Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset. Vaatimuksia sovelletaan sekä eurooppalaisiin organisaatioihin, jotka käsittelevät ihmisten henkilötietoja EU:ssa, että EU:n ulkopuolisiin organisaatioihin, joiden suorittama tietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.
Milloin yleistä tietosuoja-asetusta sovelletaan?
Yleistä tietosuoja-asetusta sovelletaan, jos
EU:n kansalaisten tietoja käsittelevien EU:n ulkopuolisten yritysten on nimettävä EU:ssa toimiva edustaja.
Yleistä tietosuoja-asetusta ei sovelleta, jos
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä, jota kutsutaan myös rekisteröidyksi. Henkilötietoja ovat muun muassa
Erityiset tietoryhmät
Yritys ei voi käsitellä henkilökohtaisia tietoja, jotka koskevat henkilön
Käsittelyn aikana henkilötiedot voivat kulkea useiden yritysten tai organisaatioiden läpi. Tässä prosessissa toimii kaksi seuraavaa pääprofiilia, jotka hoitavat henkilötietojen käsittelyä:
Tietosuojavastaava, jonka yritys on voinut nimetä, valvoo henkilötietojen käsittelyä sekä neuvoo henkilötietoja käsitteleviä työntekijöitä heidän velvoitteistaan ja tiedottaa heille niistä. Tietosuojavastaava tekee yhteistyötä myös tietosuojaviranomaisen kanssa ja toimii yhteyshenkilönä tietosuojaviranomaisen ja yksityishenkilöiden välillä.
Milloin yritykseen on nimettävä tietosuojavastaava?
Yrityksen on nimettävä tietosuojavastaava, kun
Esimerkiksi jos henkilötietoja käsitellään hakukoneiden avulla tehtävää kohdemainontaa varten ihmisten verkkokäyttäytymisen perusteella, yrityksellä on oltava tietosuojavastaava. Jos yritys vain lähettää asiakkailleen mainosmateriaalia kerran vuodessa, se ei tarvitse tietosuojavastaavaa. Samoin tietosuojavastaavaa ei todennäköisesti tarvita, jos lääkäri kerää tietoja potilaidensa terveydestä. Mutta jos yritys käsittelee geneettisiä ja terveydellisiä henkilötietoja sairaalaa varten, tietosuojavastaava tarvitaan.
Tietosuojavastaava voi kuulua organisaation henkilökuntaan tai hänet on voitu palkata organisaation ulkopuolelta palvelusopimuksen perusteella. Tietosuojavastaava voi olla yksilö tai osa organisaatiota.
Rekisterinpitäjä voi käyttää vain sellaista tietojenkäsittelijää, joka antaa riittävät takeet tietoturvasäännösten noudattamisesta. Näiden takeiden on sisällyttävä osapuolten väliseen kirjalliseen sopimukseen Sopimuksen on sisällettävä myös muutamia pakollisia lausekkeita, esim. että tietojenkäsittelijä käsittelee henkilötietoja vain, kun rekisterinpitäjä sitä pyytää.
Kun henkilötietoja siirretään EU:n ulkopuolelle, yleisen tietosuoja-asetuksen tarjoaman suojan on siirryttävä tietojen kanssa. Tämä tarkoittaa, että jos yritys vie tietoja ulkomaille, sen on varmistettava, että jokin seuraavista toteutuu:
EU:n tietosuojasäännöt edellyttävät, että tietoja käsitellään asianmukaisesti ja lainmukaisesti tiettyä ja laillista tarkoitusta varten ja että vain tätä tarkoitusta varten tarvittavia tietoja käsitellään. Yrityksen on huolehdittava siitä, että käsitelläkseen henkilötietoja se täyttää jonkin seuraavista ehdoista:
Yleisessä tietosuoja-asetuksessa on tiukat säännöt siitä, että tietojenkäsittely perustuu suostumukseen. Näiden sääntöjen tarkoituksena on varmistaa, että henkilö ymmärtää, mihin hän suostuu. Tämä tarkoittaa, että suostumus olisi annettava vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti vastauksena selkeällä ja yksinkertaisella kielellä esitettyyn pyyntöön. Suostumus olisi annettava suostumusta ilmaisevalla toimella, kuten rastittamalla ruutu verkkosivuilla tai allekirjoittamalla lomake.
Kun henkilö hyväksyy henkilötietojensa käsittelyn, tietoja voidaan käsitellä vain niitä käyttötarkoituksia varten, joihin suostumus on annettu. Henkilölle on myös annettava mahdollisuus peruuttaa suostumuksensa.
Henkilöille on annettava selkeä tieto siitä, kuka käsittelee heidän henkilötietojaan ja miksi. Vähintään seuraavat tiedot on annettava:
Joissain tapauksissa yrityksen antamista tiedoista on käytävä ilmi myös seuraavaa:
Tämä tieto on esitettävä selkeällä ja yksinkertaisella kielellä.
Jos suostumuksen perusteella kerätään henkilötietoja lapsesta, esimerkiksi käyttämällä sosiaalisen median tiliä tai lataustiliä, on ensin hankittava vanhempien suostumus, esim. lähettämällä ilmoitus vanhemmalle tai huoltajalle. Ikä, johon asti henkilön katsotaan olevan lapsi, riippuu asuinmaasta ja vaihtelee 13–16 vuoden välillä.
Henkilöille täytyy taata ilmainen pääsy omiin henkilötietoihinsa. Jos yritys saa tällaisen pyynnön, sen on
Kun käsittely perustuu suostumukseen tai sopimukseen, henkilö voi myös pyytää yritystä palauttamaan henkilötietonsa tai lähettämään ne toiselle yritykselle. Tätä kutsutaan tiedon siirto-oikeudeksi. Tiedot on annettava yleisesti käytetyssä ja koneella luettavassa muodossa.
Jos henkilö uskoo, että hänen henkilötietonsa ovat virheelliset, puutteelliset tai epätarkat, hänellä on oikeus saada tietonsa oikaistuiksi tai täydennetyiksi ilman aiheetonta viivytystä.
Jos näin tapahtuu, yrityksen on ilmoitettava tietojen muuttamisesta tai poistamisesta kaikille henkilötietojen vastaanottajille, joiden kanssa henkilötiedot on jaettu. Jos jaetut henkilötiedot ovat virheelliset, tästä voidaan joutua ilmoittamaan myös kaikille niille, joiden nähtäville ne on asetettu (paitsi jos tämä vaatii kohtuuttomia ponnistuksia).
Henkilö voi myös milloin tahansa vastustaa henkilötietojensa käsittelyä tiettyyn käyttötarkoitukseen, kun yritys käsittelee tietoja oikeutettujen etujensa perusteella tai yleisen edun vuoksi toteutettavaan tehtävään. Ellei yrityksellä ole oikeutettua etua, joka syrjäyttää henkilön edun, yrityksen on lopetettava henkilötietojen käsittely.
Yksilö voi myös pyytää, että hänen henkilötietojensa käsittelyä rajoitetaan sen aikaa, kun määritetään, syrjäyttääkö yrityksen etu hänen etunsa. Suoramarkkinoinnissa henkilötietojen käsittely on kuitenkin lopettava aina, jos henkilö sitä pyytää.
Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)
Joissakin olosuhteissa henkilö voi pyytää rekisterinpitäjää poistamaan henkilötietonsa, esimerkiksi jos tietoja ei enää tarvita käsittelyn tarkoitukseen. Yrityksen ei kuitenkaan ole pakko poistaa tietoja, jos
Henkilöillä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tähän sääntöön on kuitenkin joitakin poikkeuksia, esimerkiksi tapauksissa, joissa henkilö on antanut nimenomaisen suostumuksensa automaattiseen päätökseen. Tähän eivät sisälly tapaukset, joissa automaattinen päätös perustuu lakiin, jolloin yrityksen on
Jos esimerkiksi pankki automatisoi päätöksensä siitä, myöntääkö se lainan tietylle henkilölle, kyseiselle henkilölle olisi ilmoitettava automaattisesta päätöksestä ja annettava tilaisuus riitauttaa päätös ja vaatia päätöksentekoon osallistumista.
Tietoturvaloukkaus - asianmukaisen ilmoituksen antaminen
Tietoturvaloukkaus on kyseessä, kun yrityksen vastuulla olevia tietoja on luovutettu, joko vahingossa tai laittomasti, valtuuttamattomille vastaanottajille tai kun niihin pääsy on tilapäisesti estetty tai tietoja on muutettu.
Jos tietoturvaloukkaus tapahtuu ja loukkaus aiheuttaa riskin henkilön oikeuksille ja vapauksille, siitä on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa tietoon tulleesta loukkauksesta.
Riippuen siitä, aiheutuuko tietoturvaloukkauksesta suurta riskiä kyseisille henkilöille, yritys voidaan myös velvoittaa ilmoittamaan tapauksesta heille kaikille.
Jos yritys vastaanottaa pyynnön henkilöltä, joka haluaa käyttää oikeuksiaan, pyyntöön on vastattava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Tätä vastausaikaa voidaan jatkaa kahdella kuukaudella, jos pyyntö on monimutkainen tai niitä on useita. Henkilölle on ilmoitettava vastausajan jatkamisesta. Pyynnöt on käsiteltävä maksutta.
Jos pyyntö hylätään, henkilölle on ilmoitettava hylkäyksen syistä ja hänen oikeudestaan tehdä kantelu tietosuojaviranomaiselle.
Tietosuojaa koskeva vaikutustenarviointi on pakollinen aina, kun käsittelyyn liittyy henkilön oikeuksien ja vapauksien kannalta suuri riski, esim. uusia tekniikoita käytettäessä.
Tällainen suuri riski on olemassa silloin, kun
Huomautus: Tietosuojaviranomaiset voivat pitää myös muita tietojenkäsittelyn ryhmiä erityisen riskialttiina.
Jos tietosuojaa koskevassa vaikutustenarvioinnissa ilmoitetut toimenpiteet eivät poista kaikkia tunnistettuja suuria riskejä, tietosuojaviranomaista on kuultava ennen suunniteltua tietojenkäsittelyä.
Yrityksen on pystyttävä osoittamaan, että se toimii yleisen tietosuoja-asetuksen mukaisesti ja täyttää kaikki sovellettavat velvoitteet, erityisesti tietosuojaviranomaisen pyynnöstä tai sen suorittamassa tarkastuksessa.
Tämä voidaan tehdä esimerkiksi ylläpitämällä yksityiskohtaista rekisteriä seuraavista tiedoista:
Yrityksen on myös laadittava – ja päivitettävä säännöllisesti – kirjallisia menettelytapoja ja ohjeita sekä ilmoitettava niistä työntekijöilleen.
Rekisterinpitäjä ja sen yhteystiedot
Green Disposal Oy (Y-tunnus 2783532-3)
Kylänraitti 11
11710 Riihimäki
info@gd.fi
Asiakasrekisteriin tallennetaan asiakkaan etunimi, sukunimi, katuosoite, postinumero, postitoimipaikka, maa, sähköpostiosoite, puhelinnumero, asioidessa käytetty kieli, asioidessa käytetty valuutta. Yritysasiakkaalta tallennetaan lisäksi yrityksen nimi, y-tunnus ja alv-tunnus.
Lisäksi verkkokaupan tilaustietoihin tallennetaan asiakkaan tilauksen yhteydessä antamat tiedot, kuten tilauksen tuotesisältö, maksutapa ja toimitustapa.
Henkilötietoja käytetään:
Henkilötietojen käsittelyn oikeusperusteena on sopimus, suostumus tai oikeutettu etu.
Henkilötietojen käsittelyssä on huomioitu 25.5.2018 alkaen noudatettavan EU:n tietosuoja-asetuksen asettamat vaatimukset.
Säilytämme henkilötietojasi niin kauan, kuin on tarpeellista rekisterin käyttötarkoitusten toteuttamiseksi.
Lisäksi joitain tietoja voidaan säilyttää kauemmin niiltä osin kuin se on tarpeen laissa asetettujen velvollisuuksien, kuten kirjanpitoa ja kuluttajakauppaa koskevien vastuiden hoitamiseksi.
Luovutamme henkilötietoja logistiikka ja maksupalvelu yhteistyökumppaneille, verkkokauppamme toiminnan mahdollistamiseksi.
Asiakkaana sinulla on seuraavat oikeudet:
Nämä toimitusehdot ovat voimassa 2.11.2020 alkaen.
Green Disposal Oy, Ltd
Kylänraitti 11, 11710 Riihimäki
info@gd.fi
Tuotteiden hinnat sisältävät arvonlisäveron. Pidätämme oikeuden hintojen ja toimituskulujen muutoksiin.
Tuotteet tilataan verkkokaupassa siirtämällä ne ostoskoriin ja maksamalla ostoskorin sisältö verkkomaksupalvelussa. Kaikki asiakastiedot käsitellään luottamuksellisesti. Tilauksen yhteydessä kysyttyjä yhteystietoja ei käytetä muuhun kuin tilauksen toimitukseen tai siinä ilmenevien epäselvyyksien selvittämiseen, ellei erikseen toisin mainita. Tilatessasi verkkokaupasta sinun edellytetään tutustuneen ja sitoutuneen kulloinkin voimassa oleviin toimitusehtoihin.
Asiakas sopimusehtojen mukaisesti
Kun olemme vastaanottaneet tilauksesi, lähetämme sinulle välittömästi sähköpostilla tilausvahvistuksen, josta näkyvät tilaustietosi. Tarkasta aina tilausvahvistuksen sisältö. Jos sinulla on kysyttävää, ota heti yhteys asiakaspalveluumme. Säästä tilausvahvistus mikäli joudut ottamaan yhteyttä asiakaspalveluun. Asioidessasi asiakaspalvelussa pidä aina mahdollinen asiakasnumerosi ja tilausnumerosi saatavilla. Tarkasta aina, että paketin sisältö täsmää tilausvahvistuksessa olevien tuotteiden kanssa.
Asiakaspalveluumme saat yhteyden seuraavilla tiedoilla:
info@gd.fi
Harri Tuovinen 0400253973
Tuotteiden hinnat sisältävät toimituskulut.
Yleisimmät toimitusaikamme Suomeen vaihtelevat tilauksesta ja toimitustavasta riippuen. Poikkeukset toimitusaika-arvioihin on kerrottu, jos ostoskorissa on varastosta loppuneita tuotteita ja ilmoitamme myös mahdollisista viivästyksistä teille välittömästi tilaamisen jälkeen.
Emme vastaa ylivoimaisen esteen aiheuttamista viivästymisistä tai viivästysten aiheuttamista välillisistä haitoista. Verkkokauppa tiedottaa sivuillaan poikkeavista toimitusajoista.
Sovitaan erikseen asiakkaan kanssa.
Lunastamatta jättäminen ei ole sama asia kuin palautus tai peruutus. Lunastamatta jätetystä paketista, josta ei ole tehty erillistä peruutusilmoitusta, perimme toimituskustannukset.
Mikäli tuote on kadonnut tai vioittunut kuljetuksen aikana tai se ei muuten vastaa tilaustasi, tulee sinun ilmoittaa virheestä viimeistään 14 päivän kuluessa asiakaspalveluun info@gd.fi.