Navigation path

Miten varmistan henkilötietojen suojaussääntöjen noudattamisen?

Miten varmistan henkilötietojen suojaussääntöjen noudattamisen?

Verkkokauppanne asiakkaat saattavat antaa nimensä, osoitteensa ja maksukorttinsa tiedot juurikaan asiaa miettimättä, mutta teidän on verkkokauppiaana suojattava heidän henkilötietonsa väärinkäytöltä ja kunnioitettava heidän oikeuttaan yksityisyyteen henkilötietoja käsitellessä. 

Henkilötiedot määritellään tunnistettuun tai tunnistettavaan henkilöön liittyviksi tiedoiksi (henkilöön viitataan ”rekisteröitynä”). 

Esimerkkejä henkilötiedoista, joita voidaan käyttää henkilön tunnistamiseen ovat: nimi, sukupuoli, tunnusnumero, maksukortin numero, yhteystiedot (mm. osoite, puhelinnumero, sähköposti), ikä ja syntymäaika, henkilötunnus, henkilötunnus, äidinkieli, biometriset tiedot (esim. sormenjäljet tai DNA).

Tietyntyyppiset henkilötiedot luokitellaan arkaluonteisiksi tiedoiksi, jotka paljastavat muun muassa rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset uskomukset, ammattiyhdistykseen kuulumisen tai tietoa terveydestä ja sukupuolielämästä. Ette voi käsitellä arkaluonteisia tietoja ilman rekisteröidyn nimenomaista suostumusta (”opt-in-menettely”).

”Käsittelyllä” tarkoitetaan kaikkia toimintoja, joita kohdistetaan henkilötietoihin, myös automaattista tietojenkäsittelyä käyttäen, kuten tietojen keräämistä, tallentamista, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, luovuttamista siirtämällä, levittämällä tai asettamalla tiedot muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Noudattakaa henkilötietojen tietosuojavaatimuksia

Yleinen tietosuoja-asetus (GDPR) tuli voimaan 25. toukokuuta 2018. Asetuksella uudistetaan merkittävästi EU:n tietosuojasääntöjä ja päivitetään tietosuoja-asetusta 95/46. Kaikki tarvittava tieto yrityksiä ja organisaatioita koskevista säännöistä on Euroopan komission tietosuojasääntöjä koskevien uudistusten sivustolla.

GDPR-sääntöjä on noudatettava, jos toimitte tai sijaitsette EU:n alueella, mutta myös silloin, jos käsittelette EU:n rekisteröityjen henkilötietoja EU:n ulkopuolelta.

EU:n tietosuojasääntöjen mukaan teidät katsotaan rekisterinpitäjäksi, jos (joko yksin tai yhdessä) määritätte, miksi (tarkoitukset) ja miten (tavat) käsittelette asiakkaittenne henkilötietoja.

Jos käsittelette henkilötietoja rekisterinpitäjän puolesta (esim. pilvipalvelujen tarjoajana, markkinatutkimusyrityksenä tai palkanmaksuyrityksenä), teidät katsotaan henkilötietojen käsittelijäksi. 

Noudattamalla sääntöjä saatte asiakkaittenne luottamuksen. Tietojen kerääjänä olette lisäksi velvollinen:
•    Takaamaan, että tiedot kerätään rehellisesti ja läpinäkyvästi ja että asiakkaille tiedotetaan  asianmukaisesti, miten henkilötietoja käsitellään.
•    Keräämään ja käsittelemään henkilötietoja vain, jos tarkoitus on oikeutettu ja tiedot ovat siis tarpeellisia (esim. sopimusta varten).
•    Noudattamaan tiettyjä velvoitteita henkilötietojen käsittelyssä. Voitte muun muassa kerätä henkilötietoja rekisterinpitäjän puolesta, jos on laadittu kirjallinen sopimus, jossa määritetään rekisterinpitäjän pakolliset ehdot GDPR-asetuksessa määritetyllä tavalla. Henkilötietojen käsittelijän on myös ylläpidettävä rekisteriä tietojen käsittelytoimista ja esitettävä se valvontaviranomaisen pyynnöstä. Teidän on varmistettava, että rekisteröidyt voivat oikaista, poistaa tai estää väärät tiedot itsestään ja ettei henkilötietoja säilytetä pidempään kuin on ehdottoman välttämätöntä.
•    Vastaamaan tietojenkäsittelytoimia koskeviin valituksiin.
•    Tekemään yhteistyötä kansallisten tietosuojaviranomaisten kanssa, jotka ovat vastuussa kansallisten tietosuojalakien noudattamisen valvonnasta ja yksityisten kansalaisten henkilötietojensa käsittelystä tekemien valitusten käsittelystä.

Huomatkaa, että vastuu lain edessä on teidän, jos joku työntekijänne paljastaa henkilötietoja ja rikkoo tietosuojalakia.

Ilmoittakaa asiakkaillenne

Teillä on velvollisuus tiedottaa asiakkaillenne, jos käsittelette heidän henkilötietoja. Tätä tarkoitusta varten teidän on julkaistava tietosuojaseloste sivustollanne ”ymmärrettävässä muodossa, selkeällä ja yksinkertaisella kielellä”.

Tietojen kerääjänä teidän on annettava asiakkaillenne vähintään seuraavat tiedot:
•    Yrityksenne, yksikön tai teidän (rekisterinpitäjä) koko nimi
•    Yhteystiedot
•    Kuvaus tietojen käyttötarkoituksesta
•    Käsittelypaikka
•    Kuvaus henkilöstä, viranomaisesta, virastosta tai muusta tahosta, jolle tiedot saatetaan luovuttaa
•    Tieto siitä, miten henkilöt voivat tarkistaa omia tietojaan ja käyttää niitä koskevia oikeuksiaan (esim. miten katsoa, oikaista ja poistaa henkilötietoja), sekä miten he voivat vastustaa tietojensa käyttöä suoramainontaan.

Tietosuojaseloste voi myös sisältää lisätietoja, kuten muun muassa henkilötietojen säilytysajan ja niiden suojaustavan.

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Suomi Tehkää ilmoitus tietosuojavaltuutetun toimiston sivuston kautta ennen käsittelyn aloittamista.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Tietolähteet

Noudattakaa henkilötietojen tietosuojavaatimuksia
•    European Union Agency for Fundamental Rights & Council of Europe, (2014), Handbook on European DataProtection Law
•    EU:n tietosuojadirektiivi (direktiivi 95/46/EY)
•    Tietosuojadirektiivi: http://ec.europa.eu/justice/data-protection/index_en.htm 
•    Euroopan komissio, oikeusasiat (2014), Tietosuoja, osoitteessa http://ec.europa.eu/justice/data-protection/index_en.htm 
•    Euroopan komissio, oikeusasiat, 29 artiklan mukainen tietosuojaryhmä, osoitteessa http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Ilmoitus kansalliselle viranomaiselle
•    EU:n tietosuojadirektiivi (direktiivi 95/46/EY)

Ilmoittakaa asiakkaillenne
•    European Union Agency for Fundamental Rights & Council of Europe, (2014), Handbook on European DataProtection Law
•    EU:n tietosuojadirektiivi (direktiivi 95/46/EY) – 10 artikla

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?