Etusivu > Yrittajan Abc > Yritystoiminnan Abc > Yrittajan Tietosuojaopas

Etsi

Kun tietoja kerätään rekisteröidyltä

Henkilötietojen käsittelyn tulee olla läpinäkyvää, ja rekisteröidyille tulee kertoa, kuinka heitä koskevia tietoja kerätään ja kuinka niitä käytetään. Tiedot tulisi antaa tiiviisti, yksinkertaisella ja selkeällä kielellä. Rekisteröityjen tulee saada tiedot maksutta.

Kuitenkin, jos pyyntöjä esitetään toistuvasti ja ne ovat kohtuuttomia tai ilmeisen perusteettomia, voi yritys periä kohtuullisen maksun tai kieltäytyä antamasta tietoja. Tällöin yrityksen tulisi pystyä osoittamaan pyynnön perusteettomuus tai kohtuuttomuus.

Yrityksen tulisi pitää kuvaus henkilötietojen käsittelystä rekisteröidyn saatavilla. Asetuksen mukaan tiedot tulisi toimittaa kirjallisesti, suullisesti tai sähköisesti. Esimerkiksi messuilla järjestettävästä arvontaan osallistumisesta ja henkilötietojen käsittelystä voidaan kertoa antamalla rekisteröitävälle paperi, jossa kuvaillaan henkilötietojen käyttöä.
 

Kun kerätään rekisteröidyltä häntä koskevia henkilötietoja, rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot:

  • tietosuojavastaavan yhteystiedot, jos sellainen on
  • peruste eli syy, jonka perusteella henkilötietoja saa käsitellä
  • henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste eli syy, jonka perusteella henkilötietoja saa käsitellä
  • henkilötietojen vastaanottajat tai vastaanottajaryhmät
  • aikooko rekisterinpitäjä siirtää henkilötietoja EU:n ulkopuolelle
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää tietojen oikaisemista tai poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen
  • oikeus peruuttaa suostumus milloin tahansa ilman, että se vaikuttaa suostumuksen perusteella ja ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen
  • onko henkilötietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus
  • onko rekisteröidyn pakko toimittaa henkilötiedot ja mitä tällaisten tietojen antamatta jättämisestä mahdollisesti seuraa.
  • automaattisen päätöksenteon eli profiloinnin olemassaolo, merkitykselliset tiedot käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
     

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle ennen kyseistä jatkokäsittelyä ja annettava asiaan kuuluvat lisätiedot.

Informointivelvoite tarkoittaa käytännössä sitä, että yrityksen tulee antaa edellä mainitut tiedot henkilötietoja vastaanottaessaan. Tiedot voidaan antaa esimerkiksi tietosuojaselosteena tai muulla tavalla verkkosivuilla, tai tietoja voidaan pitää saatavilla työpaikan intranetissä tai fyysisenä kappaleena esimerkiksi ilmoitustaululla.

Tietosuojaviranomaiset aikovat julkistaa mallin tietosuoja-asetuksen mukaisesta tietosuojaselosteesta. Yrittäjän tulee laatia henkilötietojen käsittelyn nykytilaa kuvaava tietosuojaseloste ja päivittää se myöhemmin tietosuoja-asetuksen mukaiseksi tietosuojaselosteeksi. Yrittäjän tulisi pitää selosteet ajan tasalla päivittämällä niitä tasaisin väliajoin.  

Selosteet täyttöohjeineen löytyvät tietosuojavaltuutetun toimiston sivulta.

» Tietosuojavaltuutetun toimiston tekemä tietosuojaselosteen malli

» Katso tietosuoja-asetuksen artikla 13.

» Takaisin Yrittäjän tietosuojaopas -etusivulle

 

Päivitetty 28.2.2018