Keskeiset käsitteet

Mitä GDPR:ään liitetyt termit tarkoittavat?

Keskeisiä käsitteitä

 

Henkilötieto

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella.

Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietojen käsittely

Käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tie- tojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

(Henkilö)rekisteri

Rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

Huomaa, että aiemmasta henkilötietolaista poiketen tietosuoja-asetus soveltuu automaattiseen henkilötietojen käsittelyyn riippumatta siitä, muodostuuko tiedoista rekisteri. Se, muodostuuko käsittelyssä rekisteri tai rekisterin osa, on olennaista vain silloin, kun kyse on manuaalisesta käsittelystä.

Rekisteröity

Rekisteröity on henkilö, jota henkilötieto koskee (ks. myös Henkilötieto).

Rekisterinpitäjä

Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Yhteisrekisterinpitäjät

Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä.

Henkilötietojen käsittelijä

Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun rekisterinpitäjän ohjeiden mukaisesti.

EU:n yleinen tietosuoja-asetus (TSA, GDPR)

Henkilötietojen käsittelyä sääntelevä asetus, jonka soveltaminen aloitettiin kaikissa EU-maissa 25.5.2018.

Tietosuojalaki

EU:n yleistä tietosuoja-asetusta täsmentävä kansallinen yleislaki, joka tuli voimaan 1.1.2019.

Osoitusvelvollisuus

Osoitusvelvollisuus tarkoittaa sitä, että rekisterinpitäjän ja käsittelijän on pystyttävä käytännössä näyttämään, että tietosuoja-asetusta noudatetaan. Osoitusvelvollisuus voidaan toteuttaa esimerkiksi dokumentoimalla.

Tietoturva

Tietoturva on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.

Riski

Riskillä tarkoitetaan skenaariota, joka kuvaa tapahtumaa ja sen seurauksia rekisteröidylle sekä arviota seurausten vakavuudesta ja tapahtuman todennäköisyydestä.

Jäännösriski

Suojatoimenpiteiden toteuttamisen jälkeen jäljelle jäävä riski, jota ei voida tai ei haluta poistaa. Lopullinen arvio riskistä suojatoimenpiteiden käyttöönoton jälkeen.

Riskienhallinta

Koordinoitu toiminta, jolla ohjataan ja valvotaan organisaatiota riskien osalta.

Kolmas maa

Euroopan talousalueen (ETA) ulkopuolinen maa. ETA-alueeseen kuuluvat EU-maiden lisäksi Is- lanti, Liechtenstein ja Norja.

Ennakkokuuleminen

Ennakkokuulemisella tarkoitetaan tilannetta, jossa rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava tietosuojaviranomaista.

Ennakkokuuleminen on toteutettava, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidyille, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.

Erityiset henkilötietoryhmät

Niin sanottuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Tällaisista tiedoista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevia tietoja, seksuaalinen suuntautuminen tai käyttäytyminen tai geneettisiä tietoja ja biometrisia tietoja henkilön tunnistamista varten.

Rikosasioiden tietosuojadirektiivi, ja -laki (RTsL)

Henkilötietojen käsittelystä rikosasioissa säädetään 1.1.2019 voimaan tulleessa rikosasioiden tietosuojalaissa. Lakia sovelletaan poliisin, syyttäjien, tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, rajavalvontaviranomaisten ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosasiassa.

Rikosasioiden tietosuojalailla on pantu täytäntöön rikosasioiden tietosuojadirektiivi. EU:n direktiivin tavoitteena on nykyaikaistaa sääntelyä, helpottaa tietojen vapaata liikkuvuutta EU-maiden poliisi- ja oikeusviranomaisten välillä sekä varmistaa henkilötietojen suoja rikosasioita käsiteltäessä.

Pseudonymisointi

Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista. Pseudonymisoidut tiedot ovat yhä henkilötietoja, ja niiden käsittelyssä on sovellettava tietosuojasäännöksiä.

Anonymisointi

Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi. Anonymisoituja tietoja ei enää katsota henkilötiedoiksi. Niihin ei sovelleta tietosuojasäännöksiä.

Suostumus

Suostumus on yksi mahdollinen oikeusperuste henkilötietojen käsittelylle. Suostumus antaa rekisteröidylle mahdollisuuden valvoa henkilötietojensa käsittelyä ja vaikuttaa henkilötietojen käsittelyyn peruuttamalla suostumuksen. Suostumuksen edellytyksistä säädetään yleisen tietosuoja-asetuksen 7 artiklassa.

Henkilötietoja koskeva tietoturvaloukkaus

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Sisäänrakennetulla tietosuojalla tarkoitetaan sitä, että tietosuojaperiaatteet sisään rakennetaan rekisterinpitäjille tarjottaviin työkaluihin, tuotteisiin, sovelluksiin tai palveluihin. Oletusarvoisella tietosuojalla tarkoitetaan sitä, että työkalut, tuotteet, sovellukset tai palvelut takaavat oletusarvoisesti, että käsittely rajoittuu vain käsittelyn tarkoituksen kannalta tarpeellisiin henkilötietoihin.

Tietosuojavastaava

Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa. Tietosuoja-asetus sisältää edellytyksiä, joiden täytyttyä tietosuojavastaavan nimittäminen on organisaatiolle pakollista.

Euroopan tietosuojaneuvosto (EDPB)

Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmu- kaisesta soveltamisesta kaikkialla Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Euroopan tietosuojaneuvosto koostuu kansallisten tietosuojaviranomaisten (ml. tietosuojavaltuutetun toimiston) ja Euroopan tietosuojavaltuutetun (EDPS) edustajista.

WP29

Tietosuojadirektiivin 29 artiklan mukainen työryhmä WP 29 oli riippumaton EU:n työryhmä, joka käsitteli yksilöiden suojelua henkilötietojen käsittelyssä koskevia kysymyksiä yleisen tietosuoja-asetuksen soveltamisajan alkamiseen asti. (ks. Euroopan tietosuojaneuvosto (EDPB)) .

Profilointi

Profilointi tarkoittaa henkilötietojen automaattista käsittelyä, jossa arvioidaan ihmisen henkilökohtaisia ominaisuuksia. Profiloinnilla tarkoitetaan erityisesti työsuoritukseen, taloudellisen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin liittyvien piirteiden analysointia tai ennakointia.

Seloste käsittelytoimista

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä. Seloste on organisaation sisäinen asiakirja. Se toimii apuvälineenä henkilötietojen käsittelyn hahmottamiseen, ja sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuoja- lainsäädännön mukaisesti.

Vastaanottaja

Vastaanottajilla tarkoitetaan tietosuoja-asetuksessa kaikkia niitä tahoja (luonnolliset henkilöt tai oikeushenkilöt, viranomaiset, virastot tai muut elimet), joille henkilötietoja siirretään tai luovutetaan.

Tietosuojan vaikutustenarviointi (TVA)

Tietosuojan vaikutustenarvioinnin tarkoituksena on tunnistaa ja vähentää henkilötietojen käsittelyyn liittyviä riskejä sekä tuottaa aineistoa, jolla tietosuojasääntelyn noudattaminen voidaan osoittaa.

 

Missä yrityksesi menee?

Tarpeesta ja yrityksen nykytilanteesta saa parhaan kuvan tekemällä tietosuojakatsastuksen. Siihen löytyy verkosta maksuton palvelu, josta saat selkeän raportin tietosuojatyön toteuttamiseksi.

Katsastuksen tarkoitus ei ole viilata pilkkua vaan auttaa tarkistuksen tekijää hahmottamaan tietosuojan tila yrityksessä. Ajele katsastukseen allaolevasta linkistä.

Aja katsastukseen