.

Rekisteri

Rekisteri on jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot voi saada tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

Rekisterinpitäjä

Rekisterinpitäjä ylläpitää rekisteriä ja määrittää henkilötietojen käyttötarkoitukset ja -tavat.

Rekisteriseloste/ tietosuojaseloste

Rekisterinpitäjän tulee laatia yleisesti saatavilla oleva tietosuojaseloste erityisesti silloin kun organisaatiossa työskentelee yli 250 henkilöä. Selosteesta täytyy selkeästi ja ymmärrettävästi käydä ilmi, miten henkilötietoja käsitellään.

Rekisteröity

Rekisteröity on rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö jonka tietoja käsitellään.

Sanktiot

Jos asetuksen vaatimuksia laiminlyödään, valvontaviranomainen voi antaa varoituksen tai huomautuksen, kieltää henkilötietojen käsittelyn tai määrätä esimerkiksi hallinnollisen sakon. Sakko määräytyy tapauskohtaisesti, ja siihen vaikuttavat monet asiat, kuten laiminlyönnin vakavuus ja tahallisuus. Vähäisemmästä tietosuojarikkomuksesta voi saada maksimissaan 10 miljoonan euron sakon tai jos kyseessä on yritys 2% prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Merkittävä tietosuojarikkomus tarkoittaa suurempia sakkoja. Enimmäissakko on joko 20 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta riippuen siitä, kumpi näistä määristä on suurempi.

Suostumus
Suostumus tarkoittaa, että rekisteröity tietoisesti, vapaaehtoisesti, yksilöidysti ja yksiselitteisesti ilmaisee, että hän hyväksyy henkilötietojen käsittelyn. Jos on kyse erityistä henkilötietoryhmistä, kuten arkaluonteisista henkilötiedoista, suostumus on saatava näiden nimenomaisten tietojen käsittelyyn. Suostumuksen tulee olla selkeästi suostumuksen ilmaiseva toimi, kuten kirjallinen, sähköinen tai suullinen suostumus.

Tietosuojavastaava

Tietosuojavastaava on organisaation erikseen osoittama asiantuntija, joka seuraa tietosuojasääntöjen oikeaoppista noudattamista organisaatiossa. Hän on myös organisaation yhteyshenkilö tietosuojaan liittyvissä asioissa.

Tietopyyntö

Tietopyyntö on yritysten näkökulmasta pyyntö, jonka yksityishenkilö lähettää yritykselle. Pyynnön tarkoituksena on saada koottuna itselle kaikki tieto, minkä yritys on yksityishenkilöstä kerännyt. Rekisteröidyllä on lisäksi oikeus saada tietää, mihin tarkoitukseen hänen henkilötietojaan käytetään, mihin niitä on luovutettu tai aiotaan luovuttaa, kuinka kauan hänen tietojaan säilytetään sekä tietojen alkuperä, mikäli ne on kerätty toiselta taholta kuin rekisteröidyltä itseltään. Rekisteröidyn esittämään tietopyyntöön täytyy reagoida kuukauden sisällä. Jos pyynnöt ovat monimutkaisia ja niitä on paljon, määräaikaa voidaan jatkaa korkeintaan kahdella kuukaudella. Jos määräaikaa jatketaan, rekisterinpitäjän tulee ilmoittaa tästä rekisteröidylle kuukauden kuluessa pyynnön vastaanottamisesta ja kertoa syyt määräajan jatkamiselle. Rekisteröidyllä on myös oikeus tulla unohdetuksi ja pyytää korjausta omiin tietoihin.

Vastaanottaja

Vastaanottaja on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, jolle luovutetaan henkilötietoja. Vastaanottajia eivät ole viranomaiset, jotka saavat henkilötietoja tutkimusta varten tai lainsäädännön mukaisesti.

Vastustamisoikeus
Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä tietyissä tilanteissa, kuten suoramarkkinointia varten tehtävässä käsittelyssä.


Tutustu Data Privateeriin