Embed Size (px)
Citation preview
TIETOSUOJAVALTUUTETUN TOIMISTO
Ota oppaaksi henkilötietolaki!Ota oppaaksi henkilötietolaki!
Rakenna luottamus: se kannattaa.
Esite rekisterinpitäjille
Mikä on henkilötietolaki?
Milloin henkilötietolakia sovelletaan?
Oletko sinä rekisterinpitäjä?
Lain avulla luot laadukkaan ja hyvin toimivan tietojärjestelmän
Henkilötietojen käsittely on osa rekisterinpitäjän toimintaa
Lakia sovelletaan myös verkossa tapahtuvaan henkilötietojen käsittelyyn
Varmista, että sinulla on oikeus kerätä, käyttää tai käsitellä henkilötietoja
Varmistu kerättävien henkilötietojen laadusta
Huolehdi rekisteröityjen oikeuksista _ ole avoin
Onko sinulla myös ilmoitusvelvollisuus?
Ohjaus ja valvonta
Tarkistuslista henkilötietojen käsittelyä suunnittelevan avuksi
SISÄLTÖ
3
3
4
4
4
5
5
6
7
8
8
10
1. MIKÄ ON HENKILÖTIETOLAKI?
Henkilötietolain tehtävänä on suojata yksityiselämääsekä edistää hyvän tietojenkäsittelytavan kehittämistäja noudattamista.
Henkilötietojen käsittelyyn vaikuttavia”tietosuojalakeja” ovat myös• Laki yksityisyyden suojasta työelämässä• Laki yksityisyyden suojasta televiestinnässä ja
teletoiminnan tietoturvasta
Myös lukuisissa muissa laeissa on henkilötietojenkäsittelyyn vaikuttavia säännöksiä. Näitä erityislakiensäännöksiä sovelletaan ensisijaisina henkilötietolainsäännöksiin nähden. Henkilötietolain yleisvelvotteitasovelletaan kuitenkin aina. Esimerkiksi suunnittelu-vaatimus on tällainen yleisvelvoite.
2. MILLOIN HENKILÖTIETOLAKIA SOVELLETAAN?
Henkilötietolakia sovelletaan henkilötietojen käsit-telyyn. Laki koskee viranomaisten, yritysten, järjes-töjen, muiden yhteisöjen ja yksityisten henkilöidentoimintaa.
Soveltamisalan ulkopuolelle jää tietyin rajoituksinhenkilötietojen käsittely toimituksellisia ja taiteellisenja kirjallisen ilmaisun tarkoituksia varten. Lakiaei sovelleta myöskään tavanomaiseen, yksinomaanhenkilökohtaisessa tarkoituksessa tapahtuvaanhenkilötietojen käsittelyyn. Tällaista käsittelyäon muun muassa tuttavapiirin osoitteiden ylläpito.
Lakia sovelletaan sekä automaattiseen tietojenkäsit-telyyn että manuaalisesti tapahtuvaan henkilötietojenkäsittelyyn lain 3 pykälässä olevan määritelmänmukaisesti.
• henkilötieto tarkoittaa kaikenlaisia luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolo-suhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi
• henkilötietojen käsittely tarkoittaa henkilötietojenkeräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muutta-mista, yhdistämistä, suojaamista, poistamista ja tuhoamista sekä muita henkilötietoihin kohdistuviatoimenpiteitä
• henkilörekisteri tarkoittaa käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaahenkilötietoja sisältävää tietojoukkoa, jota käsitel-lään osin tai kokonaan automaattisen tietojen-käsittelyn avulla tai joka on järjestetty kortistoksi,luetteloksi tai muulla näihin verrattavalla tavallasiten, että tiettyä henkilöä koskevat tiedot voidaanlöytää helposti ja ilman kohtuuttomia kustannuksia(looginen rekisteri)
• rekisteröity tarkoittaa henkilöä, jotahenkilötieto koskee.
3
3. OLETKO SINÄ REKISTERINPITÄJÄ?Henkilötietolaissa tarkoitettu rekisterinpitäjä vastaasiitä, että henkilötietoja käsitellään lain vaatimustenmukaisesti.
Henkilötietolain mukaan rekisterinpitäjällä tarkoite-taan yhtä tai useampaa henkilöä, yhteisöä, laitostatai säätiötä, jonka käyttöön henkilörekisteri peruste-taan ja jolla on oikeus määrätä henkilörekisterinkäytöstä tai jonka tehtäväksi rekisterinpito on laillasäädetty.
Esimerkiksi yritys on rekisterinpitäjä henkilöstönsäja asiakkaittensa osalta. Yrityksen johdon täytyy huo-lehtia siitä, että henkilötietojen käsittelyyn liittyvätvastuut ja tehtävät määritellään asianmukaisesti, ettähenkilöstön ohjauksesta ja koulutuksesta huolehdi-taan ja että yrityksen käyttämät tietojärjestelmätvastaavat lain vaatimuksia. Henkilötietojen käsittelynvastuut ovat osa eri tehtävien hoitoon liittyväätoiminnallista vastuuta.
Lain tarkoittama rekisterinpitäjä ei sen sijaan oleyrityksen keräämien tietojen osalta yrityksen pal-veluksessa oleva työntekijä.
4. LAIN AVULLA LUOT LAADUKKAAN JA HYVINTOIMIVAN TIETOJÄRJESTELMÄN
Henkilötietolaki kertoo, milloin voit kerätä ja muu-toin käsitellä henkilötietoja. Tärkeimmät yleisetperiaatteet ovat suunnittelu-, tarpeellisuus-, huolel-lisuus- ja suojaamisvelvoitteet sekä rekisteröityjenhenkilöiden oikeuksien huomioon ottaminen. Näidenperiaatteiden avulla saavutat hyvän tietojenkäsittel-ytavan.
Ensimmäiseksi sinun tulee määritellä, mitä tarkoitustavarten henkilötietoja käsitellään eli mihin henkilöre-
kisteriä on tarkoitus käyttää. Lain ohjausta seuratenvoit myös ehkäistä tietotekniikan ja uuden teknolo-gian käyttöön liittyviä tietosuojaloukkauksia.
Henkilötietojen käsittelyn tarkoitus määritelläänrekisterinpitäjien eri tehtävien perusteella. Esimerkiksiyhdistyksessä tietoja kerätään jäsenasioiden hoitami-seksi. Työelämässä henkilötietoja kerätään työ- japalvelussuhteen hoitamista ja työn hakua varten.Kaupan toiminnassa henkilötietoja tarvitaan myösasiakassuhteen hoitoon, koulussa oppilaista kerätääntietoja opetuksen järjestämiseen yms. Viranomaistenlakisääteiset tehtävät edellyttävät usein henkilö-tietojen käsittelyä. Muun muassa veroviranomaisetkäsittelevät henkilötietoja huolehtiessaan verotuksentoimittamisesta.
Selvitä miksi keräät henkilötietoja.Analysoi ja suunnittele henkilötietojen käsittely.
Varmista käsittelyn lainmukaisuus.
5. HENKILÖTIETOJEN KÄSITTELY ON OSAREKISTERINPITÄJÄN TOIMINTAA
Henkilötietolain tarkoittama tietosuojan toteutus eiole erillinen velvoite. Tietosuoja tulee toteuttaa ainaosana tehtävien hoitoon liittyvää käsittelyprosessia.Näin tietosuojasta hyötyvät sekä rekisterinpitäjätettä rekisteröidyt.
Henkilötietojen keräämisen ja käsittelyn tarpeetarvioidaan rekisterinpitäjän toiminnan tarpeiden
4
perusteella. Kussakin rekisterinpitäjän tehtävässävoidaan käsitellä pelkästään siinä tarkoituksessatarpeellisia ja virheettömiä tietoja, ei muita tietoja.Tarpeellisuuden, virheettömyyden, huolellisuudenja suojaamisen periaatteet tukevat siten myös toimin-nan tavoitteita.
Hyödynnä henkilötietolakia myöstoiminnan suunnittelussa. Laki ohjaa
ja toteuttaa säännöksillään hyväätietohuoltoa ja tiedonhallintaa.
6. LAKIA SOVELLETAAN MYÖS VERKOSSATAPAHTUVAAN HENKILÖTIETOJENKÄSITTELYYN
Henkilötietolaki liittyy toimintaasi myössilloin, kun esimerkiksi suunnittelet sähköistäkaupankäyntiä, avaat keskustelupalstanInternetissä tai tuotat käyttäjille verkkoyhteyksiäja neuvonta-ja vastauspalveluja. Sinun tulee ainaselvittää, käsitelläänkö tai muodostuuko toiminnassahenkilötietoja. Myös verkkopalvelun käytöstä jäävätkäyttäjien tiedot voivat olla henkilötietoja samoinkuin henkilörekistereitä ylläpitävien tietojärjestel-mien käytössä syntyvät käyttäjien lokitiedot.Muistathan:• Jos keräät verkon kautta henkilötietoja, rekiste-
röidyllä on oikeus saada tietää siitä, mihin tarkoi-tukseen ja miten hänen tietojaan käsitellään.
• Henkilörekisterin henkilötietojen laittaminenkotisivuille on henkilötietojen sähköistä luovutta-mista. Tämä voi tapahtua vain asianomaisen hen-kilön suostumuksella, ellei joku laki anna poikkeuk-sellisesti oikeutta tietojen luovuttamiseen.
• Vaikka henkilötiedot löytyisivätkin verkosta, tuleesinulla olla aina henkilölain mukainen oikeus kerätä ja käsitellä näitä tietoja.
Verkkopalvelujen tuottaja on rekisterinpitäjä.Suunnittele tietojen käsittely etukäteen ja
varmista käsittelyn lainmukaisuus.
7. VARMISTA, ETTÄ SINULLA ON OIKEUS KERÄTÄ,KÄYTTÄÄ TAI KÄSITELLÄ HENKILÖTIETOJA
Tietojen keräämisen ja käsittelyn tuleeolla laillista ja rekisterinpitäjän toimin-
nan ja tehtävien kannalta asianmu-kaista.
Henkilötietoja voidaan kerätä jakäsitellä vain henkilötietolaissa
määriteltyjen edellytystenmukaisesti. Lain perusajatus
on, että jokaisen tuleevoida tietää itseään
koskevien tietojenkäsittelystä.
Henkilötietoja voidaan kerätä ja tallettaa:• kun henkilö antaa siihen yksilöidyn, vapaaehtoisen
ja tietoisen suostumuksensa• kun rekisterinpitäjän eli tietoja keräävän organi-
saation ja rekisteröidyn välillä on asiallinen yhteys,kuten asiakassuhde, palvelussuhde, oppilassuhde,asukassuhde tai jäsenyys, jonka rekisteröity omanasiointinsa perusteella voi tietää
• kun oikeus henkilötietojen käsittelyyn perustuu
5
muussa laissa säädettyyn tehtävään tai käsittelystäon säädetty laissa.
Lisäksi henkilötietolain 4 luvussa on säädetty lisäedel-lytyksiä, joiden täyttyessä henkilötietoja voidaankäsitellä myös
a) suoramarkkinoinnin ja muiden osoitteellisten lähetysten käsittelyä varten
b) tieteellistä tutkimusta vartenc) tilastointia vartend) sukututkimusta vartene) henkilömatrikkelin muodostamiseksif) henkilöluottotietojen käsittelyä varteng) viranomaisten suunnittelu- ja selvitystehtäviä
varten.Näissäkin tapauksissa tulee tietojen käsittelijännoudattaa myös henkilötietolain yleisiä vaatimuksia.
Henkilötietojen keräämistä ja muuta käsittelyä ohjaa-vat myös monet muut lait, joten lainmukaisuudenvarmistaminen vaatii myös muun mahdollisen hen-kilötietojen käsittelyä koskevan lainsäädännön sel-vittämistä.
Varmista henkilötietolainedellytykset henkilötie-tojen käsittelylle. Selvitäaina myös, liittyykö asi-aan muuta lainsäädäntöä.
8. VARMISTU KERÄTTÄVIEN HENKILÖTIETOJENLAADUSTA
Tietojen tulee olla tarpeellisia
Varmistu keräämiesi henkilötietojen laadusta. Sinuntulee voida osoittaa, että keräämäsi tiedot ovat vir-heettömiä ja henkilötietojen käsittelyn tarkoituksenkannalta tarpeellisia. Rekisteröidyllä on oikeus vaatiavirheellisen tiedon korjaamista.
Arkaluonteisten tietojen kerääminen
Arkaluonteisten henkilötietojen käsittely on pää-sääntöisesti kiellettyä. Sallittua se on vain laissamääritellyin poikkeusehdoin. Arkaluonteisia tietojaovat henkilötiedot, jotka kuvaavat:• rotua tai etnistä alkuperää• henkilön yhteiskunnallista, poliittista tai uskon-
nollista vakaumusta• ammattiliittoon kuulumista• rikollista tekoa, rangaistusta tai muuta rikoksen
seuraamusta• henkilön terveydentilaa, sairautta, vammaisuutta
tai häneen kohdistettuja hoitotoimenpiteitä• henkilön seksuaalista suuntautumista tai käyttäy-
tymistä• henkilön sosiaalihuollon palveluja, tukitoimia ja
muita sosiaalihuollon etuuksia.
Selvitä erikseen oikeutesi käsitellä henkilötunnusta.
Henkilötunnuksen keräämisestä ja käsittelystä sää-detään lain 13 §:ssä. Henkilötunnuksen kerääminenon tarpeellista vain silloin, kun rekisteröidyn yksi-selitteinen yksilöiminen on välttämätöntä eli kuntiedot pitää voida luotettavasti erottaa toisten ihmis-ten tiedoista. Rekisterinpitäjänä sinun tulee huolehtiamyös siitä, ettei henkilötunnusta merkitä tarpeetto-masti henkilörekisterin perusteella tulostettuihin tailaadittuihin asiakirjoihin.
Tietojen virheettömyyden varmistaminenon sekä rekisterinpitäjän
että rekisteröidyn oikeusturvan tae.
6
9. HUOLEHDI REKISTERÖITYJEN OIKEUKSISTA– OLE AVOIN
Rekisteröidyllä on yleensä oikeus
• saada tarkastaa itseään koskevat tiedot sekä oikeusvaatia virheellisen tiedon oikaisua
• oikeus kieltää henkilötietojen käsittely:-suoramarkkinointiin (sekä myynnissä että muussasuoramarkkinoinnissa)
-markkina- ja mielipidetutkimukseen-henkilömatrikkeliin-sukututkimukseen
Rekisteröijän tulee informoida kielto-oikeudestahenkilötietojen keräämisen yhteydessä.
Tuotteiden ja palveluiden markkinointi sähköpostintai matkapuhelimen välityksellä on sallittua vainrekisteröidyltä etukäteen saadulla suostumuksella.
Tietojen antaminen henkilötietojen käsittelystä rakentaaluottamusta.
Huolehdi siitä, että rekisteröidyt saavat tiedon heistäkerättävien henkilötietojen käsittelystä. Jokaisella,jonka henkilötietoja kerätään yrityksen, viranomai-sen, yhteisön tai yhdistyksen henkilörekisteriin, onoikeus saada tietää, kuka on rekisterinpitäjä, mitätarkoitusta varten tietoja kerätään, mihin tietojasäännönmukaisesti luovutetaan sekä mitä hen-kilötietojen käsittelyyn liittyviä oikeuksia hänelläon ja miten oikeudet toteutetaan. Rekisterin-pitäjä on vastuussa informoinnin toteuttami-sesta.
Anna tiedot käsittelystä silloin kun henkilötiedotkerätään.
Rekisterinpitäjänä sinun tulee huolehtiasiitä, että rekisteröity voi saada tarvit-tavat tiedot siinä vaiheessa kun hen-kilötietoja kerätään. Esimerkiksi aina
ennen kuin henkilö antaa sähköisessä kaupassa tie-tojaan tai antaa viranomaiselle verkon kautta tietoja,hänen täytyy voida jo ennen omien henkilötietojensaantamista saada mahdollisuus tietää tietojensa käsit-telystä.
Jos henkilötietojen kerääminen perustuu henkilönsuostumukseen, hänelle pitää antaa tiedot kaikistasuostumuksen kannalta olennaisista seikoista. Suos-tumuksen antajan tulee tietää mihin suostuu.
Rekisteröidyillä on oikeus tarkastaa tietonsa ja vaatiatarvittaessa oikaisua.
Jokaisella on pyynnöstään yleensä oikeus saada tietää,mitä tietoja hänestä on tallennettu eri rekisterin-pitäjien henkilörekistereihin tai ettei rekisterissä olehäntä koskevia tietoja. Pyyntö esitetään henkilökoh-
taisesti rekisterinpitäjän luona tai omakäti-sesti allekirjoitetulla kirjeellä.
Kun rekisteröity arvioi tietojen olevan virheellisiä,hänellä on oikeus vaatia virheellisen tiedon korjaa-mista.
Henkilötietolaista löydät tarkemmat säännöksettarkastusoikeuden sisällöstä, tarkastusoikeuden to-teuttamistavasta sekä poikkeuksista tarkastusoikeu-teen samoin kuin myös säännökset virheen oikaisusta.
Tutustu myös tietosuojavaltuutetun toimiston koti-sivuihin.
Ole avoin
Laadi rekisteriseloste
Rekisterinpitäjän tulee laatia jokaisesta eri henki-lörekisteristä henkilötietolain 10 §:ssä kuvattu rekis-teriseloste. Pidä seloste jokaisen saatavilla. Rekisterise-losteet on hyvä liittää myös rekisterinpitäjän verkko-sivuille.
Kerro myös yleiset tietosuojaperiaatteet
Tietojen antaminen henkilötietojen käsittelystä onhyvää palvelua. Rekisterinpitäjän intressissä on useinmyös kertoa noudattamansa yleiset tietosuojaperiaat-teet esimerkiksi kotisivuillaan. Tässä yhteydessä ontarkoituksenmukaista viitata kutakin rekisteriä koske-viin tarkemmat tiedot sisältävään informointi- jarekisteriselosteeseen, jotka rekisterinpitäjällä tuleeolla saatavilla.
Tietosuojaperiaatteidenmäärittely kuluu hyväänpalveluun. Informointiedistää myös omaatoimintaasi.
10. ONKO SINULLA MYÖSILMOITUSVELVOLLISUUS?
Henkilötietolaki määrittelee myös ne toiminnat jakäsittelyt, joista täytyy tehdä ilmoitus tietosuojaval-tuutetulle. Ohjausta ja mallilomakkeita löydät muunmuassa tietosuojavaltuutetun kotisivuilta.
• Velvollisuus tehdä toimintailmoitus koskee esimer-kiksi tietojenkäsittelypalveluja tuottavia yrityksiä,perintätoimistoja ja henkilöarviointiyrityksiä, jotkatekevät työtään asiakkailleen, heiltä saamiensa toimeksiantojen mukaisesti.
• Automaattisesta henkilötietojen käsittelystä täytyytietyissä laissa erikseen säädetyissä tapauksissa tehdärekisteri-ilmoitus tietosuojavaltuutetulle. Lisäksi ilmoitus tulee tehdä aina hankkiessasi esimerkiksitietojenkäsittelypalveluja ulkopuolisilta yrityksiltä.
• Henkilötietolaissa on säännöksiä myös henkilötie-tojen siirtämisestä tai luovuttamisesta ulkomaille.Ilmoitusvelvollisuus koskee lähinnä tietojen siirtä-mistä Euroopan Unionin ulkopuolisiin maihin.
11. OHJAUS JA VALVONTA
Voit tarvittaessa pyytää ohjeita ja neuvoja tietosuoja-valtuutetun toimistosta
Ohjauspyynnön voit tehdä puhelimitse tai kirjallisesti.Voit käyttää tietosuojavaltuutetun laatimia malli-lomakkeita tai lähettää vapaamuotoisen kirjeen.Sähköpostilla vireille saatetut ohjauspyynnöt kirja-taan, mutta niihin on aina syytä liittää myös puhe-linnumero ja postiosoite vastauksen ja mahdollisenohjausaineiston toimittamista varten. Tarvittaessakysyjän alkuperä varmistetaan tai ohjauspyyntöpyydetään toimittamaan allekirjoitettuna.
8
Selvitä pulmat rekisteröidyn kanssa
Tavoitteena on, että rekisteröity ja rekisterinpitäjäselvittävät keskenään henkilötietojen käsittelyssäilmenneet epäselvyydet. Ellei asia näin selviä, rekis-teröidyt voivat pyytää tietosuojavaltuutettua tutki-maan menettelyn lainmukaisuutta.
Tietosuojavaltuutetun toimenpiteet
Lainvastaista menettelyä havaitessaan tietosuojaval-tuutettu pyrkii ensisijaisesti ohjein ja neuvoin vaikut-tamaan siihen, ettei lainvastaista menettelyä jatketatai uusita. Tarkastusoikeuden käyttöä tai tiedonkorjaamista koskevissa asioissa tietosuojavaltuutettuvoi rekisteröidyn pyynnöstä antaa myös määräyksenrekisterinpitäjälle.
Tarvittaessa tietosuojavaltuutetun on saatettava asiatietosuojalautalautakunnan päätettäväksi tai ilmoi-tettava asia syytteeseenpanoa varten.
Tietosuojavaltuutettu voi oma-aloitteisesti tarkastaakenen tahansa rekisterinpitäjän henkilötietojenkäsittelyt. Tässä toiminnassa samoin kuin yksittäisenasian selvittelyn yhteydessä tietosuojavaltuutetullaon oikeus saada salassa pidettäviä tietoja, joitaselvittelyssä tarvitaan.
Seuraamukset ja sanktiot
Henkilötietolainsäädännön vastaisesta menettelystävoi olla seurauksena myös• rikosoikeudellinen rangaistus• vahingonkorvausvastuu
Jokaisella, joka epäilee rekisterinpitäjän syyllistyneenrikoslaissa tai henkilötietolaissa määriteltyyn rikok-seen, on oikeus saattaa asia poliisin tutkittavaksi.Vahingonkorvausasiat käsittelee yleinen tuomioistuin,elleivät rekisterinpitäjä ja rekisteröity sovi korvauk-sesta keskenään.
Jos tietosuojalautakunta pitää henkilötietojen käsit-telyä lainvastaisena, se voi tietosuojavaltuutetunpyynnöstä antaa henkilötietojen käsittelyä koskeviamääräyksiä ja jopa kieltää tietyin rajoituksin henkilö-tietojen käsittelyn. Tietosuojalautakunnan päätöksestäsamoin kuin tietosuojavaltuutetun tekemästä tarkas-tusoikeuden käyttöä ja virheen korjaamista koskevastamääräyksestä voidaan hakea muutosta asianomaiseltahallinto-oikeudelta.
9
10
TARKISTUSLISTA HENKILÖTIETOJEN KÄSITTELYÄ SUUNNITTELEVAN AVUKSI
Kun suunnittelet henkilötietojen keräämistä, sinunkannattaa muistaa ainakin seuraavat 13 työvaihetta.Tarkempia tietoja saat tietosuojavaltuutetun verkko-sivuilta.
1 Määrittele henkilötietojen keräämisen ja käsittelyn tarkoitus
• Henkilötietojen käsittelyn tarkoitus määritelläänsiten, että määrittelystä käy ilmi, minkä rekisterin-pitäjän tehtävää varten tietoja kerätään ja käsitel-lään.
• Arvioi ennen määrittelyä, edellyttääkö tehtävänhoito henkilöiden tunnistamistietojen keräämistä,vai riittäisivätkö ilman tunnisteita olevat tiedot.
2 Analysoi, kirjaa muistiin ja kuvaa tehtävän hoitoon liittyvät henkilötietojen käsittelyt ja niihin liittyvät menettelyt.
• Selvitä, mitä henkilötietoja, mitä tarkoitusta vartenja millä tavoin kyseisen tehtävän hoidossa on tarpeen kerätä, käyttää, luovuttaa, säilyttää tai muutoin käsitellä tietoja.
• Selvitä ja arvioi jo tässä yhteydessä, onko tehtävänhoidossa tarpeen hankkia palveluja ulkopuolisilta.Selvitä vastuut ja tee palvelujen tuottajan kanssaselkeä kirjallinen sopimus.
• Arvioi myös tietosuojariskit ja varmista, että tietojen suojaamisesta ja tietoturvasta voidaan huolehtia.
3 Varmista henkilötietojen käsittelyn lainmukaisuus.
• Tarkista laatimasi kuvauksen perusteella erikseen,että kaikki käsittelyvaiheet ovat henkilötietolainja mahdollisten erityissäännösten mukaisia.
• Varmistu myös siitä, että rekisteröityjen oikeudettoteutetaan lainmukaisesti.
4 Huolehdi tietojen laadusta javirheettömyydestä.
• Huolehdi siitä, että kaikissa käsittelyn vaiheissa keräämisestä aina säilyttämiseen saakka käsitelläänvain kussakin tarkoituksessa ja tehtävässä tarpeel-lisia ja virheettömiä tietoja.
• Varmista lisäksi, ettei henkilötietolaissa tarkoitettujaarkaluonteisia henkilötietoja kerätä tai käsitellä lainvastaisesti.
5 Varmistu henkilötietojen suojaamisesta.
• Muista, että henkilötiedot kaikissa käsittelyvai-heissa on suojattava ulkopuolisilta henkilötietolainja mahdollisten salassapitosäännösten edellyttä-mällä tavalla.
6 Selvitä rekisteröityjen oikeudet.
• Suunnittele ja organisoi näiden oikeuksien toteut-taminen.
11
7 Varmistu hyvän tietojenkäsittelytavantoteutumisesta.
• Rekisteröityjen yksityisyyttä ei saa perusteettomastivaarantaa. Varmista tämän periaatteen toteutumi-nen jo suunnitteluvaiheessa, myös tietojärjestel-mien suunnittelussa.
8 Laadi rekisteriseloste ja pidä se saatavilla.
• Jokaisella on oikeus pyytäessään saada nähtäväksirekisteriselosteet rekisterinpitäjien pitämistä hen-kilörekistereistä.
• Rekisteriselosteeseen on hyvä lisätä myös infor-mointivelvoitteen edellyttämät tiedot, jolloin näintäydennettyä rekisteriselostetta voidaan käyttää apuna informoinnissa (yhdistetty rekisteriseloste-
ja informointilomake).
9 Selvitä, onko henkilötietojen käsittelystä tehtävä ilmoitus tietosuojavaltuutetulle.
• Voit käyttää apuna tietosuojavaltuutetun laatimiaohjeita ja malleja.
10 Huolehdi siitä, että henkilötietojen käsittelynvastuut ja niihin liittyvät tehtävät on määri-telty.
• Ainakin isommille organisaatioille on hyvä nimetätietosuojavastaava tai tietosuojasta vastaava ryhmä.
11 Laadi tietosuoja-ohjeet.
• Huolehdi siitä, että henkilöstöllä on riittävät ohjeet ja tiedot henkilötietojen käytöstä ja käsit-telystä ja tietojärjestelmien toimintaperiaatteistasekä siitä, miten henkilötietojen käsittelyvastuuton määritelty.
12 Seuraa henkilötietojen käsittelyn toimivuutta.
• Huolehdi epäkohtien ja virheiden korjaamisesta.Muista, että kyseessä on myös oman toiminnan varmistaminen.
13 Huolehdi tietojen käytön valvomisesta.
• Varmista, että myös tietojärjestelmiä käytettäessähenkilötietojen käyttöä ja käsittelyä voidaan valvoaja myös käytännössä valvotaan.
• Määrittele sanktiot määräysten ja säännösten vastaisesta henkilötietojen käytöstä.
HYVIN SUUNNITELTU ON PUOLIKSI TEHTY.HYVIN SUUNNITELTU ON PUOLIKSI TEHTY.
Tietosuojavaltuutetun verkkosivuiltawww.tietosuoja.fi löydät mm.
• tietoja tietosuojavaltuutetun toiminnasta ja tehtävistä• ohjeita, tiedotteita, malleja ja mallilomakkeita
• tämän esitteen verkkoversion
Sivuilta voit tulostaa myös henkilötietolain ja muita tärkeitähenkilötietojen käsittelyä koskevia lakitekstejä.
Voit tilata aineistoa myös puhelimitse tai postitse.
TIETOSUOJAVALTUUTETUN TOIMISTOKäyntiosoite: Albertinkatu 25 A 3 krs, 00180 Helsinki
Postiosoite: PL 315, 00181 HelsinkiTelefax (09) 1606 7835
Puhelin: (09) 16 003Huom! Uusi puhelinnumero 1.12.2002 lähtien;
uusi numero (09) 259 8771www.tietosuoja.fi
TIETOSUOJAVALTUUTETUN TOIMISTO
