Table of Contents 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Yrittäjän tietosuojaopas 2018

1 YRITTÄJÄN TIETOSUOJAOPAS  Omat muistiinpanot: YRITTÄJÄN TIETOSUOJAOPAS

2 YRITTÄJÄN TIETOSUOJAOPAS  Omat muistiinpanot: SISÄLLYSLUETTELO 1. JOHDANTO 3 2. SANASTO 4 Henkilötieto_ _________________________ 4 Henkilötietojen käsittely_ ______________ 4 Rekisteri_____________________________ 5 Rekisterinpitäjä_ ______________________ 5 Rekisteröity_ _________________________ 5 Henkilötietojen käsittelijä ______________ 5 Profilointi_ ___________________________ 5 Anonymisointi_ _______________________ 6 Pseudonymisointi_____________________ 6 Suostumus___________________________ 6 Tietoturvaloukkaus____________________ 6 Geneettiset tiedot______________________7 Biometriset tiedot______________________7 Henkilötietoryhmä_ ____________________7 Erityiset henkilötietoryhmät_____________7 Valvontaviranomainen__________________7 3. HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET 8 4. KUUSI SYYTÄ HENKILÖTIETOJEN KÄSITTELYYN 9 Suostumus__________________________ 10 Oikeutettu etu_ ______________________ 10 Suoramarkkinointi_ __________________ 10 Sopimus_ ____________________________ 11 Lakisääteinen velvoite_ ________________ 11 Elintärkeä etu_________________________ 11 Julkinen tehtävä_ _____________________ 11 5. ERITYISET HENKILÖTIETORYHMÄT ELI ARKALUONTEISET TIEDOT 12 6. REKISTERÖITYJEN OIKEUDET 14 Oikeus saada tietoa henkilötietojen käsittelystä___________________________15 Oikeus tietojen oikaisemiseen_ _________16 Oikeus tulla unohdetuksi_______________16 Oikeus siirtää tiedot järjestelmästä toiseen_17 Oikeus rajoittaa tietojen käsittelyä_ _____17 Oikeus vastustaa käsittelyä_ ___________18 Oikeus olla joutumatta profiloinnin kohteeksi__________________18 7. KUN TIETOJA KERÄTÄÄN REKISTERÖIDYLTÄ 20 8. KUN TIETOJA EI OLE SAATU REKISTERÖIDYLTÄ ITSELTÄÄN 22 9. HENKILÖTIETOJEN KÄYTTÖ MUUHUN TARKOITUKSEEN 23 10. SELOSTE KÄSITTELYTOIMISTA 24 11. SUORAMARKKINOINTI 25 Perinteinen suoramarkkinointi_________ 25 Ulkoistettu suoramarkkinointi_ ________ 25 Sähköinen suoramarkkinointi__________ 26 12. TIETOJENKÄSITTELYN ULKOISTAMINEN 27 Tietojenkäsittelysopimuksessa tulisi sopia vähintään seuraavista asioista____ 27 13. TIETOJEN SIIRTÄMINEN EU:N ULKOPUOLELLE 29 14. TIETOSUOJAVASTAAVA 31 Tietosuojavastaavan nimittäminen______31 Tietosuojavastaavan asema ja tehtävät_ 32 15. KÄSITTELYN TURVALLISUUS 34 Vaikutustenarviointi_ _________________ 34 16. TIETOTURVALOUKKAUKSET 35 Tietosuojaloukkauksesta ilmoittaminen valvontaviranomaiselle_ ______________ 35 Tietosuojaloukkauksesta ilmoittaminen rekisteröidylle_ ______________________ 36 17. SANKTIOT JA SAKOT 37 Rikkomuksista hallinnollisia sakkoja____ 37 18. KÄYTÄNNÖN TOIMENPITEITÄ YRITTÄJILLE 38

3 YRITTÄJÄN TIETOSUOJAOPAS Johdanto Omat muistiinpanot: 1. JOHDANTO Tietosuoja-asetus tulee voimaan toukokuussa 2018. Siitä alkaen henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Tämä ohje auttaa yrittäjiä toimimaan uuden tietosuojalain mukaisesti. Tietosuoja-asetuksesta (jäljempänä ”tietosuoja-asetus” tai ”asetus”) käytetään myös nimitystä GDPR eli General Data Protection Regulation. Sen tarkoituksena on ajantasaistaa tietosuojan sääntelyä. Teknologia on kehittynyt niin paljon, että tietosuojasta huolehtimiseen tarvitaan uudenlaista sääntelyä. Tietosuoja-asetuksen tavoitteena on, että kansalaiset voivat hallita tietojaan paremmin. Asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Säännöt ovat samat kaikille EU:ssa toimiville yrityksille kotipaikasta riippumatta. Asetusta täydentää työelämän tietosuojalaki, jonka yhteensopivuutta tietosuoja-asetukseen arvioi työ- ja elinkeinoministeriön asettama työryhmä. Arvio annetaan keväällä 2018. VOIT LIITTYÄ SUOMEN YRITTÄJIEN JÄSENEKSI TÄÄLLÄ: www.yrittajat.fi/liity Tietosuojaoppaan on laatinut asiantuntija, varatuomari Petri Holopainen, Suomen Yrittäjät.

4 YRITTÄJÄN TIETOSUOJAOPAS Sanasto Omat muistiinpanot: 2. SANASTO Henkilötieto Henkilötiedolla tarkoitetaan luonnollista henkilöä (jäljempänä ”rekisteröity”) tai hänen ominaisuuksiaan kuvaavia tietoja. Lisäksi sillä tarkoitetaan rekisteröidyn elinolosuhteita kuvaavia merkintöjä, jotka voidaan yhdistää häneen, hänen perheeseensä tai hänen kanssaan yhteisessä taloudessa eläviin henkilöihin. Kyse voi olla esimerkiksi asiakkaiden, työntekijöiden tai yrityskontaktien henkilötiedoista, kuten nimestä, osoitteesta, puhelinnumerosta tai mistä tahansa muusta tiedosta, jonka voi liittää tiettyyn henkilöön. Henkilötietojen käsittely Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen ĥĥ keräämistä ĥĥ tallentamista ĥĥ järjestämistä ĥĥ jäsentämistä ĥĥ säilyttämistä ĥĥ muokkaamista tai muuttamista ĥĥ hakemista (esim. tietokannasta) ĥĥ kyselyä (esim. etsi sivulta -tyyppinen haku) ĥĥ käyttämistä Henkilötietojen käsittelyä on myös tietojen luovuttaminen ĥĥ levittämällä ĥĥ asettamalla ne muutoin saataville. Käsittely tarkoittaa myös tietojen ĥĥ käytön rajoittamista. JATKUU SEURAAVALLA SIVULLA 

5 YRITTÄJÄN TIETOSUOJAOPAS Sanasto Omat muistiinpanot: Rekisteri Rekisterillä tarkoitetaan mitä tahansa henkilötietoja sisältävää jäsenneltyä tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Tämä tarkoittaa sitä, että rekisterissä olevan tiedon ei fyysisesti tarvitse olla samassa paikassa, vaan henkilötiedot voivat olla myös hajallaan esimerkiksi eri tietokoneilla ja eri maissa. Teknisesti rekisteri voi olla esimerkiksi paperinen rekisteri, Excel-tiedosto tai asiakastietojen hallintaan käytetty ohjelmisto. Rekisterinpitäjä Rekisterinpitäjä on yritys, joka säilyttää henkilötietoja ja jolla on oikeus määrätä henkilörekisterin käytöstä. Rekisteröity Rekisteröity tarkoittaa henkilöä, jonka tietoja on tallennettu rekisteriin. Henkilötietojen käsittelijä ĥĥ itsenäinen elinkeinon- tai toiminnanharjoittaja, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä on itsenäinen elinkeinon- tai toiminnanharjoittaja, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällaisesta on kysymys esimerkiksi silloin, kun yritys siirtää työntekijätietoja palkanmaksusta vastaavalle tilitoimistolle. Tällöin henkilötietojen katsotaan siirtyvän henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Profilointi Profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia. Profiloinnista puhutaan erityisesti, kun analysoidaan tai ennakoidaan piirteitä, jotka liittyvät henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksenkohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkumiseen. JATKUU SEURAAVALLA SIVULLA 

6 YRITTÄJÄN TIETOSUOJAOPAS Sanasto Omat muistiinpanot: Anonymisointi Anonymisointi tarkoittaa henkilötiedon tunnistettavuuden muuttamista siten, että sitä ei voida enää yhdistää rekisteröityyn. Anonymisoidut tiedot eivät ole henkilötietoja. Pseudonymisointi Pseudonymisoinnilla tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää suoraan tiettyyn rekisteröityyn eli rekisterissä olevaan henkilöön. Yhdistäminen voi olla mahdollista lisätietojen avulla, mutta lisätiedot on säilytettävä erillään varsinaisesta rekisteristä. Teknisillä ja organisatorisilla keinoilla pitää varmistaa, ettei rekisterin tietoja voi yhdistää tunnistettuun tai tunnistettavissa olevaan henkilöön. Tekninen keino voi olla esimerkiksi ohjelmiston käyttö, kun ohjelmiston avulla varmistetaan, ettei tietoja voi yhdistää. Organisatorisilla keinoilla tarkoitetaan työolojen tai työtehtävien järjestelyä siten, ettei henkilötietoja päästä yhdistämään. Suostumus Rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Tahdonilmaisu voi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla tai täyttäessään paperilomaketta. Tietoturvaloukkaus Henkilötietojen tietoturvaloukkauksella tarkoitetaan sellaista tapahtumaa, jonka seurauksena siirrettyjä, tallennettuja tai muuten käsiteltyjä henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää tai muuttuu. Tietoturvaloukkaukseksi katsotaan myös tietojen luvaton luovuttaminen sekä luvaton pääsy tietoihin. JATKUU SEURAAVALLA SIVULLA 

7 YRITTÄJÄN TIETOSUOJAOPAS Sanasto Omat muistiinpanot: Geneettiset tiedot Geneettisillä tiedoilla tarkoitetaan henkilötietoja, jotka koskevat henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia. Geneettisistä tiedoista selviää yksilöllistä tietoa henkilön fysiologiasta tai terveydentilasta. Geneettiset tiedot saadaan biologisesta näytteestä analysoimalla. Biometriset tiedot Biometrisillä tiedoilla tarkoitetaan kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai tunnistaminen voidaan varmistaa. Biometrisiä tietoja ovat esimerkiksi kasvokuvat ja sormenjäljet. Henkilötietoryhmä Henkilötietoryhmällä tarkoitetaan tiettyä samankaltaista tietojoukkoa. Tällaisia ovat esimerkiksi työntekijöitä koskevat tiedot tai asiakkaita koskevat tiedot. Erityiset henkilötietoryhmät Tietosuojalaissa termillä erityiset henkilötietoryhmät tarkoitetaan arkaluonteisia tietoja, joista ilmenee Valvontaviranomainen Valvontaviranomainen valvoo lain noudattamista. Tämän ohjeen kirjoittamishetkellä tietosuojalain valvontaviranomainen on tietosuojavaltuutetun toimisto. Viranomainen saattaa vaihtua tulevaisuudessa tai sen nimi saattaa muuttua. ĥĥ rotu tai etninen alkuperä ĥĥ poliittinen mielipide ĥĥ uskonnollinen tai filosofinen vakaumus ĥĥ ammattiliiton jäsenyys ĥĥ terveydentila ĥĥ seksuaalinen käyttäytyminen ja suuntautuminen ĥĥ geneettinen tai biometrinen informaatio, josta henkilön voi tunnistaa.

8 YRITTÄJÄN TIETOSUOJAOPAS Henkilötietojen käsittelyn periaatteet Omat muistiinpanot: 3. HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET Henkilötietojen käsittelyssä on noudatettava tietosuojaperiaatteita. Tiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla. Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Henkilötietojen on oltava rekisterin käyttötarkoituksen kannalta asianmukaisia, olennaisia ja tarpeellisia. Henkilötietojen käsittelyssä on varmistettava turvallisuus. Tiedot on suojattava luvattomalta ja lainvastaiselta käsittelyltä. Rekisterinpitäjän on varmistettava, että tiedot eivät häviä, tuhoudu tai vahingoitu vahingossa. Suojaamisessa on käytettävä asianmukaisia teknisiä tai organisatorisia toimia. Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyn periaatteita on noudatettu. Tarpeen vaatiessa hänen on pystyttävä osoittamaan se. Näyttönä voi toimia dokumentaatio, kuten selosteet, ohjeet ja sopimukset.  Katso tietosuoja-asetuksen artikla 5.

9 YRITTÄJÄN TIETOSUOJAOPAS Kuusi syytä henkilötietojen käsittelyyn Omat muistiinpanot: 4. KUUSI SYYTÄ HENKILÖTIETOJEN KÄSITTELYYN Tietosuoja-asetuksessa määritellään kuusi syytä, joiden perusteella henkilötietoja saa laillisesti käsitellä. Vähintään yhden näistä kuudesta edellytyksestä tulee täyttyä:  Katso tietosuoja-asetuksen artikla 6. 1. 2. 3. 4. 5. JATKUU SEURAAVALLA SIVULLA  6. suostumus oikeutettu etu sopimus lakisääteinen velvoite elintärkeä tai yleinen etu julkinen tehtävä

10 YRITTÄJÄN TIETOSUOJAOPAS Kuusi syytä henkilötietojen käsittelyyn Omat muistiinpanot: Suostumus Suostumus tarkoittaa, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Rekisterinpitäjän tulee dokumentoida saatu suostumus, koska se pitää pystyä todentamaan. Suostumus tulee antaa tarkoituksellisesti, eli sitä ei voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jotakin tekemättä. Lasten tietojen käsittely Tietosuoja-asetus antaa erityistä suojaa lasten henkilötiedoille. Se poikkeaa siten henkilötietolain määräyksistä. Tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle on sallittu ainoastaan, jos lapsi on vähintään 16-vuotias. Alle 16-vuotiaan lapsen henkilötietoja saa käsitellä vain huoltajan suostumuksella. Tietoyhteiskunnan palvelut tarkoittavat etänä, sähköisesti, pyynnöstä ja vastiketta vastaan tarjottavia palveluja. Katso tietosuoja-asetuksen artiklat 7 ja 8. Oikeutettu etu Henkilötietojen käsittelyn perusteena voi olla oikeutettu etu. Tämä tarkoittaa sitä, että rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen ja merkityksellinen suhde, kuten jäsenyys, asiakkuus tai työsuhde. Oikeutettuja etuja arvioitaessa tulee ottaa huomioon rekisteröidyn perusoikeudet ja vapaudet, jotka saattavat syrjäyttää tällaiset edut, erityisesti silloin, jos rekisteröity on lapsi. Tällöin lapsesta kerättyjä tietoja kerättyjä tietoja ei saa käyttää laajempaan tarkoitukseen kuin voidaan katsoa käyttötarkoituksen perusteella tarpeelliseksi. Suoramarkkinointia voi tehdä oikeutetun edun perusteella.EU:ssa valmistellaan sähköisen viestinnän tietosuoja-asetusta, jossa säädellään evästeiden käytöstä ja sähköisestä suoramarkkinoinnista. Ennen tämän uuden asetuksen tuloa tietoyhteiskuntakaaressa säännellään sähköisestä suoramarkkinoinnista, ja tähän vaaditaan suostumus etukäteen. Suoramarkkinointia harjoittavien yritysten kannattaa siis seurata lainsäädännön kehitystä. Suoramarkkinoinnista kerrotaan lisää luvussa 11. JATKUU SEURAAVALLA SIVULLA 

11 YRITTÄJÄN TIETOSUOJAOPAS Kuusi syytä henkilötietojen käsittelyyn Omat muistiinpanot: Sopimus Henkilötietojen käsittely on lainmukaista, kun se on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena. Henkilötiedon käsittely sopimuksen täytäntöön panemiseksi tarkoittaa käytännössä esimerkiksi lehtiyhtiölle annetun osoitteen käyttämistä, jotta lehti voidaan toimittaa rekisteröidylle. Lakisääteinen velvoite Henkilötietojen käsittely on sallittua, kun se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Tällöin ei tarvita erikseen rekisteröidyn suostumusta. Lakisääteinen velvoite on kyseessä myös silloin, kun työnantaja ilmoittaa työntekijöiden palkkatiedot veroviranomaisille. Esimerkiksi osakeyhtiön on osakeyhtiölain perusteella pidettävä osakasluetteloa, jolloin tätä koskevien henkilötietojen käsittely on tarpeen. Elintärkeä tai yleinen etu Henkilötietoja voidaan käsitellä silloin, kun käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. Tällainen tarkoitus voi olla esimerkiksi ihmishenkien suojeleminen luonnonkatastrofin yhteydessä. Yritys voi käsitellä henkilötietoja varoittaakseen ihmisiä esimerkiksi hyökyaallosta. Julkinen tehtävä Henkilötietoja voidaan käsitellä julkisen tehtävän suorittamiseksi.  Katso tietosuoja-asetuksen artikla 6.

12 YRITTÄJÄN TIETOSUOJAOPAS Erityisethenkilötietoryhmäteliarkaluonteisettiedot Omat muistiinpanot: 5. ERITYISET HENKILÖTIETORYHMÄT ELI ARKALUONTEISET TIEDOT Tietosuojalaissa termillä erityiset henkilötietoryhmät tarkoitetaan arkaluonteisia tietoja, joista ilmenee ĥĥ rotu tai etninen alkuperä ĥĥ poliittinen mielipide ĥĥ uskonnollinen tai filosofinen vakaumus ĥĥ ammattiliiton jäsenyys ĥĥ terveydentila ĥĥ seksuaalinen käyttäytyminen ja suuntautuminen ĥĥ geneettinen tai biometrinen informaatio, josta henkilön voi tunnistaa. Pääsääntöisesti arkaluonteisten tietojen käsittely on kiellettyä. Rekisteröidyn suostumus ei kumoa lakiin perustuvaa käsittelykieltoa. Arkaluonteisia tietoja saa käsitellä seuraavissa tapauksissa: ĥĥ Rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten. Tietoja ei kuitenkaan voi käsitellä, jos käsittely on kielletty lainsäädännössä. Rekisteröidyn suostumus ei kumoa lakiin perustuvaa käsittelykieltoa. ĥĥ Käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. ĥĥ Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan. JATKUU SEURAAVALLA SIVULLA 

13 YRITTÄJÄN TIETOSUOJAOPAS Erityisethenkilötietoryhmäteliarkaluonteisettiedot Omat muistiinpanot: ĥĥ Käsittely tapahtuu poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin. ĥĥ Käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi esimerkiksi kirjoittamalla blogissa omista terveystiedoistaan ĥĥ Käsittely on tarpeen Euroopan unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. ĥĥ Käsittely on tarpeen tärkeää yleistä etua koskevasta syystä. ĥĥ Käsittely on tarpeen ennalta ehkäisevää terveydenhuoltoa tai työterveydenhuoltoa varten. ĥĥ Käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi. ĥĥ Käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. ĥĥ Kun tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus.  Katso tietosuoja-asetuksen artikla 9.

14 YRITTÄJÄN TIETOSUOJAOPAS Rekisteröityjen oikeudet Omat muistiinpanot: 6. REKISTERÖITYJEN OIKEUDET Tietosuoja-asetuksessa on säädetty rekisteröityjen oikeuksista. Rekisteröidyn oikeudet tarkoittavat rekisterinpitäjälle velvollisuuksia. Rekisteröidyllä on oikeus Yrittäjän on ilmoitettava henkilötiedon oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä aiheuttaa kohtuutonta vaivaa. Yrittäjän on ilmoitettava rekisteröidyille näistä vastaanottajista, jos rekisteröity sitä pyytää.  Katso tietosuoja-asetuksen artiklat 12, 15–20. 1. 2. 3. 4. 5. 6. saada läpinäkyvästi tietoa henkilötietojen käsittelystä saada pääsy omiin tietoihin tietojen oikaisemiseen tulla unohdetuksi, eli tietojen poistamiseen siirtää tiedot järjestelmästä toiseen rajoittaa tietojen käsittelyä JATKUU SEURAAVALLA SIVULLA 

15 YRITTÄJÄN TIETOSUOJAOPAS Rekisteröityjen oikeudet Omat muistiinpanot: Oikeus saada tietoa henkilötietojen käsittelystä Rekisteröidyllä on aina oikeus saada tietää, käsitteleekö yritys hänen tietojaan. Jos tietoja käsitellään, on rekisteröidyllä oikeus saada tietoonsa hänestä tallennetut henkilötiedot sekä saada seuraavat tiedot: ĥĥ käsiteltävät henkilötietoryhmät ĥĥ vastaanottajat tai vastaanottajaryhmät, joille yritys on luovuttanut henkilötietoja tai joille tietoja on tarkoitus luovuttaa ĥĥ mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos säilytysaikaa ei voi ilmoittaa, tämän ajan määrittämiskriteerit ĥĥ kaikki tietojen alkuperästä käytettävissä olevat tiedot, jos henkilötietoja ei kerätä rekisteröidyltä ĥĥ ilmoitus henkilötiedon siirtoa EU:n ulkopuolelle koskevista asianmukaisista toimista ĥĥ automaattisen päätöksenteon (mukaan lukien profiloinnin) olemassaolo, keskeiset tiedot tietojen käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyydestä ja mahdollisista seurauksista rekisteröidyille. Lisäksi rekisteröidylle tulee kertoa, että hänellä on oikeus ĥĥ pyytää rekisterinpitäjältä häntä koskevien henkilötietojen oikaisemista, poistamista tai henkilötietojen käsittelyn rajoittamista ĥĥ tehdä valitus valvontaviranomaiselle. Pääsy tietoihin toteutetaan siten, että rekisteröidylle toimitetaan jäljennös käsiteltävistä henkilötiedoista sekä tietosuojaseloste eli tätä tarkoitusta varten laadittu seloste. Rekisteröidylle ei tarvitse antaa esimerkiksi tietoja, joissa on mukana liikesalaisuuksia tai muiden henkilöiden henkilötietoja. Yritys voi laatia edellä olevista tiedoista erillisen selosteen tai muotoilla tietosuojaselosteensa kattamaan nämä tiedot. JATKUU SEURAAVALLA SIVULLA 

16 YRITTÄJÄN TIETOSUOJAOPAS Rekisteröityjen oikeudet Omat muistiinpanot: Oikeus tietojen oikaisemiseen Rekisteröidyllä on oikeus vaatia, että yritys oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys. Yrityksen tulisi pystyä muokkaamaan rekisterinsä tietoja jälkikäteen, jotta epätarkat tai virheelliset tiedot voidaan korjata.  Katso tietosuoja-asetuksen artikla 16. Oikeus tulla unohdetuksi Rekisteröidyllä on oikeus saada yritys poistamaan häntä koskevat tiedot eli oikeus tulla unohdetuksi seuraavissa tilanteissa: ĥĥ Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Jos esimerkiksi kokoustila on varattu ja asiakkaan tiedot on kerätty vain tätä varten, tulee tiedot poistaa asiakkaan pyynnöstä kokouksen jälkeen (olettaen, että tietoja ei enää tarvita muun lainsäädännön tai edun nojalla). ĥĥ Henkilötietojen käsittely perustuu suostumukseen ja rekisteröity peruuttaa antamansa suostumuksen. Jos rekisteröity vastustaa muuta käsittelyä kuin käsittelyä suoramarkkinointia varten, on lisäedellytyksenä se, että käsittelyyn ei ole olemassa perusteltua syytä. ĥĥ Rekisteröity vastustaa käsittelyä. Jos rekisteröity vastustaa muuta käsittelyä kuin käsittelyä suoramarkkinointia varten, on lisäedellytyksenä se, että käsittelyyn ei ole olemassa perusteltua syytä. ĥĥ Henkilötietoja on käsitelty lainvastaisesti. ĥĥ Henkilötiedot on poistettava lakisääteisen velvoitteen noudattamiseksi. ĥĥ Henkilötiedot on kerätty tarjottaessa sähköisiä palveluja suoraan lapselle. Yrityksillä voi olla oikeutettu etu henkilötietojen käsittelyyn, jolloin tietoja ei tarvitse poistaa. Yrityksillä on siten oikeus käsitellä työntekijöidensä tietoja, vaikka työntekijä sitä vastustaisikin.  Katso tietosuoja-asetuksen artikla 17. JATKUU SEURAAVALLA SIVULLA 

17 YRITTÄJÄN TIETOSUOJAOPAS Rekisteröityjen oikeudet Omat muistiinpanot: Oikeus siirtää tiedot järjestelmästä toiseen Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Hänellä on oikeus siirtää kyseiset tiedot toiselle yritykselle tai rekisterinpitäjälle, jos tietojen käsittely perustuu suostumukseen tai sopimukseen ja tietoja käsitellään automaattisesti eli jonkinlaisella ohjelmalla. Jos yritys käsittelee henkilötietoja suostumuksen tai sopimuksen perusteella, tulisi sen päivittää tietojärjestelmänsä sellaisiksi, että niistä voidaan siirtää tietoa toiselle yritykselle. Tämä koskee vain sähköistä tietoa; paperilla olevia tietoja ei tarvitse luovuttaa siirto-oikeuden perusteella. Jos tietojen käsittely ei perustu suostumukseen tai sopimukseen, ei rekisteröidyllä ole oikeutta siirtää henkilötietoja järjestelmästä toiseen. Esimerkiksi työntekijöiden tietoja käsitellään sekä sopimuksen että yrityksen oikeutettujen etujen perusteella. Tällöin siirto-oikeus on olemassa vain sopimukseen liittyvissä tiedoissa, kuten palkkatiedoissa. Myös verkkopalveluissa yrittäjän tulisi varautua siirto-oikeuteen. On huomioitava, että siirto-oikeuden kohteena voivat olla vain tiedot, jotka rekisteröity on toimittanut yritykselle. Henkilötietojen siirto-oikeutta ei kuitenkaan ole, jos se vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Yrityksen tulee itse arvioida tämä.  Katso tietosuoja-asetuksen artikla 20. Oikeus rajoittaa tietojen käsittelyä Rekisteröidyllä on oikeus vaatia, että yritys rajoittaa hänen tietojensa käsittelyä, kun ĥĥ käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista ĥĥ rekisterinpitäjä ei enää tarvitse henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi ĥĥ rekisteröidyn ja yrityksen välillä on erimielisyys siitä, syrjäyttävätkö yrittäjän henkilötietojen käsittelyn oikeutetut perusteet rekisteröidyn vaatimukset, ja odotettaessa asian todentamista rekisteröity on vastustanut henkilötietojen käsittelyä. JATKUU SEURAAVALLA SIVULLA 

18 YRITTÄJÄN TIETOSUOJAOPAS Rekisteröityjen oikeudet Omat muistiinpanot: Jos käsittelyä on rajoitettu jollain edellä mainitulla perusteella, saa näitä henkilötietoja käsitellä ainoastaan rekisteröidyn suostumuksella, oikeudellisen vaateen laatimiseksi tai toisen henkilön oikeuksien suojaamiseksi. Tällöin yrittäjä saa edelleen säilyttää tietoja.  Katso tietosuoja-asetuksen artiklat 18 ja 19. Oikeus vastustaa käsittelyä Rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä silloin, kun hän on antanut suostumuksensa tietojen käsittelylle. Rekisteröidyllä on oikeus myös milloin tahansa vastustaa sellaista häntä koskevien henkilötietojen käsittelyä, joka perustuu yrityksen oikeutettuun etuun tai profilointiin. Rekisterinpitäjä ei kiellon jälkeen saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Oikeusvaade tarkoittaa esimerkiksi kannetta käräjäoikeudessa. Perusteltuna syynä voidaan pitää myös työnantajan lakisääteistä velvollisuutta käsitellä työntekijän tietoja. Tällöin tietojen käsittelyä ei voida lopettaa, vaikka työntekijä sitä vastustaisikin. Rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointia varten – mukaan lukien profilointi silloin kun se liittyy suoramarkkinointiin. Suoramarkkinoinnista kerrotaan enemmän luvussa 11. Oikeus olla joutumatta profiloinnin kohteeksi Rekisteröidyllä on oikeus olla joutumatta profiloinnin kohteeksi. Profilointi tarkoittaa, että henkilölle tehdään hänen henkilökohtaisia ominaisuuksiaan arvioiva, mahdollisesti toimenpiteen sisältävä päätös yksinomaan automaattisen tietojenkäsittelyn perusteella. Automatisoitu päätöksenteko aiheuttaa henkilölle oikeudellisia tai muita vaikutuksia. Tällaisia voivat olla esimerkiksi online-luottohakemuksen automaattinen epääminen tai sähköinen ja automaattinen rekrytointi ilman, että kukaan ihminen osallistuu päätöksentekoon. JATKUU SEURAAVALLA SIVULLA 

19 YRITTÄJÄN TIETOSUOJAOPAS Rekisteröityjen oikeudet Omat muistiinpanot: Tyypillisesti profiloinnissa analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin. ĥĥ perustuu rekisteröidyn nimenomaiseen suostumukseen ĥĥ on välttämätön rekisteröidyn ja yrittäjän välisen sopimuksen tekemistä tai päätöksentekoa varten ĥĥ on hyväksytty EU- tai kansallisessa lainsäädännössä. Jos automatisoidussa päätöksenteossa käsitellään arkaluonteisia tietoja, yrittäjän tulee toteuttaa asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tämä tarkoittaa korostettua tietoturva-asioiden kunnossapitoa ja käsittelyn huolellista suunnittelua. Myös automatisoitua päätöksentekoa tehtäessä tulisi katsoa, ettei siinä syrjitä ketään arkaluontoisiin tietoihin perustuen.  Katso tietosuoja-asetuksen artikla 22.

20 YRITTÄJÄN TIETOSUOJAOPAS Kun tietoja kerätään rekisteröidyltä Omat muistiinpanot: 7. KUN TIETOJA KERÄTÄÄN REKISTERÖIDYLTÄ Henkilötietojen käsittelyn tulee olla läpinäkyvää, ja rekisteröidyille tulee kertoa, kuinka heitä koskevia tietoja kerätään ja kuinka niitä käytetään. Tiedot tulisi antaa tiiviisti, yksinkertaisella ja selkeällä kielellä. Rekisteröityjen tulee saada tiedot maksutta. Kuitenkin, jos pyyntöjä esitetään toistuvasti ja ne ovat kohtuuttomia tai ilmeisen perusteettomia, voi yritys periä kohtuullisen maksun tai kieltäytyä antamasta tietoja. Tällöin yrityksen tulisi pystyä osoittamaan pyynnön perusteettomuus tai kohtuuttomuus. Yrityksen tulisi pitää kuvaus henkilötietojen käsittelystä rekisteröidyn saatavilla. Asetuksen mukaan tiedot tulisi toimittaa kirjallisesti, suullisesti tai sähköisesti. Esimerkiksi messuilla järjestettävästä arvontaan osallistumisesta ja henkilötietojen käsittelystä voidaan kertoa antamalla rekisteröitävälle paperi, jossa kuvaillaan henkilötietojen käyttöä. Kun kerätään rekisteröidyltä häntä koskevia henkilötietoja, rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot: ĥĥ tietosuojavastaavan yhteystiedot, jos sellainen on ĥĥ peruste eli syy, jonka perusteella henkilötietoja saa käsitellä ĥĥ henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste eli syy, jonka perusteella henkilötietoja saa käsitellä ĥĥ henkilötietojen vastaanottajat tai vastaanottajaryhmät ĥĥ aikooko rekisterinpitäjä siirtää henkilötietoja EU:n ulkopuolelle ĥĥ rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää tietojen oikaisemista tai poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen JATKUU SEURAAVALLA SIVULLA 

21 YRITTÄJÄN TIETOSUOJAOPAS Kun tietoja kerätään rekisteröidyltä Omat muistiinpanot: ĥĥ oikeus peruuttaa suostumus milloin tahansa ilman, että se vaikuttaa suostumuksen perusteella ja ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen ĥĥ onko henkilötietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus ĥĥ onko rekisteröidyn pakko toimittaa henkilötiedot ja mitä tällaisten tietojen antamatta jättämisestä mahdollisesti seuraa. ĥĥ automaattisen päätöksenteon eli profiloinnin olemassaolo, merkitykselliset tiedot käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle ennen kyseistä jatkokäsittelyä ja annettava asiaan kuuluvat lisätiedot. Yrittäjän voi olla helpointa kuvata henkilötietojen käsittelyn nykytilaa laatimalla perinteinen rekisteriseloste. Tietosuojaviranomaiset aikovat julkistaa mallin tietosuoja-asetuksen mukaisesta tietosuojaselosteesta. Käytännössä yritykset voivat hyödyntää nykyisen henkilötietolain velvoitteen perusteella laadittuja rekisteriselosteitaan ja laajentaa niitä vastaamaan tietosuoja-asetuksen edellytyksiä. Yrittäjän tulisi pitää selosteet ajan tasalla päivittämällä niitä tasaisin väliajoin. Informointivelvoite tarkoittaa käytännössä sitä, että yrityksen tulee antaa edellä mainitut tiedot henkilötietoja vastaanottaessaan. Tiedot voidaan antaa esimerkiksi tietosuojaselosteena tai muulla tavalla verkkosivuilla, tai tietoja voidaan pitää saatavilla työpaikan intranetissä tai fyysisenä kappaleena esimerkiksi ilmoitustaululla.  Katso tietosuoja-asetuksen artikla 13.

22 YRITTÄJÄN TIETOSUOJAOPAS Kun tietoja ei ole saatu rekisteröidyltä itseltään Omat muistiinpanot: 8. KUN TIETOJA EI OLE SAATU REKISTERÖIDYLTÄ ITSELTÄÄN Jos rekisterissä olevia henkilötietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot: Rekisterinpitäjän on toimitettava nämä tiedot viimeistään kuukauden kuluessa henkilötietojen saamisesta tai, jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran. Edellä luetellut tiedot tulee luovuttaa myös silloin, jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.  Katso tietosuoja-asetuksen artikla 14. ĥĥ yrityksen mahdollisen tietosuojavastaavan yhteystiedot ĥĥ henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste, eli tietosuoja-asetuksen peruste käsitellä henkilötietoja (ks. luku 4) ĥĥ rekisterissä olevat henkilötietoryhmät ĥĥ tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle ĥĥ henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit ĥĥ rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut ĥĥ oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin ĥĥ oikeus pyytää tietojen oikaisemista tai poistamista tai käsittelyn rajoittamista ĥĥ oikeus vastustaa käsittelyä ĥĥ oikeus siirtää tiedot järjestelmästä toiseen ĥĥ oikeus tehdä valitus valvontaviranomaiselle ĥĥ mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä ĥĥ automaattisen päätöksenteon eli profiloinnin olemassaolo.

23 YRITTÄJÄN TIETOSUOJAOPAS Henkilötietojen käyttö muuhun tarkoitukseen Omat muistiinpanot: 9. HENKILÖTIETOJEN KÄYTTÖ MUUHUN TARKOITUKSEEN Jos henkilötietoja käsitellään muussa kuin siinä tarkoituksessa, johon tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä lainsäädäntöön, on rekisterinpitäjän otettava huomioon muun muassa seuraavat asiat: ĥĥ henkilötietojen keruun asiayhteys – erityisesti se, mikä on rekisteröityjen ja rekisterinpitäjän välinen suhde ĥĥ henkilötietojen luonne – erityisesti se, käsitelläänkö arkaluonteisia tietoja tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja ĥĥ asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin käyttö. Näin varmistetaan, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin.  Katso tietosuoja-asetuksen artikla 14, kohta 4.

24 YRITTÄJÄN TIETOSUOJAOPAS Seloste käsittelytoimista Omat muistiinpanot: 10. SELOSTE KÄSITTELYTOIMISTA Tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista. Tätä tulee pitää yleisesti saatavilla esimerkiksi yrityksen nettisivuilla tai yrityksen toimipaikassa. Yrittäjän tulee tehdä jokaisesta rekisteristä oma seloste käsittelytoimista. Tällaisia rekistereitä ovat esimerkiksi asiakasrekisteri ja työntekijärekisteri. Selosteessa tulisi olla seuraavat tiedot: ĥĥ rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot ĥĥ käsittelyn tarkoitukset ĥĥ kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä ĥĥ henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan ĥĥ tarvittaessa tiedot henkilötietojen luovuttamisesta EU-alueen ulkopuolelle ĥĥ mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat ĥĥ mahdollisuuksien mukaan yleinen kuvaus käsittelyn turvallisuuden varmistamiseksi toteutetuista teknisistä ja organisatorisista turvatoimista.  Katso tietosuoja-asetuksen artiklat 13 ja 30.

25 YRITTÄJÄN TIETOSUOJAOPAS Suoramarkkinointi Omat muistiinpanot: 11. SUORAMARKKINOINTI Suoramarkkinointia saa harjoittaa jatkossakin, jos vastaanottajille kerrotaan mahdollisuudesta kieltää suoramarkkinointi. Tämä mahdollisuus kieltäytyä suoramarkkinoinnista tulee saattaa rekisteröidyn tietoon. Rekisteröidyllä on oikeus ilman maksua vastustaa käsittelyä. Perinteinen suoramarkkinointi Perinteisellä suoramarkkinoinnilla tarkoitetaan postitse tai puhelimitse tehtävää suoramarkkinointia. Suomessa saa tehdä kuluttajalle suoramarkkinointia näillä perinteisillä menetelmillä, kunnes vastaanottaja sen kieltää. Kuluttajalta ei siten tarvitse pyytää ennakkoon suostumusta perinteiseen suoramarkkinointiin. Kuluttajalle pitää kertoa oikeudesta kieltää suoramarkkinointi. Tietoa voidaan antaa asiakassuhteen tai muun yhteydenpidon aloitushetkellä sekä selosteessa käsittelytoimista. Henkilöille tulisi lähtökohtaisesti kertoa paikan päällä, että heidän yhteystietonsa tallennetaan suoramarkkinointirekisteriin. Tällainen teksti voisi olla esimerkiksi paperissa, johon yhteystiedot kirjoitetaan. Teksti voi olla seuraavanlainen: ”Osallistujan tietoja voidaan käsitellä Yritys Oy:n suoramarkkinointitarkoituksiin. Suoramarkkinoinnin voi kieltää ilmoittamalla siitä asiakaspalveluumme…” Ulkoistettu suoramarkkinointi Suoramarkkinointikirjeiden postitus saatetaan ulkoistaa tulostus- ja postipalveluja tarjoavalle yhteistyökumppanille. Tällöin markkinoijan asiakkaiden tai potentiaalisten asiakkaiden henkilötietoja käsittelevät muutkin kuin markkinoija. Käsittelijän tulisi antaa rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä riittävät takeet henkilötietojen suojaamisesta asianmukaisesti. Käytännössä tämä tarkoittaa sitä, että markkinoijan ja palveluntarjoajan välisessä yhteistyö- ja toimeksiantosopimuksessa tulisi olla sopimuslausekkeet tietosuoja-asetuksen mukaisista velvoitteista. Markkinoija on viimekädessä vastuussa, että henkilötietoja käsitellään lainmukaisesti. Rekisterinpitäjä vastaa siis myös yhteistyökumppaninsa toimista. Tämän takia keskinäisistä vahingonkorvausvelvollisuuksista olisi tärkeä sopia. Käsittelyn ulkoistamisesta kerrotaan luvussa 12. JATKUU SEURAAVALLA SIVULLA 

26 YRITTÄJÄN TIETOSUOJAOPAS Suoramarkkinointi Omat muistiinpanot: Sähköinen suoramarkkinointi Sähköistä suoramarkkinointia ovat sähköpostiviestit, tekstiviestit, puheviestit, ääniviestit ja kuvaviestit. Sähköisen suoramarkkinoinnin lähettämiseen henkilölle tulee saada suostumus ennalta. Yritykselle lähetettävään mainontaan ei tarvita suostumusta. Sähköisen suoramarkkinoinnin luvan kysymisessä henkilöltä tulisi välttää sähköisten välineiden käyttöä, kuten tekstiviestiä. Palvelun tarjoajan tai tuotteen myyjän on annettava asiakkaalle mahdollisuus helposti ja maksutta kieltää yhteystiedon käyttö tiedon keräämisen ja jokaisen sähköisen suoramarkkinointiviestin yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on tiedotettava kieltomahdollisuudesta selkeästi. Rekisteröity voi kieltäytyä suoramarkkinoinnista, ja tämä mahdollisuus tulee kertoa hänelle. EU:ssa valmistellaan sähköisen viestinnän tietosuoja-asetusta, jossa säädellään evästeiden käytöstä ja sähköisestä suoramarkkinoinnista. Ennen tämän uuden asetuksen tuloa sähköisestä suoramarkkinoinnista säännellään tietoyhteiskuntakaaressa.

27 YRITTÄJÄN TIETOSUOJAOPAS Tietojenkäsittelyn ulkoistaminen Omat muistiinpanot: 12. TIETOJENKÄSITTELYN ULKOISTAMINEN Rekisterinpitäjä voi ulkoistaa henkilötietojen käsittelyn. Ulkoistettuja palveluita ovat esimerkiksi ĥĥ tilitoimisto, joka maksaa työntekijöiden palkat ĥĥ IT-tuki, jolla on pääsy henkilötietoihin. Näissä tilanteissa henkilötietojen katsotaan siirtyvän niin sanotulle henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka huolehtivat asianmukaisista suojatoimista ja varmistavat, että käsittely täyttää tietosuoja-asetuksen vaatimukset. Näin varmistetaan rekisteröidyn oikeuksien suojelu. Tietojen käsittelijän on kerrottava rekisterinpitäjälle, jos se suunnittelee esimerkiksi henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. Yrittäjän tulisi ohjeistaa henkilötietojen käsittelijänä toimivaa palveluntarjoajaa. Ohjeet tulisi antaa kirjallisina. Ne ovat useimmiten osa niin sanottua tietojenkäsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet suhteessa käsiteltäviin henkilötietoihin.  Tietojenkäsittelysopimuksessa tulisi sopia vähintään seuraavista asioista ĥĥ Tietojenkäsittelyn yksilöinti – Sopimukseen tulisi yksilöidä, ĥĥ keitä yksilöitä (työntekijät) ĥĥ millaisia tietoja (palkanmaksutiedot) ulkoistus koskee. ĥĥ Sitoutuminen rekisterinpitäjän ohjeisiin– Henkilötietojen käsittelijän tulee sitoutua käsittelemään henkilötietoja ainoastaan rekisterinpitäjän ohjeiden ja sopimusehtojen mukaisesti. JATKUU SEURAAVALLA SIVULLA 

28 YRITTÄJÄN TIETOSUOJAOPAS Tietojenkäsittelyn ulkoistaminen Omat muistiinpanot: ĥĥ Salassapito– Sopimuksessa tulee varmistaa, että henkilötietojen käsittelyyn oikeutetut henkilöt, kuten henkilötietojen käsittelijän työntekijät, ovat sitoutuneet noudattamaan salassapitovelvollisuutta. ĥĥ Tietoturva– Henkilötietojen käsittelijän on sitouduttava sopimuksessa toteuttamaan riittävät turvatoimet henkilötietojen suojaamiseksi. Kyse voi olla teknisistä toimista, kuten tietokoneiden virustorjunnasta ja palomuureista, toimitilojen kulunvalvonnasta tai organisatorisista toimista, kuten riittävistä ja asiantuntevista resursseista. ĥĥ Käsittelijän omat alihankkijat – Sopimuksessa tulee sopia, tarvitseeko henkilötietojen käsittelijä rekisterinpitäjältä suostumuksen toisen käsittelijän, eli palveluntarjoajan oman alihankkijan, ottamiseksi osaksi tietojenkäsittelyä vai riittääkö jälkikäteinen ilmoitus ja rekisterinpitäjän vastustamismahdollisuus. ĥĥ Avustamisvelvollisuus – Sopimuksessa tulee sopia, että käsittelijän on autettava rekisterinpitäjää täyttämään tämän yksilöiden oikeuksiin liittyvät velvollisuudet. Yksilöillä on lukuisia oikeuksia, kuten oikeus saada pääsy itseään koskeviin henkilötietoihin ja saada virheelliset tiedot oikaistuiksi.  ĥĥ Tiedonantovelvollisuus – Käsittelijän on saatettava rekisterinpitäjän saataville kaikki sellaiset tiedot, jotka ovat tarpeen, jotta voidaan osoittaa rekisterinpitäjän toimineen oikein. ĥĥ Auditointioikeus– Käsittelijän on sallittava rekisterinpitäjän tai muun sen valtuuttaman auditoijan suorittamat auditoinnit ja osallistuttava niihin. ĥĥ Tietojen poistaminen– Kun käsittelyyn liittyvien palveluiden tarjoaminen on päättynyt, tulee henkilötietojen käsittelijän poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle, jollei käsittelijällä ole lakisääteistä velvollisuutta säilyttää henkilötietoja. ĥĥ Vahingonkorvausvastuu– Rekisterinpitäjä on viimekädessä vastuussa, että henkilötietoja käsitellään lainmukaisesti, joten rekisterinpitäjä vastaa myös yhteistyökumppaninsa toimista. Tämän takia keskinäisistä vahingonkorvausvelvollisuuksista olisi tärkeä sopia.  Katso tietosuoja-asetuksen artiklat 28 ja 29.

29 YRITTÄJÄN TIETOSUOJAOPAS Tietojen siirtäminen EU:n ulkopuolelle Omat muistiinpanot: 13. TIETOJEN SIIRTÄMINEN EU:N ULKOPUOLELLE Nykyään on tavallista, että tietoja saatetaan siirtää EU:n ulkopuolelle eli niin sanottuihin kolmansiin maihin. Tällainen saattaa tulla vastaan, kun esimerkiksi suomalainen matkailuyritys myy retkiä Islantiin ja osallistujien tiedot siirretään yhteistyökumppanille Islantiin. Myös pilvipalvelut hyödyntävät usein toiminnassaan EU:n ulkopuolella toimivia palvelimia. Olisi hyvä tarkistaa ennen tiedon siirtämistä, onko komissio katsonut kohdemaan täyttävän kriteerit. Kriteerit täyttäviä maita ovat tällä hetkellä ĥĥ Andorra ĥĥ Argentiina ĥĥ Färsaaret ĥĥ Islanti ĥĥ Israel ĥĥ Jersey ĥĥ Kanada ĥĥ Mansaari ĥĥ Norja ĥĥ Sveitsi ĥĥ Uruguay ĥĥ Uusi-Seelanti ĥĥ Yhdysvallat (rajoitetusti). Yhdysvalloissa kriteerit katsotaan täyttyvän vain niillä yrityksillä, jotka ovat liittyneet Privacy Shield -järjestelmään. Siten vain näihin yrityksiin saa siirtää henkilötietoja. Yhdysvaltojen kauppaministeriö pitää yllä julkista listaa järjestelmään liittyneistä yrityksistä osoitteessawww.privacyshield.gov. Jos komissio ei ole tehnyt päätöstä tietystä maasta, henkilötietojen siirtäminen sinne sallittua, jos yrittäjä tai henkilötietojen käsittelijä ovat toteuttaneet asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Ajantasainen tieto kriteerit täyttävistä maista ec.europa.eu › European Commission › Strategy › Justice and fundamental rights › Data protection › Data transfers outside the EU Siirry sivulle ›› JATKUU SEURAAVALLA SIVULLA 

30 YRITTÄJÄN TIETOSUOJAOPAS Tietojen siirtäminen EU:n ulkopuolelle Omat muistiinpanot: Asianmukaisina suojatoimina pidetään ĥĥ yrityksiä koskevia sitovia sääntöjä ĥĥ komission antamien tai hyväksymien tietosuojaa koskevien vakiolausekkeiden käyttöä siirtoa koskevissa sopimuksissa ĥĥ valvontaviranomaisen hyväksymiä ja rekisteröimiä käytännesääntöjä ĥĥ tietosuojaa koskevia vakiolausekkeita ĥĥ tiettyjä sertifiointeja, jotka tietosuojaviranomainen vahvistaa ja komissio hyväksyy. Erityistilanteissa henkilötietojen siirto EU-alueen ulkopuolelle on myös sallittua, jos jokin seuraavista edellytyksistä täyttyy: ĥĥ rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi ĥĥ siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (katso luku 4) ĥĥ siirto on tarpeen rekisterinpitäjän ja toisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi ĥĥ siirto on tarpeen tärkeää yleisen edun vuoksi (katso luku 4) ĥĥ siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi ĥĥ siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan.  Katso tietosuoja-asetuksen artiklat 44–49.

31 YRITTÄJÄN TIETOSUOJAOPAS tietosuojavastaava Omat muistiinpanot: 14. TIETOSUOJAVASTAAVA Yrittäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun ĥĥ rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Tietosuojavastaavaa ei tarvita esimerkiksi, jos kyseessä on ĥĥ pieni lakitoimisto ĥĥ yhden lääkärin yhtiö. Tietosuojavastaava tarvitaan, jos kyseessä on esimerkiksi ĥĥ turvallisuusyhtiö, joka valvoo ostoskeskuksia ja julkisia paikkoja ĥĥ lääkäriasema, jossa käsitellään potilastietoja laajamittaisesti ĥĥ head-hunter-yhtiö, joka profiloi ihmisiä. Tietosuojavastaavan nimittäminen Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen. Tehtävä voidaan myös ulkoistaa esimerkiksi asianajotoimistolle tai konsultille. Tietosuojavastaavalla voi olla myös muita tehtäviä ja velvollisuuksia. Yrittäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja. Eturistiriita voi syntyä, jos yrittäjä toimii itse tietosuojavastaavana. Myös esimerkiksi yrityksen oma IT-johtaja tai markkinointijohtaja ei sovellu tehtävään. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa tietosuoja-asetuksessa asetetut tehtävät. JATKUU SEURAAVALLA SIVULLA 

32 YRITTÄJÄN TIETOSUOJAOPAS tietosuojavastaava Omat muistiinpanot: Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Tietosuojavastaava antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja. Tietosuojavastaava antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista (ks. luku 15). Konserni voi nimittää yhden yhteisen tietosuojavastaavan, jos häneen voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.  Katso tietosuoja-asetuksen artikla 37. Tietosuojavastaavan asema ja tehtävät Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tehtävässään: Hänelle on annettava tehtävien täyttämisessä tarvittavat resurssit ja pääsy henkilötietoihin ja käsittelytoimiin. Hänen pitää saada ylläpitää osaamistaan tietosuojavastaavana. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä. Yritys ei saa ohjata tietosuojavastaavaa, kuinka hänen tulisi hoitaa tehtäviään tai määrätä ottamaan jokin tietty kanta jossain tietosuoja-asiassa. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tähän asetukseen perustuvien oikeuksiensa käyttöön. Tietosuojavastaava on tehtävässään salassapitovelvollinen.

RkJQdWJsaXNoZXIy Mjk0MTY=