Mitä tietoja voidaan käsitellä ja millä ehdoilla?

Vastaus

Yrityksessä/organisaatiossa käsiteltävien henkilötietojen tyyppi ja määrä riippuvat käsittelyn tarkoituksesta (laillinen tarkoitus) ja käytöstä. Yrityksen/organisaation on noudatettava muun muassa seuraavia tärkeitä sääntöjä:

• henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja yksilön kannalta läpinäkyvästi ('lainmukaisuus, kohtuullisuus ja läpinäkyvyys')
• tietojenkäsittelylle pitää olla erityinen tarkoitus, joka yrityksen/organisaation on ilmoitettava yksilöille heidän henkilötietojensa keräämisen yhteydessä. Henkilötietoja ei voi vain kerätä määrittelemättömään tarkoitukseen ('käyttötarkoitussidonnaisuus')
• yritys/organisaatio saa kerätä ja käsitellä vain niitä henkilötietoja, jotka ovat välttämättömiä tarkoituksen täyttämiseksi ('tietojen minimointi')
• yrityksen/organisaation on varmistettava, että henkilötiedot ovat täsmällisiä ja päivitettyjä käsittelyn tarkoituksiin nähden ja tiedot on korjattava tarvittaessa ('täsmällisyys')
• yritys/organisaatio ei saa käyttää henkilötietoja muihin tarkoituksiin, jotka eivät ole yhteensopivia sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin
• yrityksen/organisaation on varmistettava, että henkilötietoja ei säilytetä pidempään kuin on välttämätöntä siihen tarkoitukseen, jota varten tiedot alun perin kerättiin ('säilyttäminen rajoittaminen')
• yrityksen/organisaation on varmistettava henkilötietojen asianmukainen turvallisuus mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia suojatoimia ('eheys ja luottamuksellisuus').

Esimerkki

Yrityksesi/organisaatiosi on matkatoimisto. Kun keräät asiakkaidesi henkilötietoja, sinun on selitettävä heille selkeällä ja yksinkertaisella kielellä, miksi tarvitset tietoja, miten käytät niitä ja kuinka pitkään aiot säilyttää niitä. Käsittely pitää järjestää niin, että tärkeimpiä tietosuojaperiaatteita noudatetaan.

Viitteet

• Artiklat 5 (1); johdanto-osan kappale 39
• Artiklan 29 mukaisen työryhmän lausunto 03/2013 käyttötarkoitussidonnaisuudesta (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)