Tietosuojaseloste
Yleinen tietosuoja-asetus (EU 2016/679) art. 13–14; Tietosuojalaki (1050/2018)
TIETOSUOJASELOSTE
[Rekisterinpitaja Nimi]
Verkkosivusto: [Verkkosivusto] — Päivitetty [Paivays]
1. JOHDANTO
[Rekisterinpitaja Nimi], Y-tunnus [Rekisterinpitaja Ytunnus], osoite [Rekisterinpitaja Osoite] (jäljempänä ”Rekisterinpitäjä” tai ”me”), on rekisterinpitäjä tässä tietosuojaselosteessa kuvatussa henkilötietojen käsittelyssä. Verkkosivustoa [Verkkosivusto] käytetään tässä selosteessa kuvattuihin tarkoituksiin.
Tämä tietosuojaseloste on laadittu yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan informointivelvollisuuden ja tietosuojalain (1050/2018) mukaisesti. Seloste kuvaa, miten Rekisterinpitäjä kerää, käyttää, säilyttää ja luovuttaa henkilötietoja sekä mitä oikeuksia sinulla rekisteröitynä on. Valvontaviranomainen on tietosuojavaltuutetun toimisto.
2. YHTEYSTIEDOT
Rekisterinpitäjä: [Rekisterinpitaja Nimi], Y-tunnus [Rekisterinpitaja Ytunnus], [Rekisterinpitaja Osoite]. Sähköposti: [Rekisterinpitaja Epost].
Tietosuojavastaava: [Tietosuojavastaava]. Tietosuojavastaava on suoraan tavoitettavissa tietosuojaa koskevissa kysymyksissä yleisen tietosuoja-asetuksen (EU 2016/679) 38 artiklan 4 kohdan mukaisesti.
3. KÄSITELTÄVÄT HENKILÖTIETORYHMÄT
Rekisterinpitäjä käsittelee seuraavia henkilötietoryhmiä: [Tietoryhmat].
Tietolähteet: [Tietolahteet]. Jos henkilötietoja kerätään muualta kuin rekisteröidyltä itseltään, sovelletaan yleisen tietosuoja-asetuksen (EU 2016/679) 14 artiklan informointivelvollisuutta.
4. KÄSITTELYN TARKOITUKSET JA OIKEUSPERUSTEET
Rekisterinpitäjä käsittelee henkilötietoja seuraaviin tarkoituksiin: [Kasittelyn Tarkoitus].
Käsittelyn oikeusperusteet yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti: [Oikeusperuste].
Kun käsittely perustuu suostumukseen 6 artiklan 1 kohdan a alakohdan mukaisesti, sinulla on oikeus peruuttaa suostumus milloin tahansa. Peruuttaminen ei vaikuta ennen sitä tehdyn käsittelyn lainmukaisuuteen. Kun käsittely perustuu oikeutettuun etuun 6 artiklan 1 kohdan f alakohdan mukaisesti, Rekisterinpitäjä on tehnyt intressivertailun. Suoramarkkinointia voit aina vastustaa maksutta 21 artiklan 2 kohdan mukaisesti.
5. HENKILÖTIETOJEN SÄILYTYSAJAT
Henkilötietoja säilytetään vain niin kauan kuin on tarpeen niihin tarkoituksiin, joita varten ne on kerätty, tai niin kauan kuin laki edellyttää. Konkreettiset säilytysajat: [Sailytysaika].
Kirjanpitotiedot säilytetään kuusi vuotta kirjanpitolain (1336/1997) mukaisesti. Säilytysajan päätyttyä henkilötiedot poistetaan tai anonymisoidaan.
6. HENKILÖTIETOJEN VASTAANOTTAJAT JA SIIRROT
Rekisterinpitäjä voi luovuttaa henkilötietoja seuraaville vastaanottajille: [Vastaanottajat]. Käsittelijöiden kanssa solmitaan tietojenkäsittelysopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti.
Siirrot EU:n ja ETA:n ulkopuolelle: [Siirrot E U Ulkopuolelle]. Mahdolliset siirrot kolmansiin maihin tehdään yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisin suojatoimin, ensisijaisesti komission hyväksymin vakiosopimuslausekkein 46 artiklan mukaisesti tai komission riittävyyspäätöksen 45 artiklan mukaisesti.
7. REKISTERÖIDYN OIKEUDET
Sinulla on rekisteröitynä seuraavat oikeudet yleisen tietosuoja-asetuksen (EU 2016/679) ja tietosuojalain (1050/2018) mukaisesti:
Oikeus saada pääsy tietoihin 15 artiklan mukaisesti — saada vahvistus tietojesi käsittelystä ja jäljennös tiedoista.
Oikeus tietojen oikaisuun 16 artiklan mukaisesti — saada virheelliset tai puutteelliset tiedot oikaistuiksi.
Oikeus tietojen poistamiseen 17 artiklan mukaisesti (oikeus tulla unohdetuksi).
Oikeus käsittelyn rajoittamiseen 18 artiklan mukaisesti.
Oikeus siirtää tiedot järjestelmästä toiseen 20 artiklan mukaisesti jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.
Oikeus vastustaa käsittelyä 21 artiklan mukaisesti, erityisesti suoramarkkinointia.
Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi 22 artiklan mukaisesti.
Oikeus peruuttaa suostumus 7 artiklan 3 kohdan mukaisesti milloin tahansa.
Oikeus tehdä valitus tietosuojavaltuutetun toimistolle 77 artiklan mukaisesti.
Voit käyttää oikeuksiasi ottamalla yhteyttä osoitteeseen [Rekisterinpitaja Epost]. Vastaamme pyyntöösi ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa yleisen tietosuoja-asetuksen (EU 2016/679) 12 artiklan 3 kohdan mukaisesti.
8. EVÄSTEET JA SEURANTATEKNIIKAT
Verkkosivusto käyttää evästeitä ja vastaavia seurantatekniikoita sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti. Muiden kuin palvelun toiminnan kannalta välttämättömien evästeiden osalta pyydetään suostumuksesi, joka kerätään verkkosivuston suostumusbannerilla.
Evästeitä käytetään (a) teknisesti välttämättömiin toimintoihin (ostoskori, kirjautuminen, tietoturva); (b) tilastointiin ja analytiikkaan; (c) markkinointiin ja personointiin, jos olet antanut suostumuksesi; (d) kolmansien osapuolten evästeisiin sosiaalisesta mediasta, jos olet antanut suostumuksesi. Voit muuttaa eväste-asetuksiasi milloin tahansa verkkosivuston asetuksista tai selaimesta.
9. TIETOTURVA
Rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimet yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti suojatakseen henkilötietojasi luvattomalta pääsyltä, laittomalta käsittelyltä, vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Turvatoimet sisältävät salauksen (SSL/TLS tiedonsiirrossa), pääsynhallinnan käyttöoikeuksin, monivaiheisen tunnistautumisen hallinnollisiin järjestelmiin sekä henkilöstön koulutuksen tietoturvassa.
Henkilötietojen tietoturvaloukkauksen sattuessa Rekisterinpitäjä ilmoittaa siitä tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti, ja korkean riskin tilanteessa ilmoittaa loukkauksesta sinulle 34 artiklan mukaisesti.
10. TIETOSUOJASELOSTEEN MUUTTAMINEN
Tätä tietosuojaselostetta voidaan muuttaa henkilötietojen käsittelyn muutosten, uuden lainsäädännön tai tietosuojavaltuutetun toimiston käytännön vuoksi. Olennaisista muutoksista ilmoitamme verkkosivustolla tai suoraan, jos sinulla on tili. Ajantasaisin versio on aina saatavilla osoitteessa [Verkkosivusto].
11. VALITUS JA YHTEYDENOTTO
Jos olet tyytymätön henkilötietojesi käsittelyyn, ota ensin yhteyttä osoitteeseen [Rekisterinpitaja Epost]. Sinulla on myös oikeus tehdä valitus valvontaviranomaiselle yleisen tietosuoja-asetuksen (EU 2016/679) 77 artiklan mukaisesti.
Tietosuojavaltuutetun toimisto on Suomen kansallinen valvontaviranomainen yleisen tietosuoja-asetuksen (EU 2016/679) 51 artiklan ja tietosuojalain (1050/2018) mukaisesti. Valitus voidaan tehdä tietosuojavaltuutetun toimiston verkkosivuston kautta tai postitse.
Mikä on Tietosuojaseloste?
Tietosuojaseloste Suomessa on julkinen seloste, jolla organisaatio rekisterinpitäjänä kertoo rekisteröidyille, miten heidän henkilötietojaan kerätään, käytetään, säilytetään ja luovutetaan. Seloste täyttää informointivelvollisuuden yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti yhdessä tietosuojalain (1050/2018) ja evästeiden osalta sähköisen viestinnän palveluista annetun lain (917/2014) kanssa. Seloste ilmoittaa rekisterinpitäjän, käsiteltävät tietoryhmät, käsittelyn oikeusperusteet 6 artiklan mukaisesti, säilytysajat, rekisteröidyn oikeudet ja oikeuden tehdä valitus tietosuojavaltuutetun toimistolle.
Informointivelvollisuus on rekisterinpitäjän perustava velvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti. Kun henkilötietoja kerätään rekisteröidyltä itseltään, sovelletaan 13 artiklaa; kun tietoja kerätään muista lähteistä, sovelletaan 14 artiklaa. Tietosuojaseloste on käytännön väline tämän velvollisuuden täyttämiseksi kootusti ja saatavilla olevalla tavalla, ja se mahdollistaa sen, että rekisteröidyt ymmärtävät ja voivat valvoa, miten heidän tietojaan käsitellään.
Rekisterinpitäjä on se, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot yleisen tietosuoja-asetuksen (EU 2016/679) 4 artiklan 7 kohdan mukaisesti. Tietosuojaselosteessa on yksilöitävä rekisterinpitäjä nimellä, Y-tunnuksella ja yhteystiedoilla. Jos organisaatio on nimennyt tietosuojavastaavan yleisen tietosuoja-asetuksen (EU 2016/679) 37 artiklan mukaisesti, myös tämän yhteystiedot on ilmoitettava. Tietosuojavastaava on pakollinen viranomaisille ja organisaatioille, jotka harjoittavat laajamittaista tai järjestelmällistä seurantaa tai käsittelevät erityisiä henkilötietoryhmiä laajassa mittakaavassa.
Seloste ilmoittaa käsiteltävät henkilötietoryhmät ja käsittelyn tarkoitukset. Tavanomaisia ryhmiä ovat yhteystiedot, tilaus- ja maksutiedot, IP-osoite, evästetiedot, asiakaspalveluviestintä ja kirjautumistiedot. Kullekin tarkoitukselle on ilmoitettava oikeusperuste yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti, esimerkiksi sopimus, suostumus, oikeutettu etu tai lakisääteinen velvoite. Selkeä oikeusperuste kullekin käsittelytoimelle on informointivelvollisuuden ydin.
Seloste ilmoittaa eri tietoryhmien säilytysajat. Henkilötietoja saa säilyttää vain niin kauan kuin on tarpeen tarkoituksiin, tai niin kauan kuin laki edellyttää. Esimerkiksi kirjanpitotiedot säilytetään kuusi vuotta kirjanpitolain (1336/1997) mukaisesti, kun taas asiakastiedot säilytetään asiakassuhteen ajan ja tietyn ajan sen jälkeen. Säilytysajan päätyttyä tiedot poistetaan tai anonymisoidaan.
Rekisteröidyn oikeudet ovat selosteen keskeinen osa. Rekisteröidyllä on muun muassa oikeus saada pääsy tietoihin yleisen tietosuoja-asetuksen (EU 2016/679) 15 artiklan mukaisesti, oikeus oikaisuun 16 artiklan mukaisesti, oikeus poistamiseen 17 artiklan mukaisesti, oikeus käsittelyn rajoittamiseen 18 artiklan mukaisesti, oikeus siirtää tiedot 20 artiklan mukaisesti, oikeus vastustaa käsittelyä 21 artiklan mukaisesti ja oikeus olla joutumatta automaattisen päätöksenteon kohteeksi 22 artiklan mukaisesti. Seloste informoi näistä oikeuksista ja niiden käyttötavasta.
Evästeiden käyttöä säännellään sähköisen viestinnän palveluista annetulla lailla (917/2014), joka panee täytäntöön sähköisen viestinnän tietosuojadirektiivin. Muiden kuin palvelun toiminnan kannalta välttämättömien evästeiden osalta tarvitaan rekisteröidyn suostumus, joka kerätään tyypillisesti suostumusbannerilla. Tietosuojaseloste tai erillinen evästeseloste kuvaa, mitä evästeitä käytetään ja mihin tarkoituksiin.
Erot lähisukuisiin asiakirjoihin ovat merkittäviä. Tietosuojaseloste täyttää informointivelvollisuuden rekisteröityjä kohtaan, kun taas tietojenkäsittelysopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti sääntelee rekisterinpitäjän ja käsittelijän suhdetta. GDPR-tietopyyntö on rekisteröidyn väline käyttää tarkastusoikeuttaan 15 artiklan mukaisesti. Laajempi forms-legal.com -kirjasto kattaa nämä täydentävät mallit suomalaiseen tietosuojadokumentaatioon, muun muassa GDPR-tietopyynnön ja yhtiöjärjestyksen.
Milloin tarvitset asiakirjan Tietosuojaseloste?
Tietosuojaseloste Suomessa tarvitaan kaikilla organisaatioilla, jotka käsittelevät henkilötietoja, koska informointivelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti koskee lähes kaikkea henkilötietojen käsittelyä. Tietosuojaseloste on käytännön väline tämän velvollisuuden täyttämiseksi.
Verkkokaupat ja verkkoliiketoiminta. Kaikkien verkkokauppojen, jotka käsittelevät asiakastietoja, tilauksia ja maksuja, on oltava tietosuojaseloste. Selosteen on kuvattava, mitä tietoja kerätään ostojen yhteydessä, mitkä oikeusperusteet pätevät (tyypillisesti sopimus yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan 1 kohdan b alakohdan mukaisesti), kuinka kauan tietoja säilytetään, ja mitä käsittelijöitä ja maksunvälittäjiä käytetään. Seloste yhdistetään evästeselosteeseen ja suostumusbanneriin sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti.
Verkkosivustot, joilla on yhteydenottolomake tai uutiskirje. Jopa yksinkertaisten verkkosivustojen, jotka keräävät henkilötietoja yhteydenottolomakkeen, uutiskirjeen tilauksen tai analytiikkatyökalujen kautta, on oltava tietosuojaseloste. Selosteen on informoitava kävijöitä käsittelystä ja heidän oikeuksistaan yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti. Suostumukseen perustuvassa uutiskirjeessä 6 artiklan 1 kohdan a alakohdan mukaisesti selosteen on informoitava oikeudesta peruuttaa suostumus.
Työnantajat ja työntekijöiden tietojen käsittely. Kaikki työnantajat käsittelevät työntekijöiden henkilötietoja, kuten henkilöstörekisteriä, palkkaa, poissaoloja ja viestintää. Työnantajalla tulisi olla oma tietosuojaseloste tai tietosuojakäytäntö työntekijöille, joka kuvaa käsittelyn, oikeusperusteet ja säilytysajat yleisen tietosuoja-asetuksen (EU 2016/679) ja tietosuojalain (1050/2018) mukaisesti. Työntekijöiden tietojen käsittelyä säännellään lisäksi yksityisyyden suojasta työelämässä annetulla lailla (759/2004).
Yhdistykset ja vapaaehtoisjärjestöt. Yhdistykset ja vapaaehtoisjärjestöt, jotka käsittelevät jäsentietoja, osallistujalistoja ja yhteystietoja, kuuluvat myös yleisen tietosuoja-asetuksen (EU 2016/679) piiriin ja niiden on informoitava jäseniä tietosuojaselosteella. Selosteen on kuvattava, mitä tietoja käsitellään, mihin tarkoituksiin ja kuinka kauan niitä säilytetään. Myös pienemmillä järjestöillä on informointivelvollisuus 13 ja 14 artiklan mukaisesti.
Organisaatiot, joilla on asiakastilejä ja kanta-asiakasohjelmia. Organisaatiot, jotka tarjoavat asiakastilejä, kanta-asiakasohjelmia tai jäsenyyksiä, käsittelevät laajoja asiakastietoja ja niillä tulisi olla perusteellinen tietosuojaseloste. Selosteen on kuvattava profilointi ja kohdennettu markkinointi, jos sellaista esiintyy, ja informoitava oikeudesta vastustaa käsittelyä yleisen tietosuoja-asetuksen (EU 2016/679) 21 artiklan mukaisesti. Automaattisesta päätöksenteosta on informoitava 22 artiklan mukaisesti.
Organisaatiot, jotka siirtävät tietoja kolmansiin maihin. Organisaatioiden, jotka käyttävät pilvipalveluja, toimittajia tai yhteistyökumppaneita EU:n ja ETA:n ulkopuolella, on informoitava tietosuojaselosteessa siirroista kolmansiin maihin ja siirron perusteesta yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti, esimerkiksi komission vakiosopimuslausekkeista. Tämä on ajankohtaista useimmille organisaatioille, jotka käyttävät kansainvälisiä IT-palveluja.
Markkinointia ja analytiikkaa harjoittavat organisaatiot. Organisaatiot, jotka harjoittavat digitaalista markkinointia, uudelleenmarkkinointia ja verkkoanalytiikkaa, käsittelevät henkilötietoja evästeiden ja seurantatekniikoiden kautta. Tietosuojaselosteen ja evästeselosteen on kuvattava tämä käsittely, ja suostumus on kerättävä sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti muille kuin välttämättömille evästeille. Suostumuksen oikea käsittely on keskeistä tietosuojavaltuutetun toimiston reaktioiden välttämiseksi.
Viranomaiset ja julkiset organisaatiot. Viranomaisilla, kunnilla ja julkisilla toimijoilla, jotka käsittelevät kansalaisten henkilötietoja, on informointivelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti, ja niillä on oltava tietosuojaseloste. Julkisten organisaatioiden on lisäksi nimettävä tietosuojavastaava 37 artiklan mukaisesti. Selosteen on kuvattava käsittely, oikeusperusteet, jotka ovat usein lakisääteinen velvoite tai julkisen vallan käyttö 6 artiklan mukaisesti, ja kansalaisten oikeudet.
Mitä Tietosuojaseloste sisältää
Kattava Tietosuojaseloste Suomessa sisältää seuraavat keskeiset osatekijät täyttääkseen informointivelvollisuuden yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan ja tietosuojalain (1050/2018) mukaisesti.
Rekisterinpitäjän yksilöinti. Selosteessa on ilmoitettava rekisterinpitäjän nimi, Y-tunnus (NNNNNNN-N) ja yhteystiedot yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan 1 kohdan a alakohdan mukaisesti. Rekisterinpitäjä on se, joka määrittää käsittelyn tarkoitukset ja keinot 4 artiklan 7 kohdan mukaisesti. Selkeät yhteystiedot mahdollistavat rekisteröidyille yhteydenoton tietosuojakysymyksissä ja oikeuksien käyttämisen.
Tietosuojavastaavan yhteystiedot. Jos organisaatio on nimennyt tietosuojavastaavan yleisen tietosuoja-asetuksen (EU 2016/679) 37 artiklan mukaisesti, selosteessa on ilmoitettava tämän yhteystiedot 13 artiklan 1 kohdan b alakohdan mukaisesti. Tietosuojavastaava on pakollinen viranomaisille ja organisaatioille, jotka harjoittavat laajamittaista tai järjestelmällistä seurantaa tai käsittelevät erityisiä henkilötietoryhmiä laajassa mittakaavassa. Tietosuojavastaava on yhteyspiste rekisteröidyille ja tietosuojavaltuutetun toimistolle.
Käsittelyn tarkoitukset ja oikeusperusteet. Selosteessa on ilmoitettava käsittelyn tarkoitukset ja kunkin tarkoituksen oikeusperuste yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan 1 kohdan c alakohdan mukaisesti. Oikeusperusteet seuraavat 6 artiklasta: suostumus (a alakohta), sopimus (b alakohta), lakisääteinen velvoite (c alakohta), elintärkeät edut (d alakohta), yleinen etu tai julkinen valta (e alakohta) tai oikeutettu etu (f alakohta). Oikeutetun edun yhteydessä intressivertailu on mainittava, ja suostumuksen yhteydessä oikeus sen peruuttamiseen.
Käsiteltävät henkilötietoryhmät. Selosteessa on kuvattava käsiteltävät henkilötietoryhmät, esimerkiksi yhteystiedot, tilaus- ja maksutiedot, IP-osoite, evästetiedot, asiakaspalveluviestintä ja kirjautumistiedot. Erityisten henkilötietoryhmien käsittelyssä yleisen tietosuoja-asetuksen (EU 2016/679) 9 artiklan mukaisesti, kuten terveystietojen, on ilmoitettava tällaisen käsittelyn erityinen peruste.
Henkilötietojen vastaanottajat. Selosteessa on ilmoitettava henkilötietojen vastaanottajat tai vastaanottajaryhmät yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan 1 kohdan e alakohdan mukaisesti. Tämä kattaa käsittelijät, jotka käsittelevät tietoja rekisterinpitäjän puolesta tietojenkäsittelysopimuksella 28 artiklan mukaisesti, sekä viranomaiset, maksunvälittäjät ja yhteistyökumppanit. Siirroista kolmansiin maihin on ilmoitettava siirron peruste 44–49 artiklan mukaisesti.
Säilytysajat. Selosteessa on ilmoitettava, kuinka kauan henkilötietoja säilytetään, tai säilytysajan määrittämiskriteerit, yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan 2 kohdan a alakohdan mukaisesti. Henkilötietoja saa säilyttää vain niin kauan kuin on tarpeen tarkoituksiin, tai niin kauan kuin laki edellyttää. Kirjanpitotiedot säilytetään kuusi vuotta kirjanpitolain (1336/1997) mukaisesti. Tämä erottaa forms-legal.com -kirjaston suomalaisen tietosuojaselostemallin yleisistä malleista.
Rekisteröidyn oikeudet. Selosteessa on informoitava rekisteröidyn oikeuksista yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan 2 kohdan b alakohdan mukaisesti: oikeus saada pääsy tietoihin 15 artiklan mukaisesti, oikaisuun 16 artiklan, poistamiseen 17 artiklan, rajoittamiseen 18 artiklan, siirtämiseen 20 artiklan ja vastustamiseen 21 artiklan mukaisesti. Selosteen on myös informoitava oikeudesta peruuttaa suostumus 7 artiklan 3 kohdan mukaisesti ja oikeuksien käyttötavasta.
Evästeet ja seurantatekniikat. Selosteen tai erillisen evästeselosteen on kuvattava evästeiden ja vastaavien seurantatekniikoiden käyttö sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti. Muiden kuin välttämättömien evästeiden osalta tarvitaan suostumus, joka kerätään suostumusbannerilla. Selosteen on kuvattava käytettävät evästetyypit (tekniset, tilastointi, markkinointi) ja se, miten rekisteröity voi muuttaa asetuksiaan.
Tietoturva ja valitusoikeus. Selosteen tulisi kuvata tekniset ja organisatoriset turvatoimet yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti, kuten salaus, pääsynhallinta ja koulutus, sekä menettely tietoturvaloukkauksen sattuessa, mukaan lukien ilmoitus tietosuojavaltuutetun toimistolle 72 tunnin kuluessa 33 artiklan mukaisesti. Selosteen on informoitava oikeudesta tehdä valitus tietosuojavaltuutetun toimistolle 77 artiklan mukaisesti, joka on Suomen kansallinen valvontaviranomainen tietosuojalain (1050/2018) mukaisesti.
Näin täytät asiakirjan Tietosuojaseloste
Tietosuojaseloste Suomessa täytetään oikein noudattamalla seuraavia vaiheita järjestelmällisesti, jotta seloste täyttää informointivelvollisuuden yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan ja tietosuojalain (1050/2018) mukaisesti.
Vaihe 1 — Ilmoita rekisterinpitäjä. Ilmoita organisaation täydellinen nimi, Y-tunnus (NNNNNNN-N) ja osoite kaupparekisterin mukaisesti sekä sähköpostiosoite tietosuojakysymyksiä varten. Rekisterinpitäjä on se, joka määrittää käsittelyn tarkoitukset ja keinot yleisen tietosuoja-asetuksen (EU 2016/679) 4 artiklan 7 kohdan mukaisesti. Selkeät yhteystiedot ovat edellytys rekisteröityjen oikeuksien käyttämiselle.
Vaihe 2 — Ilmoita tietosuojavastaava tarvittaessa. Jos organisaatio on nimennyt tietosuojavastaavan yleisen tietosuoja-asetuksen (EU 2016/679) 37 artiklan mukaisesti, ilmoita tämän nimi ja sähköpostiosoite. Tietosuojavastaava on pakollinen viranomaisille ja organisaatioille, jotka harjoittavat laajamittaista tai järjestelmällistä seurantaa tai käsittelevät erityisiä henkilötietoryhmiä laajassa mittakaavassa. Jos vastaavaa ei ole, tämä kenttä voi jäädä tyhjäksi.
Vaihe 3 — Ilmoita verkkosivusto ja tarkoitus. Ilmoita verkkosivuston osoite, jota tietosuojaseloste koskee. Tämä antaa rekisteröidyille kontekstin sille, mitä käsittelyä seloste koskee, ja yhdistää selosteen konkreettiseen organisaatioon ja sen toimintaan.
Vaihe 4 — Ilmoita henkilötietoryhmät. Kuvaa, mitä henkilötietoryhmiä organisaatio kerää ja käsittelee, esimerkiksi yhteystiedot (nimi, osoite, sähköposti, puhelinnumero), tilaustiedot, maksutiedot, IP-osoite, evästetiedot, asiakaspalveluviestintä ja kirjautumistiedot. Ole konkreettinen, jotta rekisteröidyt ymmärtävät, mitä heistä tosiasiassa käsitellään.
Vaihe 5 — Ilmoita oikeusperusteet kullekin tarkoitukselle. Ilmoita kunkin käsittelytoimen oikeusperuste yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti: sopimus asiakassuhteessa (b alakohta), suostumus uutiskirjeessä (a alakohta), oikeutettu etu markkinoinnissa ja analytiikassa (f alakohta), ja lakisääteinen velvoite kirjanpidossa ja verotuksessa (c alakohta). Oikeutetun edun yhteydessä kuvaa intressivertailu, ja suostumuksen yhteydessä informoi oikeudesta sen peruuttamiseen.
Vaihe 6 — Ilmoita säilytysajat. Kuvaa, kuinka kauan eri tietoryhmiä säilytetään, tai säilytysajan määrittämiskriteerit. Esimerkiksi kirjanpitotiedot säilytetään kuusi vuotta kirjanpitolain (1336/1997) mukaisesti, asiakastilit asiakassuhteen ajan ja tietyn ajan sen jälkeen, ja markkinointitiedot suostumuksen peruuttamiseen saakka. Säilytysajan päätyttyä tiedot poistetaan tai anonymisoidaan.
Vaihe 7 — Kuvaa vastaanottajat ja mahdolliset siirrot. Kuvaa, kenelle tietoja luovutetaan, esimerkiksi käsittelijöille tietojenkäsittelysopimuksella yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti, maksunvälittäjille, viranomaisille ja yhteistyökumppaneille. Jos tietoja siirretään EU:n ja ETA:n ulkopuolelle, ilmoita siirron peruste 44–49 artiklan mukaisesti, esimerkiksi komission vakiosopimuslausekkeet.
Vaihe 8 — Informoi rekisteröidyn oikeuksista. Kuvaa rekisteröidyn oikeudet yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti: pääsy 15 artiklan, oikaisu 16 artiklan, poistaminen 17 artiklan, rajoittaminen 18 artiklan, siirtäminen 20 artiklan, vastustaminen 21 artiklan ja suostumuksen peruuttaminen 7 artiklan 3 kohdan mukaisesti. Ilmoita, miten oikeuksia käytetään, tyypillisesti ottamalla yhteyttä organisaation tietosuojasähköpostiin.
Vaihe 9 — Kuvaa evästeet ja tietoturva. Kuvaa evästeiden käyttö sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti, mukaan lukien se, että suostumus kerätään muille kuin välttämättömille evästeille. Kuvaa tekniset ja organisatoriset turvatoimet yleisen tietosuoja-asetuksen (EU 2016/679) 32 artiklan mukaisesti sekä menettely tietoturvaloukkauksen sattuessa ilmoituksineen tietosuojavaltuutetun toimistolle 33 artiklan mukaisesti.
Vaihe 10 — Informoi valitusoikeudesta ja julkaise seloste. Informoi oikeudesta tehdä valitus tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen (EU 2016/679) 77 artiklan mukaisesti. Julkaise tietosuojaseloste saataville verkkosivustolle, tyypillisesti sivun alatunnisteeseen, jotta se on helposti löydettävissä. Päivitä seloste käsittelyn tai lainsäädännön muutosten yhteydessä ja ilmoita päiväys viimeisimmästä päivityksestä (muoto PP.KK.VVVV).
Tietosuojaseloste – lakisääteiset vaatimukset
Tietosuojaseloste Suomessa kuuluu yleisen tietosuoja-asetuksen (EU 2016/679), tietosuojalain (1050/2018) ja sähköisen viestinnän palveluista annetun lain (917/2014) sääntelyn piiriin, joka määrää selosteen sisällön ja henkilötietojen käsittelyn.
Yleinen tietosuoja-asetus (EU 2016/679) sovelletaan suoraan Suomessa. Yleinen tietosuoja-asetus, Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, on suoraan sovellettavaa oikeutta Suomessa, ja sitä täydentää kansallinen tietosuojalaki (1050/2018). Samat perusvelvollisuudet ja -oikeudet pätevät Suomessa kuin muualla EU:ssa. Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo sääntelyn noudattamista.
Informointivelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti. Kun henkilötietoja kerätään rekisteröidyltä itseltään, rekisterinpitäjän on annettava tiedot 13 artiklan mukaisesti; kun tietoja kerätään muista lähteistä, sovelletaan 14 artiklaa. Tiedot kattavat rekisterinpitäjän henkilöllisyyden ja yhteystiedot, mahdollisen tietosuojavastaavan, käsittelyn tarkoitukset ja oikeusperusteet, vastaanottajat, mahdolliset siirrot kolmansiin maihin, säilytysajat, rekisteröidyn oikeudet ja oikeuden tehdä valitus tietosuojavaltuutetun toimistolle. Tietosuojaseloste on käytännön väline tämän velvollisuuden täyttämiseksi kootusti.
Käsittelyn oikeusperuste yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti. Kaiken henkilötietojen käsittelyn on perustuttava 6 artiklan mukaiseen oikeusperusteeseen: suostumus, sopimus, lakisääteinen velvoite, elintärkeät edut, yleinen etu tai oikeutettu etu. Selosteessa on ilmoitettava peruste kullekin tarkoitukselle. Erityisten henkilötietoryhmien käsittelyssä 9 artiklan mukaisesti, kuten terveys, uskonto tai ammattiliiton jäsenyys, tarvitaan erityinen peruste. Käsittelyn on myös täytettävä 5 artiklan perusperiaatteet, kuten lainmukaisuus, käyttötarkoitussidonnaisuus, tietojen minimointi ja säilytyksen rajoittaminen.
Rekisteröidyn oikeudet yleisen tietosuoja-asetuksen (EU 2016/679) III luvun mukaisesti. Rekisteröidyllä on oikeus saada pääsy tietoihin 15 artiklan mukaisesti, oikaisuun 16 artiklan, poistamiseen 17 artiklan, rajoittamiseen 18 artiklan, siirtämiseen 20 artiklan ja vastustamiseen 21 artiklan mukaisesti. Rekisteröidyllä on lisäksi oikeus olla joutumatta automaattisen päätöksenteon kohteeksi 22 artiklan mukaisesti ja oikeus peruuttaa suostumus 7 artiklan 3 kohdan mukaisesti. Rekisterinpitäjän on vastattava pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa 12 artiklan 3 kohdan mukaisesti.
Evästeet sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti. Evästeiden ja vastaavien seurantatekniikoiden käyttöä säännellään sähköisen viestinnän palveluista annetulla lailla, joka panee täytäntöön sähköisen viestinnän tietosuojadirektiivin. Muiden kuin palvelun toiminnan kannalta välttämättömien evästeiden osalta tarvitaan tietoon perustuva suostumus. Suostumus kerätään tyypillisesti suostumusbannerilla verkkosivustolla. Selosteen tai erillisen evästeselosteen on kuvattava käytettävät evästeet ja niiden tarkoitukset.
Tietojenkäsittelysopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti. Kun rekisterinpitäjä käyttää käsittelijää, joka käsittelee henkilötietoja sen puolesta, kuten IT-palveluntarjoajaa tai sähköpostipalvelua, on solmittava tietojenkäsittelysopimus 28 artiklan mukaisesti. Sopimuksen on sääntelevä muun muassa tarkoitus, kesto, turvatoimet ja alikäsittelijöiden käyttö. Tietosuojaselosteen tulisi ilmoittaa, että käsittelijöitä käytetään tällaisin sopimuksin.
Siirrot kolmansiin maihin yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti. Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle edellyttää erityistä siirtoperustetta. Tämä voi olla komission riittävyyspäätös 45 artiklan mukaisesti, komission vakiosopimuslausekkeet 46 artiklan mukaisesti, yritystä koskevat sitovat säännöt 47 artiklan mukaisesti tai poikkeukset 49 artiklan mukaisesti. Selosteen on informoitava mahdollisesta siirrosta kolmansiin maihin ja siirron perusteesta.
Tietoturva ja loukkausten käsittely yleisen tietosuoja-asetuksen (EU 2016/679) 32–34 artiklan mukaisesti. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset turvatoimet 32 artiklan mukaisesti varmistaakseen riskiin suhteutetun turvatason. Henkilötietojen tietoturvaloukkauksen sattuessa rekisterinpitäjän on ilmoitettava siitä tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa 33 artiklan mukaisesti, ja ilmoitettava loukkauksesta rekisteröidylle, jos siitä aiheutuu korkea riski hänen oikeuksilleen ja vapauksilleen, 34 artiklan mukaisesti.
Valvonta, valitus ja seuraamukset tietosuojalain (1050/2018) mukaisesti. Tietosuojavaltuutetun toimisto valvoo sääntelyn noudattamista ja voi antaa määräyksiä, huomautuksia ja seuraamusmaksuja yleisen tietosuoja-asetuksen (EU 2016/679) 58 ja 83 artiklan mukaisesti. Rekisteröity voi tehdä valituksen tietosuojavaltuutetun toimistolle 77 artiklan mukaisesti, ja toimiston päätöksiin voidaan hakea muutosta hallinto-oikeudessa. Rekisteröidyllä on myös oikeus tehokkaisiin oikeussuojakeinoihin tuomioistuimessa 79 artiklan mukaisesti ja oikeus vahingonkorvaukseen 82 artiklan mukaisesti. Puuttuva tai puutteellinen tietosuojaseloste voi muodostaa informointivelvollisuuden rikkomuksen.
Yleisimmät virheet: Tietosuojaseloste
Tavanomaiset virheet Tietosuojaseloste Suomessa laadinnassa voivat johtaa siihen, ettei informointivelvollisuus täyty, että seloste on harhaanjohtava tai että organisaatio riskeeraa tietosuojavaltuutetun toimiston reaktiot.
Virhe 1 — Geneerinen seloste, joka ei sovi organisaatioon. Standardin tietosuojaselosteen kopioiminen ilman sen sovittamista organisaation todelliseen käsittelyyn tuottaa selosteen, joka on harhaanjohtava eikä täytä informointivelvollisuutta yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti. Ratkaisu: kartoita, mitä henkilötietoja organisaatio tosiasiassa käsittelee, mihin tarkoituksiin ja millä perusteella, ja sovita seloste tähän.
Virhe 2 — Puuttuva tai epäselvä oikeusperuste. Seloste, joka ei ilmoita oikeusperustetta kullekin tarkoitukselle yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti, ei täytä vaatimuksia. Suostumuksen ilmoittaminen perusteeksi siellä, missä sopimus tai oikeutettu etu olisi oikea, voi aiheuttaa ongelmia. Ratkaisu: ilmoita oikea oikeusperuste kullekin tarkoitukselle; käytä suostumusta vain siellä, missä se tosiasiassa kerätään, ja oikeutettua etua vain todellisen intressivertailun jälkeen.
Virhe 3 — Puuttuva tieto säilytysajasta. Seloste, joka ei ilmoita, kuinka kauan tietoja säilytetään, tai säilytysajan kriteerejä, rikkoo yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan 2 kohdan a alakohtaa. Ratkaisu: ilmoita konkreettiset säilytysajat eri ryhmille viittauksin lakisääteiseen säilytysvelvollisuuteen tarvittaessa, esimerkiksi kuusi vuotta kirjanpitotiedoille kirjanpitolain (1336/1997) mukaisesti.
Virhe 4 — Evästeiden puutteellinen käsittely. Evästeiden käyttö tilastointiin ja markkinointiin ilman suostumuksen keräämistä sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti, tai ilman niiden kuvaamista selosteessa, on yleinen virhe, joka voi laukaista tietosuojavaltuutetun toimiston reaktiot. Ratkaisu: kerää pätevä suostumus suostumusbannerilla muille kuin välttämättömille evästeille, ja kuvaa evästeet selosteessa tai erillisessä evästeselosteessa.
Virhe 5 — Puuttuva tieto rekisteröidyn oikeuksista. Seloste, joka ei informoi pääsy-, oikaisu-, poisto-, rajoittamis-, siirto- ja vastustamisoikeudesta yleisen tietosuoja-asetuksen (EU 2016/679) III luvun mukaisesti, ei täytä informointivelvollisuutta. Ratkaisu: luettele rekisteröidyn oikeudet ja ilmoita, miten niitä käytetään, tyypillisesti ottamalla yhteyttä organisaation tietosuojasähköpostiin.
Virhe 6 — Puuttuva tieto siirroista kolmansiin maihin. Monet organisaatiot käyttävät pilvipalveluja tai toimittajia EU:n ja ETA:n ulkopuolella ilmoittamatta tästä tai siirron perusteesta yleisen tietosuoja-asetuksen (EU 2016/679) 44–49 artiklan mukaisesti. Ratkaisu: kartoita, siirretäänkö tietoja kolmansiin maihin, ja ilmoita siirron peruste selosteessa, esimerkiksi komission vakiosopimuslausekkeet.
Virhe 7 — Puuttuvat tietojenkäsittelysopimukset. Käsittelijöiden, kuten IT-palveluntarjoajien ja sähköpostipalveluiden, käyttö ilman tietojenkäsittelysopimusta yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti on rikkomus, vaikka tietosuojaseloste olisi oikein. Ratkaisu: solmi tietojenkäsittelysopimukset kaikkien kanssa, jotka käsittelevät henkilötietoja organisaation puolesta, ja ilmoita selosteessa, että käsittelijöitä käytetään tällaisin sopimuksin.
Virhe 8 — Puuttuva menettely loukkausten käsittelyyn. Seloste, joka ei käsittele sitä, mitä tapahtuu tietoturvaloukkauksen sattuessa, ja organisaatio ilman menettelyä tähän, riskeeraa ilmoitusvelvollisuuden rikkomisen yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti. Ratkaisu: laadi menettely loukkausten havaitsemiseen ja ilmoittamiseen tietosuojavaltuutetun toimistolle 72 tunnin kuluessa, ja rekisteröidylle korkean riskin tilanteessa 34 artiklan mukaisesti; kuvaa tämä selosteessa.
Virhe 9 — Puuttuva päivitys muutosten yhteydessä. Tietosuojaseloste, jota ei päivitetä, kun käsittely, toimittajat tai lainsäädäntö muuttuvat, vanhenee nopeasti ja muuttuu harhaanjohtavaksi. Ratkaisu: käy seloste läpi ja päivitä se säännöllisesti ja olennaisten muutosten yhteydessä; ilmoita viimeisimmän päivityksen päiväys, ja informoi rekisteröityjä olennaisista muutoksista.
Virhe 10 — Vaikeasti saavutettava tai vaikeaselkoinen seloste. Seloste, joka on piilotettu verkkosivustolle tai kirjoitettu vaikeaselkoisella oikeuskielellä, ei täytä vaatimusta siitä, että tiedot on annettava helposti saatavilla olevassa ja ymmärrettävässä muodossa yleisen tietosuoja-asetuksen (EU 2016/679) 12 artiklan 1 kohdan mukaisesti. Ratkaisu: tee selosteesta helposti löydettävä, tyypillisesti kaikkien sivujen alatunnisteeseen, ja kirjoita se selkeällä ja ymmärrettävällä kielellä, jotta rekisteröidyt voivat tosiasiassa ymmärtää käsittelyn.
Viittaa tähän sivuun
Viittaa tähän ilmaiseen malliin artikkelissa, opetussuunnitelmassa tai tutkimusmuistiossa:
Forms Legal. (2026). Tietosuojaseloste (Suomi) [Legal document template]. Forms Legal. https://forms-legal.com/fi/suomi/business/policies/tietosuojaseloste
"Tietosuojaseloste (Suomi)." Forms Legal, 2026, https://forms-legal.com/fi/suomi/business/policies/tietosuojaseloste.
@misc{formslegal-tietosuojaseloste,
author = {{Forms Legal}},
title = {Tietosuojaseloste (Suomi)},
year = {2026},
howpublished = {\url{https://forms-legal.com/fi/suomi/business/policies/tietosuojaseloste}},
note = {Free legal document template}
}Saatavilla myös näille lainkäyttöalueille:
Usein kysytyt kysymykset
Tietosuojaseloste Suomessa on julkinen seloste, jolla organisaatio rekisterinpitäjänä kertoo rekisteröidyille, miten heidän henkilötietojaan kerätään, käytetään, säilytetään ja luovutetaan. Sitä säätelevät yleinen tietosuoja-asetus (EU 2016/679), erityisesti 13 ja 14 artiklan informointivelvollisuus, sekä kansallinen tietosuojalaki (1050/2018) ja evästeiden osalta sähköisen viestinnän palveluista annettu laki (917/2014). Seloste täyttää rekisterinpitäjän informointivelvollisuuden kootusti ja saatavilla olevalla tavalla. Selosteessa on ilmoitettava rekisterinpitäjä yhteystietoineen, mahdollinen tietosuojavastaava, käsittelyn tarkoitukset ja oikeusperusteet yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan mukaisesti, käsiteltävät henkilötietoryhmät, tietojen vastaanottajat, mahdolliset siirrot kolmansiin maihin, säilytysajat, rekisteröidyn oikeudet ja oikeus tehdä valitus tietosuojavaltuutetun toimistolle. Kun henkilötietoja kerätään rekisteröidyltä itseltään, sovelletaan 13 artiklaa; kun tietoja kerätään muualta, sovelletaan 14 artiklaa. Tietosuojaseloste eroaa tietojenkäsittelysopimuksesta, joka sääntelee rekisterinpitäjän ja käsittelijän suhdetta yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti, sekä GDPR-tietopyynnöstä, joka on rekisteröidyn väline käyttää tarkastusoikeuttaan.
Tietosuojaseloste on oltava kaikilla organisaatioilla, jotka käsittelevät henkilötietoja, koska informointivelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti koskee lähes kaikkea henkilötietojen käsittelyä. Tämä kattaa verkkokaupat ja verkkoliiketoiminnan, jotka käsittelevät asiakas-, tilaus- ja maksutietoja; verkkosivustot, joilla on yhteydenottolomake, uutiskirje tai analytiikka; työnantajat, jotka käsittelevät työntekijöiden henkilötietoja; yhdistykset ja vapaaehtoisjärjestöt, jotka käsittelevät jäsentietoja; sekä viranomaiset ja julkiset organisaatiot, jotka käsittelevät kansalaisten tietoja. Myös pienillä toimijoilla on informointivelvollisuus. Velvollisuus ei riipu organisaation koosta vaan siitä, käsitelläänkö henkilötietoja. Käytännössä lähes jokainen yritys ja organisaatio, jolla on verkkosivusto, asiakkaita tai työntekijöitä, tarvitsee tietosuojaselosteen. Selosteen laajuus ja sisältö riippuu kuitenkin käsittelyn luonteesta ja laajuudesta: laajaa ja arkaluonteista käsittelyä harjoittavan organisaation seloste on yksityiskohtaisempi kuin pienen, vähän tietoja käsittelevän toimijan. Viranomaisten ja laajamittaista seurantaa tai erityisten henkilötietoryhmien käsittelyä harjoittavien organisaatioiden on lisäksi nimettävä tietosuojavastaava yleisen tietosuoja-asetuksen (EU 2016/679) 37 artiklan mukaisesti. Selosteen puuttuminen tai puutteellisuus voi muodostaa informointivelvollisuuden rikkomuksen, josta tietosuojavaltuutetun toimisto voi määrätä seuraamuksia.
Tietosuojaselosteessa on oltava yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan edellyttämät tiedot. Näitä ovat: rekisterinpitäjän nimi, Y-tunnus ja yhteystiedot; mahdollisen tietosuojavastaavan yhteystiedot, jos sellainen on nimetty 37 artiklan mukaisesti; käsittelyn tarkoitukset ja kunkin tarkoituksen oikeusperuste 6 artiklan mukaisesti, kuten suostumus, sopimus, oikeutettu etu tai lakisääteinen velvoite; käsiteltävät henkilötietoryhmät; henkilötietojen vastaanottajat tai vastaanottajaryhmät; mahdolliset siirrot kolmansiin maihin ja niiden perusteet 44–49 artiklan mukaisesti; henkilötietojen säilytysajat tai niiden määrittämiskriteerit; rekisteröidyn oikeudet, kuten oikeus saada pääsy tietoihin, oikaisuun, poistamiseen, rajoittamiseen, siirtämiseen ja vastustamiseen; oikeus peruuttaa suostumus; sekä oikeus tehdä valitus tietosuojavaltuutetun toimistolle 77 artiklan mukaisesti. Lisäksi selosteessa tulisi kuvata tietolähteet, evästeiden käyttö sähköisen viestinnän palveluista annetun lain (917/2014) mukaisesti sekä tietoturvatoimet 32 artiklan mukaisesti. Jos henkilötietoja kerätään muualta kuin rekisteröidyltä itseltään, on ilmoitettava myös tietojen alkuperä 14 artiklan mukaisesti. Tiedot on annettava tiiviisti, läpinäkyvästi, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä 12 artiklan 1 kohdan mukaisesti.
Kyllä, evästeiden käyttö edellyttää tietosuojaselosteen lisäksi evästeisiin liittyvää informointia ja useimmiten suostumusta. Evästeiden ja vastaavien seurantatekniikoiden käyttöä säännellään sähköisen viestinnän palveluista annetulla lailla (917/2014), joka panee täytäntöön sähköisen viestinnän tietosuojadirektiivin. Lain mukaan muiden kuin palvelun toiminnan kannalta välttämättömien evästeiden tallentamiseen ja käyttöön tarvitaan käyttäjän tietoon perustuva suostumus. Tämä tarkoittaa, että tilastointiin, analytiikkaan ja markkinointiin käytettäviin evästeisiin tarvitaan suostumus, kun taas teknisesti välttämättömiin evästeisiin, kuten ostoskorin tai kirjautumisen toimintaan, suostumusta ei tarvita. Suostumus kerätään tyypillisesti verkkosivuston suostumusbannerilla, jossa käyttäjä voi hyväksyä tai hylätä evästeitä evästeluokittain. Suostumuksen on oltava aito ja vapaaehtoinen, eikä esimerkiksi valmiiksi rastitettu ruutu täytä suostumuksen vaatimuksia. Evästeiden käyttö on kuvattava joko tietosuojaselosteessa tai erillisessä evästeselosteessa, jossa kerrotaan käytettävät evästetyypit, niiden tarkoitukset, säilytysajat ja mahdolliset kolmannet osapuolet. Käyttäjän on voitava muuttaa eväste-asetuksiaan ja peruuttaa suostumuksensa myöhemmin yhtä helposti kuin se annettiin. Evästeiden virheellinen käsittely on yleinen tietosuojavaltuutetun toimiston huomauttama puute, joten suostumuksen ja evästeselosteen oikea toteutus on tärkeää.
Henkilötietoja saa säilyttää vain niin kauan kuin on tarpeen niihin tarkoituksiin, joita varten ne on kerätty, yleisen tietosuoja-asetuksen (EU 2016/679) 5 artiklan 1 kohdan e alakohdan säilytyksen rajoittamisen periaatteen mukaisesti, tai niin kauan kuin laki edellyttää. Tietosuojaselosteessa on ilmoitettava konkreettiset säilytysajat eri tietoryhmille tai ainakin kriteerit säilytysajan määrittämiseksi 13 artiklan 2 kohdan a alakohdan mukaisesti. Säilytysajat vaihtelevat tietotyypin ja käyttötarkoituksen mukaan. Kirjanpitoon liittyvät tositteet, kuten laskut, on säilytettävä kuusi vuotta tilikauden päättymisestä kirjanpitolain (1336/1997) mukaisesti. Asiakastietoja säilytetään tyypillisesti asiakassuhteen ajan ja kohtuullisen ajan sen jälkeen mahdollisten reklamaatioiden ja vanhentumisaikojen vuoksi; yleinen velan vanhentumisaika on kolme vuotta velan vanhentumisesta annetun lain (728/2003) mukaisesti. Markkinointiin perustuvalla suostumuksella käsiteltäviä tietoja säilytetään suostumuksen peruuttamiseen saakka tai kohtuullisen ajan viimeisestä yhteydenotosta. Työsuhteeseen liittyviä tietoja säilytetään työsuhteen ajan ja sen jälkeen lakisääteisten velvoitteiden, kuten palkkakirjanpidon, edellyttämän ajan. Säilytysajan päätyttyä henkilötiedot on poistettava tai anonymisoitava niin, ettei henkilöä voi enää tunnistaa. Liian pitkä tai määrittelemätön säilytys on tietosuojasääntelyn vastaista, ja organisaation tulisi laatia säilytysaikataulukko, joka määrittää kunkin tietoryhmän säilytysajan.
Puuttuva tai puutteellinen tietosuojaseloste voi muodostaa informointivelvollisuuden rikkomuksen yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti, mistä voi seurata useita seuraamuksia. Tietosuojavaltuutetun toimisto, joka on Suomen kansallinen valvontaviranomainen tietosuojalain (1050/2018) mukaisesti, voi tutkia asian joko rekisteröidyn valituksen perusteella 77 artiklan mukaisesti tai omasta aloitteestaan. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle huomautuksen, varoituksen tai määräyksen saattaa käsittely säännösten mukaiseksi yleisen tietosuoja-asetuksen (EU 2016/679) 58 artiklan mukaisesti. Vakavissa tai toistuvissa rikkomuksissa tietosuojavaltuutettu voi esittää hallinnollisen seuraamusmaksun määräämistä 83 artiklan mukaisesti; informointivelvollisuuden rikkomuksesta seuraamusmaksu voi olla enintään 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Lisäksi rekisteröidyllä, jolle on aiheutunut aineellista tai aineetonta vahinkoa sääntelyn rikkomisesta, on oikeus vaatia vahingonkorvausta rekisterinpitäjältä tuomioistuimessa 82 artiklan mukaisesti. Puutteellinen seloste voi myös vahingoittaa organisaation mainetta ja asiakkaiden luottamusta. Käytännössä tietosuojavaltuutetun toimisto pyrkii usein ensin ohjaamaan ja neuvomaan, mutta toistuva tai tahallinen laiminlyönti voi johtaa kovempiin seuraamuksiin. Siksi ajantasaisen ja organisaation todelliseen käsittelyyn perustuvan tietosuojaselosteen laatiminen ja ylläpito on tärkeää.
Tämä malli on tarkoitettu ainoastaan tiedoksi eikä se ole oikeudellista neuvontaa. Lait vaihtelevat lainkäyttöalueittain ja muuttuvat ajan myötä. Kysy tilanteeseesi sopivaa neuvoa pätevältä lakimieheltä.Täydellinen vastuuvapauslauseke
Löysitkö virheen? Kerro meilleRelated Documents
You may also find these documents useful:
GDPR-tietopyyntö (rekisteröidyn tarkastuspyyntö)
Rekisteröidyn tarkastuspyyntö yleisen tietosuoja-asetuksen (EU 2016/679) 15 artiklan ja tietosuojalain (1050/2018) mukaisesti. Rekisteröity pyytää pääsyn henkilötietoihinsa rekisterinpitäjältä, joka on velvollinen vastaamaan kuukauden kuluessa. Valvontaviranomainen on tietosuojavaltuutetun toimisto.
Yhtiöjärjestys (osakeyhtiö)
Osakeyhtiön yhtiöjärjestys osakeyhtiölain (624/2006) mukaisesti. Sisältää lain 2 luvun 3 §:n edellyttämät pakolliset maininnat toiminimestä, kotipaikasta ja toimialasta sekä määräykset osakepääomasta, osakkeista, lunastus- ja suostumuslausekkeesta, hallinnosta ja tilikaudesta.