GDPR Suomessa

EU:n yleinen tietosuoja-asetus (GDPR) suojaa henkilötietojasi. Tutustu oikeuksiisi ja siihen, miten tietosuoja-asetusta sovelletaan Suomessa.

Mikä on GDPR?

GDPR (General Data Protection Regulation) eli EU:n yleinen tietosuoja-asetus (asetus (EU) 2016/679) on Euroopan unionin tietosuojalainsäädännön kulmakivi. Asetus hyväksyttiin huhtikuussa 2016 ja se tuli täysimääräisesti voimaan 25. toukokuuta 2018. GDPR korvasi aiemman henkilötietodirektiivin (95/46/EY) ja yhtenäisti tietosuojasäännöt koko Euroopan talousalueella.

Asetuksen keskeisenä tavoitteena on vahvistaa yksilöiden oikeuksia omien henkilötietojensa käsittelyssä sekä luoda selkeät ja yhdenmukaiset säännöt henkilötietojen käsittelylle kaikissa EU:n jäsenvaltioissa. GDPR koskee kaikkia organisaatioita, jotka käsittelevät EU:ssa asuvien henkilöiden tietoja riippumatta siitä, missä organisaatio itse sijaitsee.

GDPR:n keskeisiä periaatteita ovat:

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyys — Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
  • Käyttötarkoitussidonnaisuus — Tietoja kerätään vain tiettyä, nimenomaista ja laillista tarkoitusta varten.
  • Tietojen minimointi — Kerätään vain käsittelyn tarkoituksen kannalta tarpeelliset tiedot.
  • Täsmällisyys — Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä.
  • Säilytyksen rajoittaminen — Tietoja säilytetään vain niin kauan kuin käsittelyn tarkoitus edellyttää.
  • Eheys ja luottamuksellisuus — Tietoja käsitellään tavalla, joka varmistaa asianmukaisen turvallisuuden.
  • Osoitusvelvollisuus — Rekisterinpitäjän on pystyttävä osoittamaan, että tietosuojaperiaatteita noudatetaan.

GDPR:n soveltaminen Suomessa

Suomessa GDPR:ää täydentää kansallinen tietosuojalaki (1050/2018), joka tuli voimaan 1. tammikuuta 2019. Tietosuojalaki täsmentää ja täydentää GDPR:n säännöksiä niiltä osin kuin asetus jättää kansallista liikkumavaraa jäsenvaltioille.

Kansallinen tietosuojalaki säätelee muun muassa seuraavia asioita:

  • Valvontaviranomaisen tehtävät ja toimivaltuudet Suomessa
  • Erityisiä henkilötietoryhmiä koskevat poikkeukset ja lisäedellytykset
  • Lasten henkilötietojen käsittelyä koskevat ikärajat (Suomessa 13 vuotta tietoyhteiskunnan palveluiden osalta)
  • Hallinnollisten seuraamusmaksujen määräämistä koskevat menettelysäännöt
  • Oikeusturvakeinot ja muutoksenhakuoikeus

Suomen tietosuojalaki toimii yhdessä GDPR:n kanssa siten, että GDPR on ensisijainen ja suoraan sovellettava säädös, ja kansallinen laki täydentää sitä niissä kohdissa, joissa EU-asetus antaa jäsenvaltioille harkintavaltaa.

Tärkeää tietää

GDPR on asetuksena suoraan sovellettavaa oikeutta kaikissa EU:n jäsenvaltioissa. Tämä tarkoittaa, että sen säännöksiä sovelletaan sellaisenaan ilman erillistä kansallista täytäntöönpanoa. Suomen tietosuojalaki ei korvaa GDPR:ää vaan toimii sen rinnalla täydentävänä sääntelynä.

Tietosuojavaltuutetun toimisto

Suomessa GDPR:n noudattamista valvoo tietosuojavaltuutetun toimisto, joka toimii itsenäisenä valvontaviranomaisena. Tietosuojavaltuutetun toimiston tehtävänä on valvoa henkilötietojen käsittelyä koskevan lainsäädännön noudattamista, edistää tietoisuutta henkilötietojen käsittelyyn liittyvistä riskeistä ja säännöistä sekä käsitellä rekisteröityjen tekemiä kanteluita.

Tietosuojavaltuutetun toimiston keskeisiä tehtäviä ovat:

  • Rekisteröityjen oikeuksien toteutumisen valvonta
  • Kanteluiden ja tietosuojaa koskevien ilmoitusten käsittely
  • Tietosuojaa koskeva neuvonta ja ohjaus
  • Tietoturvaloukkauksista tehtyjen ilmoitusten vastaanottaminen ja käsittely
  • Kansainvälinen yhteistyö muiden EU-maiden valvontaviranomaisten kanssa
  • Hallinnollisten seuraamusmaksujen määrääminen tietosuojarikkomuksista

Tietosuojavaltuutetun toimiston yhteystiedot

Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelinvaihde: 029 566 6700
Sähköposti: tietosuoja(at)om.fi
Verkkopalvelu: tietosuoja.fi

Rekisteröidyn oikeudet

GDPR takaa jokaiselle rekisteröidylle eli henkilölle, jonka henkilötietoja käsitellään, laajat oikeudet omiin tietoihinsa. Nämä oikeudet ovat voimassa kaikissa EU:n jäsenvaltioissa, mukaan lukien Suomessa. Alla on kuvattu rekisteröidyn keskeiset oikeudet yksityiskohtaisesti.

Oikeus saada tietoa

Rekisteröidyllä on oikeus saada selkeää ja ymmärrettävää tietoa siitä, miten hänen henkilötietojaan käsitellään. Rekisterinpitäjän on annettava rekisteröidylle tietoa muun muassa seuraavista asioista:

  • Rekisterinpitäjän ja mahdollisen tietosuojavastaavan yhteystiedot
  • Henkilötietojen käsittelyn tarkoitukset ja oikeusperuste
  • Käsiteltävät henkilötietoryhmät
  • Mahdolliset tietojen vastaanottajat tai vastaanottajaryhmät
  • Tietojen säilytysaika tai säilytysajan määrittämiskriteerit
  • Rekisteröidyn oikeudet, mukaan lukien oikeus tehdä valitus valvontaviranomaiselle

Tiedot on annettava tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

Oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan. Jos tietoja käsitellään, rekisteröidyllä on oikeus saada pääsy näihin tietoihin sekä saada jäljennös käsiteltävistä henkilötiedoista. Rekisterinpitäjän on vastattava pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että häntä koskevat epätarkat tai virheelliset henkilötiedot oikaistaan ilman aiheetonta viivytystä. Lisäksi rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennetyiksi, esimerkiksi toimittamalla lisäselvitys. Tämä oikeus on erityisen tärkeä tilanteissa, joissa virheelliset tiedot voivat johtaa vääriin päätöksiin tai haitallisiin seurauksiin.

Oikeus tietojen poistamiseen

Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista perusteista täyttyy:

  • Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin
  • Rekisteröity peruuttaa suostumuksensa eikä käsittelylle ole muuta oikeusperustetta
  • Rekisteröity vastustaa käsittelyä eikä käsittelylle ole perusteltua syytä
  • Henkilötietoja on käsitelty lainvastaisesti
  • Henkilötiedot on poistettava unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen lakisääteisen velvoitteen noudattamiseksi

Tätä oikeutta kutsutaan myös nimellä "oikeus tulla unohdetuksi". On kuitenkin huomattava, että oikeus ei ole ehdoton ja tiettyjen lakisääteisten velvoitteiden täyttämiseksi tietoja voidaan joutua säilyttämään.

Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on tietyissä tilanteissa oikeus vaatia, että hänen henkilötietojensa käsittelyä rajoitetaan. Käsittelyn rajoittamista voi pyytää esimerkiksi silloin, kun rekisteröity kiistää henkilötietojen paikkansapitävyyden, kun käsittely on lainvastaista mutta rekisteröity ei halua tietojen poistamista, tai kun rekisterinpitäjä ei enää tarvitse tietoja mutta rekisteröity tarvitsee niitä oikeudellisen vaateen esittämiseksi.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Lisäksi rekisteröidyllä on oikeus siirtää nämä tiedot toiselle rekisterinpitäjälle ilman, että alkuperäinen rekisterinpitäjä estää siirtoa. Tämä oikeus koskee tilanteita, joissa käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Oikeus vastustaa käsittelyä

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, kun käsittely perustuu yleiseen etuun tai rekisterinpitäjän oikeutettuun etuun. Suoramarkkinointia varten tehtävää henkilötietojen käsittelyä rekisteröidyllä on oikeus vastustaa aina ilman erityistä perustetta.

Kuinka käytät oikeuksiasi?

Voit käyttää edellä kuvattuja oikeuksiasi ottamalla yhteyttä suoraan rekisterinpitäjään eli siihen organisaatioon, joka käsittelee henkilötietojasi. Gem Dominionin osalta voit lähettää tietosuojaa koskevan pyynnön yhteystietosivumme kautta tai lähettämällä sähköpostia osoitteeseen info@briskspinboutique.com. Vastaamme pyyntöösi 30 päivän kuluessa.

Miten Gem Dominion noudattaa GDPR:ää

Gem Dominion on sitoutunut noudattamaan EU:n yleistä tietosuoja-asetusta ja Suomen kansallista tietosuojalakia kaikessa henkilötietojen käsittelyssä. Olemme toteuttaneet laajat tekniset ja organisatoriset toimenpiteet varmistaaksemme, että käyttäjiemme tiedot ovat turvassa.

Gem Dominionin tietosuojaan liittyvät käytännöt sisältävät muun muassa:

  • Tietosuojaseloste — Olemme laatineet kattavan tietosuojakäytännön, jossa kerromme avoimesti, mitä tietoja keräämme, mihin tarkoituksiin niitä käytämme ja miten suojaamme tietojasi.
  • Suostumuksen hallinta — Pyydämme käyttäjiltä selkeän ja yksiselitteisen suostumuksen ennen henkilötietojen käsittelyä niissä tilanteissa, joissa suostumus on käsittelyn oikeusperuste.
  • Tietojen minimointi — Keräämme vain ne henkilötiedot, jotka ovat välttämättömiä palvelumme tarjoamiseksi. Emme kerää ylimääräisiä tietoja.
  • Tietoturva — Käytämme SSL/TLS-salausta tiedonsiirron suojaamiseksi, ja henkilötiedot on suojattu asianmukaisilla teknisillä toimenpiteillä luvattomalta pääsyltä.
  • Säilytysajan rajoittaminen — Säilytämme henkilötietoja vain niin kauan kuin se on tarpeellista käsittelyn tarkoituksen kannalta tai lakisääteisten velvoitteiden täyttämiseksi.
  • Kolmansien osapuolten hallinta — Varmistamme, että kaikki yhteistyökumppanimme ja palveluntarjoajamme, jotka käsittelevät henkilötietoja puolestamme, noudattavat GDPR:n vaatimuksia.
  • Tietosuojavaikutusten arviointi — Suoritamme tietosuojavaikutusten arvioinnin (DPIA) aina, kun otamme käyttöön uusia henkilötietojen käsittelytapoja, joihin saattaa liittyä korkeita riskejä.

Lisätietoja henkilötietojesi käsittelystä löydät tietosuojakäytännöstämme.

Tietoturvaloukkaukset

GDPR edellyttää, että rekisterinpitäjä ilmoittaa henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimistolle) ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi loukkauksesta, paitsi jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille, on loukkauksesta ilmoitettava myös suoraan rekisteröidylle ilman aiheetonta viivytystä.

Gem Dominion on laatinut sisäiset menettelyohjeet tietoturvaloukkausten havaitsemiseksi, raportoimiseksi ja käsittelemiseksi. Menettelyohjeemme kattavat:

  • Loukkauksen tunnistaminen ja luokittelu vakavuusasteen mukaan
  • Välittömät toimenpiteet loukkauksen rajoittamiseksi ja vahinkojen minimoimiseksi
  • Loukkauksen dokumentointi ja raportointi tietosuojavaltuutetun toimistolle 72 tunnin kuluessa
  • Rekisteröityjen tiedottaminen, mikäli loukkaus todennäköisesti aiheuttaa korkean riskin heidän oikeuksilleen
  • Loukkauksen juurisyyn selvittäminen ja korjaavien toimenpiteiden toteuttaminen

Epäiletkö tietoturvaloukkausta?

Jos epäilet, että henkilötietojesi turvallisuus on vaarantunut Gem Dominionin palvelussa, ilmoita asiasta välittömästi yhteystietosivumme kautta tai sähköpostitse osoitteeseen info@briskspinboutique.com. Käsittelemme kaikki ilmoitukset kiireellisinä.

Valitusoikeus

Jos katsot, että henkilötietojesi käsittelyssä rikotaan GDPR:n säännöksiä, sinulla on oikeus tehdä valitus valvontaviranomaiselle. Suomessa valitus osoitetaan tietosuojavaltuutetun toimistolle.

Valituksen tekeminen on maksutonta, ja voit tehdä sen seuraavasti:

  • Täyttämällä tietosuojavaltuutetun toimiston verkkosivuilta löytyvän kantelulomakkeen
  • Lähettämällä vapaamuotoisen kantelun sähköpostitse tai postitse tietosuojavaltuutetun toimistoon

Valituksen tulee sisältää selkeä kuvaus siitä, mitä henkilötietojen käsittelyä koskevaa ongelmaa valitus koskee, kenen toimintaan se kohdistuu ja mitä toimenpiteitä olet jo mahdollisesti itse tehnyt asian ratkaisemiseksi.

Suosittelemme, että ennen valituksen tekemistä otat ensin yhteyttä suoraan rekisterinpitäjään eli Gem Dominioniin. Pyrimme aina ratkaisemaan tietosuojaa koskevat asiat yhteistyössä käyttäjiemme kanssa mahdollisimman nopeasti ja joustavasti.

Sinulla on myös oikeus saattaa asia tuomioistuimen käsiteltäväksi, jos katsot, että tietosuojaoikeuksiasi on loukattu GDPR:n tai kansallisen tietosuojalain vastaisesti.

Valituksen tekeminen tietosuojavaltuutetulle

Voit tehdä valituksen tietosuojavaltuutetun toimiston verkkosivujen kautta osoitteessa tietosuoja.fi. Sivustolta löydät ohjeet kantelun tekemiseen sekä tarvittavat lomakkeet. Valitus on käsiteltävä kohtuullisessa ajassa ja sinulle ilmoitetaan kantelun etenemisestä.

Yhteystiedot

Jos sinulla on kysyttävää GDPR:ään, henkilötietojesi käsittelyyn tai tietosuojaoikeuksiesi käyttämiseen liittyen, voit ottaa yhteyttä Gem Dominioniin seuraavasti:

Pyrimme vastaamaan kaikkiin tietosuojaa koskeviin tiedusteluihin 30 päivän kuluessa yhteydenoton vastaanottamisesta. Monimutkaisissa tapauksissa vastausaikaa voidaan jatkaa enintään kahdella kuukaudella, mistä ilmoitamme sinulle erikseen.

Lisätietoja henkilötietojen käsittelystä Gem Dominionissa löydät tietosuojakäytännöstämme. Jos haluat keskustella tietosuoja-asioista henkilökohtaisesti, voit myös varata ajan asiakaspalvelustamme yhteystietosivumme kautta.