Tämän sanaston tarkoitus
Tässä sanastossa esitellään EU:n tietosuoja-asetuksen tärkeimmät henkilötietoihin liittyvät käsitteet lähinnä rekisterinpitäjän näkökulmasta.
Järjestämme mielellämme esittelyn Tietosuojatyökalun hyödyistä ja käytöstä esim. Teamsin välityksellä. Saat meiltä myös asiantuntevaa koulutusta ja konsultointia tietosuoja- ja tietoturvatyön toteuttamiseen.
Jos haluat apua, niin ole rohkeasti meihin yhteydessä, Xcure yhteystiedot -linkin takaa löytyvällä lomakkeella tai vaikka soittamalla meille.
Anonymisointi
Henkilötiedon tunnistettavuuden poistaminen siten, ettei se enää ole yhdistettävissä rekisteröityyn henkilöön edes lisätietojen avulla (vrt. pseudonymisointi).
Automatisoitu päätös
Rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitettu päätös, joka tapahtuu ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutuu rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikuttaa häneen merkittävällä tavalla. (Ilmoitusvelvollisuus tietosuojavaltuutetulle)
Henkilötieto
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto, puhelinnumero, sähköpostiosoite, tai muu verkkotunnistetieto; myös viittaus julkisuuden henkilöön Wikipediassa tai muualla netissä).
Henkilötietojen käsittelijä
Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta (esimerkiksi yrityksen ulkoistettu palkanlaskija).
Henkilötietojen käsittely
Kaikenlaiset toiminnot, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, käyttö, luovuttaminen, levittäminen tai saattaminen muutoin saataville, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen ja hävittäminen.
Käytännössä henkilötietojen käsittely perustuu useimmiten johonkin näistä kolmesta perusteesta, eikä aina siis tarvita henkilön suostumusta:
- Oikeutettu etu:
Organisaatioilla katsotaan olevan erilaisia oikeutettuja etuja, joiden perusteella ne voivat kerätä ja käsitellä henkilötietoja. Oikeutetut edut liittyvät sellaisiin toimintoihin kuten esimerkiksi suoramarkkinointi, asiakaspalvelu, tai tuote- ja palvelukehitys.
- Sopimus:
Henkilötietoja saa käsitellä siinä tilanteessa, että rekisteröity on jonkin sopimuksen toisena osapuolena, tai kun rekisteröidyn pyynnöstä, sopimusta laadittaessa, on suoritettava henkilötietoihin liittyviä toimenpiteitä.
- Suostumus:
Tapa, jolla rekisteröity hyväksyy henkilötietojen käsittelyn.
Julkisen tehtävän suorittaminen tai lakisääteinen velvoite voi olla myös käsittelyperuste esimerkiksi yrityksen täyttäessä rahanpesulainsäädännön velvoitteita.
Osoitusvelvollisuus
Henkilötietoja käsittelevällä rekisterinpitäjällä on velvollisuus osoittaa konkreettisesti dokumentein, että se toimii asetuksen edellyttämällä tavalla, ja on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:
- lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- käyttötarkoitussidonnaisuus
- tietojen minimointi
- täsmällisyys
- säilytyksen rajoittaminen ja
- eheys ja luottamuksellisuus.
Profilointi
Profilointi on henkilötietojen automaattista käsittelyä, jossa analysoidaan tai ennakoidaan mitä tahansa henkilökohtaisia ominaisuuksia (kuten sijaintia tai liikkuvuutta, taloudellista tilannetta, ostoaikomuksia, luotettavuutta tai käyttäytymistä, terveyttä, henkilökohtaisia mieltymyksiä tai kiinnostuksen kohteita, työsuoritusta tai muuta käyttäytymistä) henkilötietoja käyttäen. Profilointia käytetään lukuisissa sosiaalisen median palveluissa ja osassa muita sovelluksia, mutta ainoastaan poikkeustilanteissa profilointi tai automatisoidut päätökset saavat perustua erityisiin henkilötietoryhmiin, kuten etninen alkuperä, poliittiset mielipiteet tai uskonnollinen vakaumus.
Pseudonymisointi
Henkilötietojen käsittelemistä niin, ettei tietoja voida enää yhdistää tiettyyn rekisteröityyn lisätietoja käyttämättä. Lisäksi vaaditaan, että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettavissa olevaan henkilöön tapahdu.
Esimerkiksi tutkimuksessa, jossa käsitellään arkaluontoisia tietoja, voidaan käyttää salanimellä julkaisua, mutta pseudonymisoitu tieto on henkilötietoa, koska se on yhdistettävissä takaisin henkilöön (vrt. anonymisointi).
Rekisterinpitäjä
Luonnollinen tai oikeushenkilö (julkinen viranomainen, virasto tai muu taho) joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Rekisterinpitäjä määrittelee myös miksi rekisteri on syntynyt ja on vastuussa henkilötietojen käsittelystä.
Tiedon korjaaminen
Henkilötietolaissa säädetty yleisvelvoite, jonka mukaan rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan.
Tietosuojavastaava
Organisaatioon nimettävä rooli, joka on pakollinen seuraavissa tilanteissa:
- jos tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin tuomioistuin),
- ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai
- ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.
Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan. Toimenkuvaan kuuluu asetuksen määrittämien tietoturva-asioiden huomioiminen organisaation toiminnassa. Tietosuojavastaava toimii myös yhteyshenkilönä silloin, kun rekisteröity haluaa tarkastella, muuttaa tai poistattaa henkilötietojaan rekisteristä. Yritysryhmä voi nimittää yhden tietosuojavastaavan samoin kuin yksi tietosuojavastaava voidaan nimittää useampaa viranomaista tai julkishallinnon elintä varten.