Fakta  

GDPR: 

Rekisterinpitäjä

Esittelyä rekisterinpitäjän ja henkilötietojen käsittelijän vastuista, tehtävistä ja muista velvollisuuksista henkilötietojen käsittelyn yhteydessä.

Rekisterinpitäjän vastuu

Rekisterinpitäjän vastuulla on järjestää yleisesti ne toimenpiteet ja toimintaperiaatteet, jotka varmistavat tämän asetuksen noudattamisen ja sen, että asetuksen noudattaminen pystytään osoittamaan.

Privacy by default / design

Rekisterinpitäjän vastuulla on järjestää ne toimenpiteet, jotka tuovat tietosuojaperiaatteet (kuten tietojen minimoinnin) osaksi henkilötietojen käsittelyä ja rekisteröityjen oikeuksia pystytään suojaamaan.

Yhteisrekisterinpitäjät

Jos rekisterinpitäjiä on useampia, heidän on järjesteltävä tämän asetuksen eri vastuut ja tehtävät selvästi ja tämän järjestelyn oleellisten osien on oltava rekisteröityjen saatavilla. Rekisteröidyt voivat kuitenkin käyttää oikeuksiaan kutakin rekisterinpitäjää kohtaan ja vastaan.

Edustus unionin ulkopuoliselle

Unionin ulkopuolelle sijoittautunut rekisterinpitäjä tarvitsee nimetyn edustajan unionin aluetta varten, kun rekisterinpitäjä käsittelee unionissa olevien henkilötietoja tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai rekisteröityjen käyttäytymisen seurantaan.

Henkilötietojen käsittelijä

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Tätä käsittelyä täytyy ohjata sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja vahvistaa tämän artiklan mukaiset käsittelyn avainasiat.

Alaisten tietojenkäsittely

Kaiken henkilötietojen käsittelyn, joka tapahtuu rekisterinpitäjän lukuun, on tapahduttava rekisterinpitäjän ohjeiden mukaisesti.

Seloste käsittelytoimista

Rekisterinpitäjän sekä henkilötietojen käsittelijän on muodostettava ja julkaistava tämän artiklan mukainen kirjallinen seloste henkilötietojen käsittelytoimistaan.

Viranomaisyhteistyö

Rekisterinpitäjän ja henkilötietojen käsittelijän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa.

Käsittelyn turvallisuus

Rekisterinpitäjän ja henkilötietojen käsittelijän vastuulla on analysoida henkilötietojen käsittelyn rekisteröidyille aiheuttamaa riskiä ja toteuttaa riskitasoa vastaavan turvallisuustason varmistavat toimenpiteet (kuten henkilötietojen salaus ja henkilöstön koulutus), joita esitellään tässä artiklassa.

Loukkausilmoitus viranomaiselle

Jos tapahtuu henkilötietojen tietoturvaloukkaus, kunkin osapuolen on ilmoitettava eteenpäin relevanteille osapuolille, esimerkiksi henkilötietojen käsittelijän rekisterinpitäjälle ja rekisterinpitäjän valvontaviranomaiselle.

Loukkausilmoitus rekisteröidylle

Jos tapahtuu henkilötietojen tietoturvaloukkaus, kunkin osapuolen on ilmoitettava eteenpäin relevanteille osapuolille, esimerkiksi rekisterinpitäjän rekisteröidyille.

Vaikutustenarviointi

Jos tietyntyyppinen henkilötietojen käsittely aiheutaa rekisteröidyn kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.

Ennakkokuuleminen

Jos vaikutustenarvioinnissa todetaan suunnitellun henkilötietojen käsittelyn aiheuttavan korkean riskin, eikä rekisterinpitäjä ole toteuttanut toimenpiteitä riskin pienentämiseksi, rekisterinpitäjän on ennen henkilötietojen käsittelyä kuultava valvontaviranomaista.

Tietosuojavastaavan nimittäminen

Rekisterinpitäjän ja henkilötietojen käsittelijän on tämän artiklan mukaisissa tilanteissa nimitettävä tietosuojavastaava, joka mm. seuraa ja neuvoo tämän asetuksen noudattamisessa.

Tietosuojavastaavan asema

Tietosuojavastaava on monin puolin erityisasemassa tehtävänsä vuoksi. Häntä ei esimerkiksi saa neuvoa tehtävissään eikä rangaista tehtäviensä hoitamisesta.

Tietosuojavastaavan tehtävät

Tietosuojavastaava neuvoo ja antaa tietoa tämän asetuksen noudattamiseen liittyen ja hänellä on oltava hoidettavanaan ainakin tämän artiklan mukaiset tehtävät.

Käytännesäännöt

GDPR-asetus velvoittaa jäsenvaltioita, valvontaviranomaisia, tietosuojaneuvostoa sekä komissiota edistämään käytännesääntöjen laatimista, jotka voivat helpottaa esimerkiksi eri kokoisten ja eri alojen organisaatioita soveltamaan tätä asetusta asianmukaisesti.

Käytännesääntöjen seuranta

Mikäli GDPR:n asianmukaista soveltamista helpottavia käytännesääntöjä muodostuu, niiden noudattamista voi seurata ainoastaan toimija, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen.

Sertifiointi

Tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä kannustetaan ottamaan käyttöön erityisesti unionin tasolla. Sertifikaattien tarkoituksena on osoittaa, että kyseisiä käsittelytoimia suoritettaessa noudatetaan tätä asetusta.

Sertifiointielimet

Tietosuojaan liittyvän sertifioinnin voi myöntää ja uusia ainoastaan riippumaton ja asiantunteva toimija, jonka joko valvontaviranomainen tai erityinen kansallinen akkreditointelin on akkreditoinut.