Rekisterinpitäjä on henkilö tai organisaatio, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjillä on ensisijainen vastuu tietosuojalakien ja -asetusten noudattamisesta, ja he ovat vastuussa siitä, että rekisteröityjen oikeuksia kunnioitetaan.
Henkilötietojen käsittelijä on henkilö tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Se on vastuussa tietojenkäsittelytoimien suorittamisesta rekisterinpitäjän antamien ohjeiden mukaisesti, ja sen on noudatettava tietosuojaa koskevia lakeja ja asetuksia tehtäviään suorittaessaan.
Tietosuojavastaava on organisaatiossa nimetty henkilö, joka vastaa organisaation tietosuojastrategian valvonnasta ja tietosuojalaitosten ja -määräysten noudattamisen varmistamisesta. Tietosuojavastaava toimii yhteyshenkilönä organisaation, rekisteröityjen ja sääntelyviranomaisten välillä ja antaa ohjeita ja neuvoja tietosuoja-asioissa.
Rekisteröity on tunnistettavissa oleva luonnollinen henkilö, jota henkilötiedot koskevat. Rekisteröidyt ovat henkilöitä, joiden henkilötietoja rekisterinpitäjä tai henkilötietojen käsittelijä kerää, käsittelee, tallentaa tai muuten käyttää. Rekisteröidyillä on tietosuojalakien ja -asetusten nojalla erityisiä oikeuksia, kuten oikeus saada pääsy henkilötietoihinsa, oikaista ja poistaa niitä tai rajoittaa niiden käsittelyä.
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jota kutsutaan myös rekisteröidyksi. Näitä voivat olla suorat tunnistetiedot, kuten nimet, henkilötunnukset tai osoitteet, sekä epäsuorat tunnistetiedot, kuten IP-osoitteet, sijaintitiedot tai muut kyseisen henkilön fyysiseen, fysiologiseen, geneettiseen, psyykkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvät tekijät.
Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan käyttäjän laitteeseen (esim. tietokoneeseen, älypuhelimeen tai tablettiin), kun hän vierailee verkkosivustolla. Evästeiden avulla muistetaan käyttäjän asetukset, hallitaan online-istuntoja ja kerätään tietoa käyttäjän käyttäytymisestä käyttäjäkokemuksen parantamiseksi ja yksilöllisen sisällön tarjoamiseksi. Evästeet voidaan luokitella ensimmäisen osapuolen evästeisiin, jotka on asettanut vierailtu verkkosivusto, ja kolmannen osapuolen evästeisiin, jotka on asettanut eri verkkotunnus kuin vierailtu verkkosivusto.
Tietosuojan yhteydessä sidosyrityksellä tarkoitetaan organisaatiota, joka on yhteydessä toiseen organisaatioon tai yhteisen omistuksen tai määräysvallan alaisena toisen organisaation kanssa, yleensä emoyhtiön tai tytäryhtiön kautta. Sidosyritykset jakavat usein tietosuojavastuut, -käytännöt ja -menettelyt varmistaakseen henkilötietojen johdonmukaisen ja vaatimustenmukaisen käsittelyn koko konsernissa.
Euroopan unionin yleinen tietosuoja-asetus (EU GDPR) on vuonna 2018 käyttöön otettu kattava tietosuojalainsäädäntö, jonka tavoitteena on suojella henkilötietoja ja yksityisyyttä EU:ssa ja ETA:ssa. Siinä asetetaan periaatteet ja vaatimukset henkilötietoja kerääville, käsitteleville ja tallentaville organisaatioille, mukaan lukien käyttäjän suostumuksen hankkiminen, tietojen siirrettävyyden mahdollistaminen ja tietoturvan varmistaminen.
Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus (UK GDPR) on Yhdistyneen kuningaskunnan versio EU:n tietosuoja-asetuksesta, joka tuli voimaan Yhdistyneen kuningaskunnan EU-eron jälkeen. Sillä on monia yhtäläisyyksiä EU:n yleisen tietosuoja-asetuksen kanssa, ja sen tavoitteena on suojella yksilöiden henkilötietoja ja yksityisyyttä Yhdistyneessä kuningaskunnassa ja asettaa vaatimuksia organisaatioille, jotka keräävät, käsittelevät ja tallentavat henkilötietoja.
Kalifornian yksityisyyden suojaa koskeva laki (California Privacy Rights Act, CPRA) on Kaliforniassa, Yhdysvalloissa, vuonna 2020 säädetty yksityisyyden suojaa koskeva laki. Sillä muutetaan ja laajennetaan Kalifornian kuluttajan yksityisyyden suojaa koskevaa lakia (California Consumer Privacy Act, CCPA), jotta Kalifornian asukkaiden yksityisyyden suojaa voidaan suojella entistä paremmin ottamalla käyttöön uusia oikeuksia, vahvistamalla nykyisiä oikeuksia ja perustamalla Kalifornian yksityisyyden suojaa valvova virasto (California Privacy Protection Agency, CPPA).
Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki (Personal Information Protection and Electronic Documents Act, PIPEDA) on Kanadan liittovaltion tietosuojalaki, joka sääntelee henkilötietojen keräämistä, käyttöä ja luovuttamista kaupallisessa toiminnassa. Siinä vahvistetaan säännöt, joita organisaatioiden on noudatettava käsitellessään henkilötietoja, mukaan lukien suostumuksen hankkiminen, henkilötietojen saatavuuden takaaminen ja tietoturvan varmistaminen.
Nämä ovat pieniä tekstitiedostoja tai muita tekniikoita, kuten verkkomajakoita, pikselitunnisteita ja paikallista tallennusta, jotka tallennetaan käyttäjän laitteeseen, kun hän vierailee verkkosivustolla tai käyttää verkkopalvelua. Niiden avulla verkkosivustot voivat tunnistaa käyttäjät, muistaa heidän mieltymyksensä, seurata heidän toimintaansa ja tarjota henkilökohtaista sisältöä ja mainoksia.
Tämä termi viittaa tapoihin, joilla organisaatiot keräävät, käsittelevät ja käyttävät henkilötietoja eri tarkoituksiin, kuten palvelujen tarjoamiseen, käyttäjäkokemuksen parantamiseen, yhteydenpitoon käyttäjien kanssa ja lakisääteisten velvoitteiden noudattamiseen. Organisaatioiden on julkistettava tietojen käyttökäytäntönsä tietosuojakäytännöissään, jotta käyttäjät saavat tietoa siitä, miten heidän henkilötietojaan käytetään.
Tämä käsite, joka esiintyy tietosuojasäännöksissä, kuten EU:n GDPR:ssä ja Yhdistyneen kuningaskunnan GDPR:ssä, edellyttää, että organisaatioilla on oltava pätevä oikeudellinen peruste henkilötietojen keräämiselle, käsittelylle ja säilyttämiselle. Esimerkkejä laillisista perusteista ovat käyttäjän suostumus, sopimuksellinen välttämättömyys, oikeudelliset velvoitteet, elintärkeät edut, yleinen etu ja oikeutetut edut. Organisaatioiden on määritettävä ja dokumentoitava laillinen peruste kullekin käsittelytoiminnalle.