Minun oikeuteni

Kuvataan tiivistelmänä rekisteröidyn oikeudet ja miten rekisteröity voi käyttää oikeuksiaan.

Miten saan tietoa henkilötietojen keräämisestä ja käsittelystä?

Oikeus saada informaatiota
henkilötietojen keräämisestä ja käsittelystä

Rekisterinpitäjällä (Suomen Asiakastieto Oy) on velvollisuus toimittaa rekisteröidylle tietoja henkilötietojen käsittelystä. 

Olemme koonneet tälle tietosuoja-sivustolle kattavasti informaatiota, jossa kuvataan henkilötietojen elinkaarta, suojaamista, sisältöä, käsittelyä, voimassaoloa sekä rekisteröidyn oikeuksia hallinnoida omia henkilötietojaan.

  • Minun oikeuteni -sivuilla on ohjeita asetuksen mukaisista oikeuksista sekä miten rekisteröity voi käyttää näitä oikeuksia.

  • Tieto Turvassa -sivuilla kuvaamme henkilötietojen suojausta, turvallista välittämistä sekä tietokantojen teknisiä varmistuksia. Lisäksi tässä osiossa on kuvattu, miten tietoihin pääsyä on rajoitettu sekä miten henkilökuntamme on koulutettu huolehtimaan yksityisyyden suojasta.

  • Tiedon keruu ja käsittely -osiossa on kuvattu henkilötietojen käsittelyn tarkoitukset ja miten asetuksen vaatimukset on toteutettu eri tietoryhmissä, tietolähteissä ja henkilötietojen käsittelijöissä.

  • Tutustu Tietoon -osiossa kuvaamme henkilötiedon elinkaaren, eli sen miten tieto kerätään ja miten se poistuu. Lisäksi osiossa on tietovarantojen sisältö- ja voimassaolokuvaukset niiden rekistereiden osalta, joissa on tallennettuna henkilötietoa.

 

Miten voin nähdä ja tarkistaa omat tietoni?

 Oikeus saada pääsy omiin tietoihin

 

Henkilöllä on oikeus saada rekisterinpitäjältä tieto käsitelläänkö rekisterissä hänen henkilötietojaan. Jos henkilötietoja käsitellään, hänellä on oikeus saada pääsy tietoihinsa sekä tietosuoja-asetuksen/luottotietolain mukaiset tiedot:

 

Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista

Luottotietolain tai tietosuoja-asetuksen mukaista tarkastusoikeutta käyttäessään rekisteröidyn on todistettava henkilöllisyytensä joko henkilökohtaisen käynnin yhteydessä tai liittämällä kirjalliseen-pyyntöönsä valokopio tai skannattu dokumentti virallisesta henkilöllisyystodistuksesta. Henkilölle luovutetaan tällöin luottotietolain 30 §:ssä säädetyt tiedot (luottotiedot) sekä mahdollisten lisätietojen (esim. työnantaja-tiedot) jälkeen muiden rekistereiden tiedot. Eri rekistereistä tulee pyytää tiedot erikseen.

  1. Rekisterit, joissa yksilöivä tieto (henkilötunnus)
    - Henkilöluottotiedot, yrityksen vastuuhenkilöt, yrityksen omistajat
    - Työntekijätieto
    Täytä ja tulosta lomake

  2. Lisätietoa edellyttävät rekisterit mm. työnantaja-tieto
    - Käyttäjähallinnon henkilötieto (yritys-sopimusasiakkaan yhteyshenkilötiedot, omatieto-asiakastieto, avoin yritystieto rekisteröityneiden käyttäjien henkilötieto).
    - Kuluttajatiedot markkinointitarkoituksiin
    - Asiakastiedon oma markkinointitietokanta

    Täytä ja tulosta lomake

    Luottamukselliset sähköpostiviestit voitte lähettää Asiakastiedon suojatun yhteyden kautta.

  3. Rekisterit, jotka on viety Asiakastiedon GDPR-portaaliin
    - CRM yhteyshenkilötiedot
    - Päättäjätiedot

Tunnistetietona käytetään portaalin sähköpostia/puhelinnumeroa, johon toimitetaan kertakäyttöinen koodi tiedon tarkistamista, päivittämistä tai poistoa varten.
Linkki portaaliin

Luottotietojen ostaminen Omatieto-palvelusta

Henkilö voi lisäksi ostaa otteen omista henkilöluottotiedoistaan Suomen Asiakastiedon Omatieto-verkkopalvelusta (luottotietolain 10§ mukainen ote). Henkilö tunnistetaan tällöin pankkien Tupas-varmennepalvelun avulla.

 

Oikeus vastustaa henkilötietojen käsittelyä?

Vastustamisoikeus

 

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä (artikla 21) silloin kun käsittely perustuu yleiseen etuun liittyvän tehtävän suorittamiseen tai oikeutettujen etujen toteuttamiseen. Asiakastiedossa tämä voi koskea henkilöluottotietojen tai yritysten vastuuhenkilöiden tietojen käsittelyä. Koska näiden tietojen käsittelystä säädetään laissa (luottotietolaki ja tietosuojalaki), ei yleensä voi syntyä tilannetta, että olisi sellainen henkilökohtainen syy, joka estäisi käsittelyn.

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

Miten voin oikaista tietoja, poistaa tietoja ja rajoittaa käsittelyä?

Oikeus henkilötietojen oikaisuun, käsittelyn rajoittamiseen ja oikeus tulla unohdetuksi (poisto)

 

 

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tietojenkäsittelyn tarkoitukset, rekisteröidyllä on oikeus saada puuteelliset henkilötiedot täydennettyä, esimerkiksi lisäselvityksen avulla. 

Asiakastiedon henkilöluottotietoja säädellään erityislainsäädännössä (luottotietolaki). Henkilöllä on oikeus saada maksuhäiriötiedon liitteeksi ns. ref-merkintä, jos maksuhäiriömerkinnän aiheuttanut saatava on maksettu.

Henkilötietojen oikaiseminen

Rekisteröidyllä on oikeus vaatia, että rekisteripitäjä oikaisee ilman aiheetonta viivytystä rekisteröityjä koskevat epätarkat ja virheelliset henkilötiedot.

Käsittelyn rajoittaminen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi asetuksessa luetelluista neljästä perusteesta, kuten jos rekisteröity kiistää henkilötietojen paikkansapitävyyden.

Jos käsittelyä on rajoitettu, tietoja saa säilyttää, mutta niiden käsittely on sallittua vain määritellyissä tapauksissa. Tällaisia tapauksia ovat esimerkiksi rekisteröidyn suostumus, oikeudellisen vaateen laatiminen, esittäminen ja puolustaminen sekä toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaaminen.

Asiakastiedon henkilöluottotietojen osalta rekisteröidyllä ei ole asetuksen mukaista oikeutta rajoittaa tietojensa käsittelyä, koska käsittely on edelleen tarpeellista toisen luonnollisen tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä (Tietosuoja-asetus 18 artikla 2.kohta).

Tietosuoja-asetuksen 18.artikaln 2. kohdan mukaan rajoitusvaatimuksesta huolimatta tietoja saa käsitellä yleistä etua koskevasta syystä. Henkilöluottotietotoiminta perustuu Tietosuoja-asetuksen 6.1.e. kohdan mukaiseen yleiseen etuun ja sen nojalla annettuun kansalliseen sääntelyyn (Luottotietolaki).

Jos tietojen käyttö voitaisiin estää edes lyhyeksi ajaksi, vaarantaisi se luottotietorekisterin käyttötarkoituksen. Tiedot poistetaan vasta sellaisessa tilanteessa, jossa tehty oikaisuvaatimus (Luottotietolaki 31 §, 32 §) on todettu oikeaksi.

Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")

Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityjä koskevat henkilötiedot ilman aiheetonta viivytystä, jos jokin artiklassa luetelluista kuudesta poistoperusteesta täyttyy. Poistamisoikeutta ei kuitenkaan sovelleta, jos käsittely on tarpeen mm. yleistä etua koskevan tehtävän suorittamista varten. 

Asiakastiedon henkilöluottotietojen osalta rekisteröidyllä ei ole tietosuoja-asetuksen mukaista yleistä oikeutta vaatia tietojen poistamista henkilöluottotietorekisteristä (" oikeutta tulla unohdetuksi").

Rekisteröidyllä ei ole tietosuoja-asetuksen mukaista oikeutta saada rekisterinpitäjää poistamaan rekisteröityä koskevia tietoja, koska käsittely tapahtuu lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tehtävän suorittamista vasten (Tietosuoja-asetus 17 artikla 3.b. kohta). Tiedot poistetaan luottotietolaissa määriteltyjen säilyttämisaikojen mukaisesti. 

Miten Asiakastieto ilmoittaa mahdollisista oikaisuista ja poistoista ja käsittelyn rajoittamisesta?

 Henkilötiedon oikaisuista, poistoista ja käsittelyn rajoittamisesta ilmoittaminen tietojen vastaanottajille

 

Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

Asiakastiedolla ei ole velvollisuutta pitää lokitiedostoa kaikkien henkilötietojen luovuttamisesta (vastuuhenkilötietojen luovutukset, päättäjätietojen luovutukset). Näihin tietoihin tehdyistä oikaisuista, poistoista ja käsittelyn rajoittamisista ilmoittaminen on näin mahdotonta.

Luottotietolaissa on erityinen säännös siitä, että rekisterinpitäjän on rekisteröidyn pyynnöstä ilmoitettava virheen oikaisusta sille, jolle virheellinen henkilöluottotieto on luovutettu.

Miten tietoturvaloukkauksista informoidaan?

 Tietoturvaloukkaukset

 

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta.

  • rekisteröidylle ilman aiheetonta viivytystä.

  • valvontaviranomaiselle  ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Ilmoitus on tehtävä 55 artiklan mukaisesti, paitsi niissä tilanteissa, jossa tietoturvaloukkauksesta ei todennäköisesti aiheudu vapauksiin tai oikeuksiin liittyvää riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

  •  henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

  • Ilmoituksessa pitää olla vähintään:
    - kuvaus henkilötietojen tietoturvaloukkauksesta. Jos mahdollista, mukaan tulee liittää myös tieto asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
    - ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
    - kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
    - kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta sekä tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

  • Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.

  • Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

Miten ja millaista tietoa voi siirtää järjestelmästä toiseen?

 Oikeus siirtää tiedot järjestelmästä toiseen

 

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle. Nämä tiedot tulee saada jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Rekisteröidyllä on oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle.

Tämä oikeus on henkilöllä silloin kun käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Tämä oikeus siirtää tiedot järjestelmästä toiseen ei koske lainkaan esim. henkilöluottotietoja, yritysten vastuuhenkilö- tai päättäjätietoja, koska näiden tietojen käsittely ei perustu sopimukseen tai suostumukseen, vaan muihin käsittelyperusteisiin.

Asiakastiedossa tällaisia henkilötietoja ovat Omatieto-palvelun ja avoimen yritystietopalvelun asiakkailta itseltään saadut asiakastiedot sekä palveluita koskevat ostotapahtumat.

 

Miten voi tehdä valituksen valvontaviranomaiselle, käynnistää oikeudelliset toimet ja saada korvausta aiheutuneesta vahingosta?

  Oikeus tehdä valitus valvontaviranomaisille, käynnistää oikeudelliset toimet ja saada korvausta aiheutuneesta vahingosta

Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutettu), jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan asetusta.

Lisäksi rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tietosuoja-asetusta.

Jos henkilölle aiheutuu Tietosuoja-asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.