tietosuojaselostus



Tietosuojaselostus

HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET

Suostumus

Suostumus tarkoittaa, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Rekisterinpitäjän tulee dokumentoida saatu suostumus, koska se pitää pystyä todentamaan. Suostumus tulee antaa tarkoituksellisesti, eli sitä ei voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jotakin tekemättä.

Oikeutettu etu

Henkilötietojen käsittelyn perusteena voi olla oikeutettu etu. Tämä tarkoittaa sitä, että rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen ja merkityksellinen suhde, kuten jäsenyys, asiakkuus tai työsuhde. Oikeutettuja etuja arvioitaessa tulee ottaa huomioon rekisteröidyn perusoikeudet ja vapaudet, jotka saattavat syrjäyttää tällaiset edut, erityisesti silloin, jos rekisteröity on lapsi. Tällöin lapsesta kerättyjä tietoja kerättyjä tietoja ei saa käyttää laajempaan tarkoitukseen kuin voidaan katsoa käyttötarkoituksen perusteella tarpeelliseksi.

Suoramarkkinointia voi tehdä oikeutetun edun perusteella. EU:ssa valmistellaan sähköisen viestinnän tietosuoja-asetusta, jossa säädellään evästeiden käytöstä ja sähköisestä suoramarkkinoinnista. Ennen tämän uuden asetuksen tuloa tietoyhteiskuntakaaressa säännellään sähköisestä suoramarkkinoinnista, ja tähän vaaditaan suostumus etukäteen. Suoramarkkinointia harjoittavienyritysten kannattaa siis seurata lainsäädännön kehitystä.

SELOSTE KÄSITTELYTOIMISTA

Tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista. Tätä tulee pitää yleisestisaatavilla esimerkiksi yrityksen nettisivuilla tai yrityksen toimipaikassa. Yrittäjän tulee tehdä jokaisesta rekisteristä oma seloste käsittelytoimista. Tällaisia rekistereitä ovat esimerkiksi asiakasrekisteri ja työntekijärekisteri.

Selosteessa tulisi olla seuraavat tiedot:

Rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot: Jorma Schukoff Yrityskehitys Schukoff Hermiankatu 8 D33720 Tampere Puh. 050 348313 jorma.schukoff@kehitys.com www.kehitys.com

Käsittelyn tarkoitukset

  • Tarkoituksena on esim. keksintöjen esiselvityksessä, jossa pyritään vastamaan kysymykseen kannattako tuotekehitystä jatkaa tai ei. Kerätä tietoa asiakasryhmästä tai ryhmistä ottamalla niistä riittävän suuri otos, jolla pystytään kuvaamaan koko asiakasjoukkoa. Kysymyksillä pyritään löytämään vastaukseasi asiakkaiden yksilöityihin asioihin.

Tiedot kerätään kansioittain Excel-taulukoihin, hankkeen mukaisin otsikoin

  • Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä. Yrityksissä ei ole toimialarajoitusta
  • Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan
  • Selvityksen toimeksiantaja yrityksen vastuuhenkilö tai henkilöt
  • Tarvittaessa tiedot henkilötietojen luovuttamisesta EU-alueen ulkopuolellemahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat
  • Mahdollisuuksien mukaan yleinen kuvaus käsittelyn turvallisuuden varmistamiseksi F-Securen työkaluilla ja Nexetic ShieldBackup pilvivarmennus. Technopolis Hermian toimintaympäristö.

Oikeus saada tietoa henkilötietojenkäsittelystä

  • Rekisteröidyllä on aina oikeus saada tietää, käsitteleekö yritys hänen tietojaan. Jos tietoja käsitellään, on rekisteröidyllä oikeus saada tietoonsa hänestä tallennetut henkilötiedot sekä saada seuraavat tiedot:
  • Käsiteltävät henkilötietoryhmät
  • Vastaanottajat tai vastaanottajaryhmät, joille yritys on luovuttanut henkilötietoja tai joille tietoja on tarkoitus luovuttaa
  • Mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos säilytysaikaa ei voi
    ilmoittaa, tämän ajan määrittämiskriteerit, jotka tarpeen ja käyttötarkoituksenmukaisesti sovitaan asiakaskohtaisesti
  • Kaikki tietojen alkuperästä käytettävissä olevat tiedot, jos henkilötietoja ei kerätä rekisteröidyltä
  • Ilmoitus henkilötiedon siirtoa EU:n ulkopuolelle koskevista asianmukaisista toimista
  • Automaattisen päätöksenteon (mukaan lukien profiloinnin) olemassaolo, keskeiset tiedot
  • Tietojen käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyydestä ja
    mahdollisista seurauksista rekisteröidyille

Lisäksi rekisteröidylle tulee kertoa, että hänellä on oikeus

  • Pyytää rekisterinpitäjältä häntä koskevien henkilötietojen oikaisemista, poistamista tai henkilötietojen käsittelyn rajoittamista
  • Tehdä valitus valvontaviranomaiselle.
  • Pääsy tietoihin toteutetaan siten, että rekisteröidylle toimitetaan jäljennöskäsiteltävistä henkilötiedoista sekä tietosuojaseloste eli tätä tarkoitusta varten laadittu seloste.
  • Rekisteröidylle ei tarvitse antaa esimerkiksi tietoja, joissa on mukana liikesalaisuuksia tai muiden henkilöiden henkilötietoja.
  • Yritys voi laatia edellä olevista tiedoista erillisen selosteen tai muotoilla tietosuojaselosteensa kattamaan nämä tiedot.

Oikeus tulla unohdetuksi

Rekisteröidyllä on oikeus saada yrityspoistamaan häntä koskevat tiedot eli oikeus tulla unohdetuksi seuraavissa tilanteissa:

  • Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Jos esimerkiksi kokoustila on varattu ja asiakkaan tiedot on kerätty vain tätä varten, tulee tiedot poistaa asiakkaan pyynnöstä kokouksen jälkeen (olettaen, että tietoja ei enää tarvita muun
    lainsäädännön tai edun nojalla).
  • Henkilötietojen käsittely perustuu suostumukseen ja rekisteröity peruuttaa antamansa suostumuksen.
    Jos rekisteröity vastustaa muuta käsittelyä kuin käsittelyä suoramarkkinointia varten, on lisäedellytyksenä se, että käsittelyyn ei ole olemassa perusteltua syytä.
  • Rekisteröity vastustaa käsittelyä. Jos rekisteröity vastustaa muuta käsittelyä kuin käsittelyä suoramarkkinointia varten, on lisäedellytyksenä se, että käsittelyyn ei ole olemassa perusteltua syytä.
  • Henkilötietojaon käsitelty lainvastaisesti.
  • Henkilötiedot on poistettava lakisääteisen velvoitteen noudattamiseksi.
  • Henkilötiedoton kerätty tarjottaessa sähköisiä palveluja suoraan lapselle.
  • Yrityksillä voi olla oikeutettu etu henkilötietojen käsittelyyn, jolloin tietoja ei tarvitse poistaa.
  • Yrityksillä on siten oikeus käsitellä työntekijöidensä tietoja, vaikka työntekijä sitä
    vastustaisikin

Oikeus siirtää tiedot järjestelmästä toiseen

  • Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Hänellä on oikeus siirtää kyseiset tiedot toiselle yritykselle tai rekisterinpitäjälle, jos tietojen käsittely perustuu suostumukseen tai sopimukseen ja tietoja käsitellään automaattisesti eli jonkinlaisella ohjelmalla.
  • Jos yritys käsittelee henkilötietoja suostumuksen tai sopimuksen perusteella,tulisi sen päivittää tietojärjestelmänsä sellaisiksi, että niistä voidaan siirtää tietoa toiselle yritykselle. Tämä koskee vain sähköistä tietoa; paperilla olevia tietoja ei tarvitse luovuttaa siirto-oikeuden perusteella. Jos tietojen käsittely ei perustu suostumukseen tai sopimukseen, ei rekisteröidyllä ole oikeutta siirtää henkilötietoja järjestelmästä toiseen.
  • Esimerkiksi työntekijöiden tietoja käsitellään sekä sopimuksen että yrityksen oikeutettujenetujen perusteella. Tällöin siirto-oikeus on olemassa vain sopimukseen liittyvissä tiedoissa, kuten palkkatiedoissa.
  • Myös verkkopalveluissa yrittäjän tulisi varautua siirto-oikeuteen. On huomioitava,että
    siirto-oikeuden kohteena voivat olla vain tiedot, jotka rekisteröity on toimittanut yritykselle.
  • Henkilötietojensiirto-oikeutta ei kuitenkaan ole, jos se vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Yrityksen tulee itse arvioida tämä.

Oikeus rajoittaa tietojen käsittelyä

  • Rekisteröidyllä on oikeus vaatia, että yritys rajoittaa hänen tietojensa käsittelyä, kun käsittely
    on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
  • Rekisterinpitäjä ei enää tarvitse henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • Rekisteröidyn ja yrityksen välillä on erimielisyys siitä, syrjäyttävätkö yrittäjän henkilötietojen käsittelyn oikeutetut perusteet rekisteröidyn vaatimukset, ja odotettaessa asian todentamista rekisteröity on vastustanut henkilötietojen käsittelyä.
  • Jos käsittelyä on rajoitettu jollain edellä mainitulla perusteella, saa näitä henkilötietoja käsitellä ainoastaan rekisteröidyn suostumuksella, oikeudellisen vaateen laatimiseksi tai toisen henkilön oikeuksien suojaamiseksi. Tällöin yrittäjä saa edelleen säilyttää tietoja.

Oikeus vastustaa käsittelyä

  • Rekisteröidyllä on oikeus, milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä
    silloin, kun hän on antanut suostumuksensa tietojen käsittelylle.Rekisteröidyllä on oikeus myös, milloin tahansa vastustaa sellaista häntäkoskevien henkilötietojen käsittelyä, joka perustuu yrityksen oikeutettuun etuun tai profilointiin.
  • Rekisterinpitäjä ei kiellon jälkeen saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Oikeusvaade tarkoittaa esimerkiksi kannetta käräjäoikeudessa.

Perusteltuna syynä voidaan pitää myös työnantajan lakisääteistä velvollisuutta käsitellä työntekijäntietoja. Tällöin tietojen käsittelyä ei voida lopettaa, vaikka työntekijä sitä vastustaisikin.

Miten rekisteröityjä on informoitu

  • Aikooko rekisterinpitäjä siirtää henkilötietoja EU:n ulkopuolelle: Ei
  • Rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää tietojen oikaisemista tai poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen: Kyllä
  • Oikeus peruuttaa suostumus, milloin tahansa ilman, että se vaikuttaa suostumuksen perusteella ja ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen: Kyllä

Onko henkilötietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus

  • Henkilötietojen antaminen perustuu sopimukseen toimeksiantajan kanssa

Onko rekisteröidyn pakko toimittaa henkilötiedot ja mitä tällaisten tietojen antamatta jättämisestä
mahdollisesti seuraa

  • Tietojen antaminen perustuu tiedonantajan suostumukseen

Automaattisen päätöksenteon eli profiloinnin olemassaolo, merkitykselliset tiedot käsittelyyn
liittyvästä logiikasta sekä käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä:

  • Kyllä

Henkilötietojen keruun asiayhteys – erityisesti se, mikä on rekisteröityjen ja rekisterinpitäjän välinen suhde

  • Tiedonkerääjä ja toimeksiantajan mahdollinen asiakas

Henkilötietojen luonne – erityisesti se, käsitelläänkö arkaluonteisia tietoja tai rikostuomioihin
ja rikkomuksiin liittyviä henkilötietoja

  • Kerättävät tiedot koostuvat asioista, joilla toimeksiantajan mahdollinen asiakas kuvaa haastattelussa esitettyjen asioiden merkitystä yritykselleen, lisäarvona, hyötynä, mikä asiakkaan uudesta ratkaisusta on saatavissa

Asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin käyttö. Näin varmistetaan, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin.

TIETOJENKÄSITTELYN ULKOISTAMINEN

Rekisterinpitäjä voi ulkoistaa henkilötietojen käsittelyn. Ulkoistettuja palveluita ovat esimerkiksi

  • Tilitoimisto, joka maksaa työntekijöiden palkat
  • IT-tuki, jolla on pääsy henkilötietoihin

Näissä tilanteissa henkilötietojen katsotaan siirtyvän niin sanotulle henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka huolehtivat asianmukaisista suojatoimista ja varmistavat, että käsittely täyttää tietosuoja-asetuksen vaatimukset.

Näin varmistetaan rekisteröidyn oikeuksien suojelu. Tietojen käsittelijän on kerrottava rekisterinpitäjälle, jos se suunnittelee esimerkiksi henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten
rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

Yrittäjän tulisi ohjeistaa henkilötietojen käsittelijänä toimivaa palveluntarjoajaa. Ohjeet tulisi antaa kirjallisina. Ne ovat useimmiten osa niin sanottua tietojen käsittelysopimusta, jossa määritetään sekä rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet suhteessa käsiteltäviin henkilötietoihin.

Tietojenkäsittelysopimuksessa tulisi sopia vähintään seuraavista asioista

Tietojenkäsittelyn yksilöinti – Sopimukseen tulisi yksilöidä,

  • Keitä yksilöitä (työntekijät)
  • Millaisia tietoja (palkanmaksutiedot) ulkoistus koskee

KÄSITTELYN TURVALLISUUS

  • F-Securen työkaluilla ja Nexetic Shield Backup pilvivarmennus. Technopolis Hermian toimintaympäristö
  • Annettuja tietoja suojataan verkossa, sähköinen yhteys on SSL-suojattu.