Tietosuoja, GDPR, henkilötietojen käsittely ja tietosuojaloukkaukset – osaava juristi apunasi

Henkilötietoa on kaikki sellainen tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan henkilöön, kuten nimi, sähköpostiosoite, valokuva tai tehtävänimike.

Rekisterinpitäjänä yritykset ja organisaatiot käsittelevät muun muassa asiakkaisiin ja työntekijöihin liittyviä henkilötietoja. Se tarkoittaa, että tulee ymmärtää miten henkilötietoja saa kerätä ja käsitellä, mitä oikeuksia ihmisillä on omien henkilötietojensa suhteen ja miten henkilötietojen käsittelystä tulee informoida. Osa yrityksistä ja organisaatioista toimii myös niin sanottuna henkilötietojen käsittelijänä toisen yrityksen (rekisterinpitäjän) lukuun.

Tunnetko GDPR:n, eli tietosuoja-asetuksen, tietosuojalain tai työelämän tietosuojalain velvoitteet ja oikeudet? Yrityksillä ja organisaatioilla on lakisääteinen velvollisuus käsitellä henkilötietoja lainmukaisesti, huolellisesti ja läpinäkyvästi – ja yksityishenkilöillä on oikeus vaatia tietojensa suojaa. Juristimme auttaa sekä rekisterinpitäjiä että rekisteröityjä tietosuojakysymyksissä, riitatilanteissa ja vahingonkorvausasioissa.

tietosuoja - GDPR - henkilötietojen käsittely - tietosuojaloukkaus - tietoturvaloukkaus

Villy Lindfelt, juristi, luvan saanut oikeudenkäyntiavustaja
044 2358 211, villy.lindfelt@lakius.fi

Tietosuoja - GDPR - henkilötietojen käsittely - tietosuojaloukkaus - tietoturvaloukkaus

Yritys: tietosuoja-asiat kuntoon, ennen kuin vahinko sattuu

1. Arvioi nykytila ja tunnista riskit
Ensimmäinen askel on kartoittaa mitä henkilötietoja yrityksesi käsittelee, miten ja missä roolissa (rekisterinpitäjä vs. henkilötietojen käsittelijä). Rooli määrittää millaisia velvoitteita yritykselläsi on.

2. Laadi ja päivitä tietosuojaselosteet
Päivitä tietosuojaselosteesi vastaamaan GDPR:n vaatimuksia. Tietosuojaseloste kertoo asiakkaille ja työntekijöille, miten heidän tietojaan käsitellään.

3. Tee sopimukset ja tarkista alihankkijat
Varmista, että ulkopuoliset palveluntarjoajat ja alihankkijat noudattavat myös GDPR-vaatimuksia. Tee tarvittavat tietojenkäsittelysopimukset.

4. Kouluta henkilöstö ja määrittele prosessit
Tietosuoja on koko organisaation asia. Varmista, että työntekijät ymmärtävät tietosuoja-asetuksen vaatimukset. Määrittele myös käytännön prosessit, jotka koskevat tietojen käsittelyä, rekisteröityjen oikeuksia sekä mahdollisia tietoturvaloukkauksia.

Juristimme voi avustaa edellä mainituissa asioissa. Ota yhteyttä, alkuneuvonta on maksuton.

Onko GDPR:n mukaisia oikeuksiasi loukattu?

Jos henkilötietojasi on käsitelty lainvastaisesti, sinulla voi olla oikeus vahingonkorvaukseen.

1. Epäily oikeuksien loukkauksesta
Saatat olla oikeutettu vahingonkorvaukseen esimerkiksi seuraavissa tilanteissa: (1) henkilötietojen luvaton luovutus tai vuoto, (2) henkilötietojen käsittely ilman suostumusta tai muuta oikeusperustetta, tai (3) rekisteröidyn oikeuksien (esim. tarkastusoikeus, oikaisuoikeus, poistaminen) laiminlyönti.

2. Tee tietopyyntö rekisterinpitäjälle
Voit pyytää pääsyä omiin tietoihisi ja saada selvityksen siitä, miten niitä on käsitelty. Tämä on usein ensimmäinen askel tilanteen selvittämiseksi.

3. Ota yhteyttä tietosuojavaltuutettuun (tarvittaessa)
Jos et saa vastausta tai koet, että oikeuksiasi ei kunnioiteta, voit tehdä valituksen valvontaviranomaiselle (Suomessa: Tietosuojavaltuutetun toimisto).

4. Harkitse vahingonkorvausvaatimusta
Jos olet kärsinyt vahinkoa, voit vaatia rahallista vahingonkorvausta. Yleensä korvausta yritetään saada ensin sovintoteitse ilman oikeudellisia toimenpiteitä.

5. Ota yhteyttä juristiin
Jos tietosuoja-asioihin liittyvä juridiikka tuntuu vaikealta, juristi voi auttaa arvioimaan tilanteesi, arvioida vahingon määrän ja menestymismahdollisuutesi, laatia vaatimuskirjelmän ja hoitaa yhteydenpidon rekisterinpitäjään. Tarvittaessa juristi avustaa oikeudenkäynnissä.

Juristimme voi avustaa edellä mainituissa asioissa. Ota yhteyttä, alkuneuvonta on maksuton.

Usein kysyttyä GDPR:stä ja tietosuojasta:

  • Tietosuojaseloste (eng. privacy policy tai privacy statement) on se julkinen asiakirja, jolla rekisterinpitäjä kertoo rekisteröidyille, eli ihmisille, mitä tietoja heistä kerätään, miksi ja millaisin periaattein. Rekisterinpitäjä on se, joka määrää henkilötietojen käsittelyn tarkoitukset. Yleensä yritykset ja organisaatiot toimivat rekisterinpitäjinä esimerkiksi omien asiakas- tai työntekijätietojensa osalta. Autamme tietosuojaselosteiden laatimisessa ja niiden tarkmistamisessa sekä ohjeistamme miten tietosuojaseloste tulee pitää saatavilla.

  • Tietojenkäsittelysopimus (DPA) tulee solmia aina, kun henkilötietojen käsittelyä ulkoistetaan kolmannelle osapuolelle, eli silloin kun yritys toimii rekisterinpitäjänä ja antaa toisen tahon käsitellä henkilötietoja. Sopimus on pakollinen GDPR:n mukaan, ja sen tulee määritellä, miten tietoja käsitellään, varmistaa käsittelyn turvallisuus sekä dokumentoida osapuolten velvollisuudet. Tietojenkäsittelysopimus on solmittava ennen tietojen luovuttamista käsittelijälle, ja sen tulee sisältää selkeät ehdot käsittelytoimista, alikäsittelijöiden käytöstä ja tietoturvatoimista. Autamme tietojenkäsittelysopimusten laatimisessa ja niiden tarkistamisessa.

  • Tietosuojaloukkaus tapahtuu, kun henkilötiedot joutuvat luvattoman pääsyn, käytön, paljastamisen, muokkaamisen tai tuhoutumisen kohteeksi. Esimerkkejä tietosuojaloukkauksista ovat hakkerointi, väärinkäyttö tai tietojen vuotaminen. Tietosuojaloukkauksesta voi olla velvollisuus ilmoittaa tietosuojaviranomaiselle 72 tunnin sisällä sen havaitsemisesta. Jos loukkaus aiheuttaa merkittävää riskiä rekisteröidyn oikeuksille ja vapauksille, on myös ilmoitettava suoraan rekisteröidyille. Autamme tilanteesi oikeudellisessa arvioinnissa ja mahdollisissa oikeudellisissa toimenpiteissä tai vaatimusten esittämisessä taikka niiden kiistämisessä.

  • Jos epäilet, että henkilötietojasi on käytetty väärin, voit alkuun ottaa yhteyttä tahoon, joka on vastuussa tietojesi käsittelystä (esimerkiksi yritykseen tai viranomaiseen) ja ilmoittaa asiasta sekä pyytää tarkastusoikeuksiisi vedoten selvitystä henkilötietojesi käsittelystä. Voit pyytää selvitystä siitä, miten tietojasi on käsitelty ja vaatia virheiden korjaamista. Jos väärinkäyttö jatkuu tai et saa riittävää selvitystä, voit tehdä valituksen tietosuojaviranomaiselle (esimerkiksi Suomessa Tietosuojavaltuutetun toimistolle) tai vaatia tietojen oikaisua tai poistamista. Jos loukkaus tai jopa tietosuojarikos on tapahtunut, voit myös harkita rikosilmoituksen tekemistä poliisille. Lakimiehemme voi auttaa sinua arvioimaan tilanteen ja antaa ohjeita oikeudellisista toimenpiteistä, kuten vahingonkorvauksen hakemisesta.

  • Yritys voi käsitellä henkilötietojasi ilman suostumustasi edellyttäen, että käsittelylle on muu lainmukainen peruste, kuten sopimuksen täytäntöönpano, lakisääteinen velvoite tai oikeutettu etu. Esimerkiksi, jos sinulla on sopimus yrityksen kanssa, se voi käsitellä tietojasi sopimuksen täyttämiseksi. Samoin, jos laki velvoittaa yritystä säilyttämään tietoja, käsittely voi olla sallittua ilman suostumustasi. Suostumus on kuitenkin tarpeen, jos ei ole muuta oikeusperustetta käsittelylle, kuten vaikkapa joissain tilanteissa henkilötietojen käsittely suoramarkkinointitarkoituksessa. Yrityksellä on velvollisuus informoida sinua siitä, miksi ja miten tietojasi käsitellään. Autamme tarvittaessa arvioimaan tilannettasi ja vaihtoehtojasi.

  • Tietosuojarikos on rikos, joka liittyy henkilötietojen käsittelyyn ja on säädetty rangaistavaksi rikoslain 38 luvun 9 §:ssä. Pykälässä määritellään muun muassa tilanteet, joissa henkilötietojen käsittely on tahallisesti tai huolimattomuudesta tehtynä rangaistavaa, kuten tietojen luvaton paljastaminen, väärinkäyttö tai tietojen käsittelyn perusteettomuus. Tällaisista rikoksista voi seurata rikosoikeudellisia seuraamuksia, kuten sakkoja tai vankeusrangaistuksia, riippuen rikoksen vakavuudesta. Lakimiehemme auttaa tilanteesi arvioimisessa ja mahdollisissa oikeudellisissa toimenpiteissä.

  • Rekisteröidyllä on useita oikeuksia henkilötietojensa käsittelyyn liittyen. Näihin oikeuksiin kuuluvat muun muassa oikeus päästä käsiksi omiin tietoihinsa, oikeus tietojen oikaisemiseen, poistamiseen (”oikeus tulla unohdetuksi”), käsittelyn rajoittamiseen ja siirtämiseen toiseen palveluun. Rekisteröity voi myös vastustaa tietojen käsittelyä tietyissä tilanteissa, kuten suoramarkkinoinnissa. Nämä oikeudet voidaan täyttää ottamalla yhteyttä henkilötietojen käsittelijään (esimerkiksi yritykseen, joka käsittelee tietoja) ja esittämällä pyyntö kirjallisesti tai sähköisesti. Yrityksen on vastattava pyyntöön kohtuullisessa ajassa, yleensä kuukauden kuluessa. Jos oikeuksia ei täytetä, rekisteröity voi tehdä valituksen tietosuojaviranomaiselle. Lakimiehemme voi auttaa tarvittaessa ohjeistuksessa ja oikeuksien käytännön toteuttamisessa.

 

Tarvitsetko taitavaa juristia?

Kerro tilanteestasi tai varaa aika maksuttomalle alkuneuvottelulle täyttämällä alla oleva lomake. Voit myös lähettää sähköpostia villy.lindfelt@lakius.fi, soittaa 044 2358 211 tai varata maksuttoman alkuneuvottelun suoraan kalenterista. Riita-asiassa voimme puolestasi tarkistaa kattaako oikeusturvavakuutuksesi lakimieskuluja.

Käsittelemme yhteydenottoja luottamuksellisesti
 tietosuojaperiaatteidemme mukaisesti.

Lakitoimisto HelsinKI – Palvelut maan laajuisesti