Tietosuojaseloste

Yleinen tietosuoja-asetus

Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset. Vaatimuksia sovelletaan sekä eurooppalaisiin organisaatioihin, jotka käsittelevät ihmisten henkilötietoja EU:ssa, että EU:n ulkopuolisiin organisaatioihin, joiden suorittama tietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.

Milloin yleistä tietosuoja-asetusta sovelletaan?

Yleistä tietosuoja-asetusta sovelletaan, jos

  • yritys käsittelee henkilötietoja ja sijaitsee EU:ssa, riippumatta siitä, missä itse henkilötietojen käsittely tapahtuu
  • yritys sijaitsee EU:n ulkopuolella, mutta käsittelee henkilötietoja, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen henkilöille EU:ssa, tai yritys seuraa yksilöiden käyttäytymistä EU:ssa.

EU:n kansalaisten tietoja käsittelevien EU:n ulkopuolisten yritysten on nimettävä EU:ssa toimiva edustaja.

Milloin yleistä tietosuoja-asetusta (GDPR) ei sovelleta?

Yleistä tietosuoja-asetusta ei sovelleta, jos

  • rekisteröity on kuollut
  • rekisteröity on oikeushenkilö
  • tietoja käsittelee henkilö, joka toimii sellaisissa tarkoituksissa, jotka eivät kuulu hänen alaansa, liiketoimintaansa tai ammattiinsa.

Mitä henkilötiedoilla tarkoitetaan?

Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä, jota kutsutaan myös rekisteröidyksi. Henkilötietoja ovat muun muassa

  • nimi
  • osoite
  • henkilökortin/passin numero
  • tulot
  • kulttuurinen profiili
  • IP-osoite
  • sairaalan tai lääkärin hallussa olevat tiedot (jotka yksiselitteisesti yksilöivät henkilön terveydenhuollon piirissä).

Erityiset tietoryhmät

Yritys ei voi käsitellä henkilökohtaisia tietoja, jotka koskevat henkilön

  • rotua tai etnistä alkuperää
  • sukupuolista suuntautumista
  • poliittisia mielipiteitä
  • uskonnollista tai filosofista vakaumusta
  • ammattiliittoon kuulumista
  • geneettisiä, biometrisiä tai terveydellisiä tietoja, lukuun ottamatta erityistapauksia (esimerkiksi silloin, kun käsittelylle on annettu nimenomainen suostumus tai kun käsittely on tarpeen huomattavan yleisen edun vuoksi EU:n tai kansallisen lainsäädännön perusteella)
  • rikostuomioita ja rikkomuksia koskevia henkilötietoja, paitsi jos EU:n tai kansallinen lainsäädäntö sallii tämän.

Kuka käsittelee henkilötietoja?

Käsittelyn aikana henkilötiedot voivat kulkea useiden yritysten tai organisaatioiden läpi. Tässä prosessissa toimii kaksi seuraavaa pääprofiilia, jotka hoitavat henkilötietojen käsittelyä:

  • Rekisterinpitäjä - päättää henkilötietojen käsittelytarkoituksesta ja -tavasta.
  • Tietojenkäsittelijä - säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.

Kuka valvoo henkilötietojen käsittelyä yrityksessä?

Tietosuojavastaava, jonka yritys on voinut nimetä, valvoo henkilötietojen käsittelyä sekä neuvoo henkilötietoja käsitteleviä työntekijöitä heidän velvoitteistaan ja tiedottaa heille niistä. Tietosuojavastaava tekee yhteistyötä myös tietosuojaviranomaisen kanssa ja toimii yhteyshenkilönä tietosuojaviranomaisen ja yksityishenkilöiden välillä.

Milloin yritykseen on nimettävä tietosuojavastaava?

Yrityksen on nimettävä tietosuojavastaava, kun

  • se valvoo yksilöitä säännöllisesti tai järjestelmällisesti tai käsittelee erityisiä tietoryhmiä
  • tietojenkäsittely kuuluu sen ydinliiketoimintaan
  • se käsittelee tietoja laajamittaisesti.

Esimerkiksi jos henkilötietoja käsitellään hakukoneiden avulla tehtävää kohdemainontaa varten ihmisten verkkokäyttäytymisen perusteella, yrityksellä on oltava tietosuojavastaava. Jos yritys vain lähettää asiakkailleen mainosmateriaalia kerran vuodessa, se ei tarvitse tietosuojavastaavaa. Samoin tietosuojavastaavaa ei todennäköisesti tarvita, jos lääkäri kerää tietoja potilaidensa terveydestä. Mutta jos yritys käsittelee geneettisiä ja terveydellisiä henkilötietoja sairaalaa varten, tietosuojavastaava tarvitaan.

Tietosuojavastaava voi kuulua organisaation henkilökuntaan tai hänet on voitu palkata organisaation ulkopuolelta palvelusopimuksen perusteella. Tietosuojavastaava voi olla yksilö tai osa organisaatiota.

Tietojenkäsittely toiselle yritykselle

Rekisterinpitäjä voi käyttää vain sellaista tietojenkäsittelijää, joka antaa riittävät takeet tietoturvasäännösten noudattamisesta. Näiden takeiden on sisällyttävä osapuolten väliseen kirjalliseen sopimukseen Sopimuksen on sisällettävä myös muutamia pakollisia lausekkeita, esim. että tietojenkäsittelijä käsittelee henkilötietoja vain, kun rekisterinpitäjä sitä pyytää.

Tiedonsiirto EU:n ulkopuolelle

Kun henkilötietoja siirretään EU:n ulkopuolelle, yleisen tietosuoja-asetuksen tarjoaman suojan on siirryttävä tietojen kanssa. Tämä tarkoittaa, että jos yritys vie tietoja ulkomaille, sen on varmistettava, että jokin seuraavista toteutuu:

  • EU pitää EU:n ulkopuolisen maan suojaa riittävänä
  • yritys toteuttaa asianmukaiset suojatoimenpiteet, kuten erityisten lausekkeiden sisällyttäminen EU:n ulkopuolisen henkilötietojen tuojan sopimukseen.
  • tietojen siirto perustuu erityisiin perusteisiin (poikkeuksiin), kuten henkilön suostumukseen.

Milloin tietojenkäsittely on sallittua?

EU:n tietosuojasäännöt edellyttävät, että tietoja käsitellään asianmukaisesti ja lainmukaisesti tiettyä ja laillista tarkoitusta varten ja että vain tätä tarkoitusta varten tarvittavia tietoja käsitellään. Yrityksen on huolehdittava siitä, että käsitelläkseen henkilötietoja se täyttää jonkin seuraavista ehdoista:

  • yritys on saanut asianomaisen henkilön suostumuksen
  • yritys tarvitsee henkilötietoja täyttääkseen sopimusvelvoitteen henkilön kanssa
  • yritys tarvitsee henkilötietoja laillisen velvoitteen täyttämiseksi
  • yritys tarvitsee henkilötietoja suojellakseen henkilön elintärkeitä etuja
  • yritys käsittelee henkilötietoja yleisen edun mukaisen tehtävän suorittamiseksi
  • yritys toimii oikeutetun etunsa puitteissa niin kauan kun sillä ei ole vaikutusta tietojen käsittelyn kohteena olevan henkilön perusoikeuksiin ja -vapauksiin. Jos henkilön oikeudet ohittavat yrityksen edut, henkilötietoja ei voida käsitellä.

Tietojenkäsittelyyn suostuminen

Yleisessä tietosuoja-asetuksessa on tiukat säännöt siitä, että tietojenkäsittely perustuu suostumukseen. Näiden sääntöjen tarkoituksena on varmistaa, että henkilö ymmärtää, mihin hän suostuu. Tämä tarkoittaa, että suostumus olisi annettava vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti vastauksena selkeällä ja yksinkertaisella kielellä esitettyyn pyyntöön. Suostumus olisi annettava suostumusta ilmaisevalla toimella, kuten rastittamalla ruutu verkkosivuilla tai allekirjoittamalla lomake.

Kun henkilö hyväksyy henkilötietojensa käsittelyn, tietoja voidaan käsitellä vain niitä käyttötarkoituksia varten, joihin suostumus on annettu. Henkilölle on myös annettava mahdollisuus peruuttaa suostumuksensa.

Avoin tiedotus tietojen käsittelystä

Henkilöille on annettava selkeä tieto siitä, kuka käsittelee heidän henkilötietojaan ja miksi. Vähintään seuraavat tiedot on annettava:

  • kuka käsittelee tietoja
  • miksi henkilötietoja käsitellään
  • mikä käsittelyn oikeusperusta on
  • kuka vastaanottaa tiedot (tarvittaessa).

Joissain tapauksissa yrityksen antamista tiedoista on käytävä ilmi myös seuraavaa:

  • mahdollisen tietosuojavastaavan yhteystiedot
  • mikä on yrityksen oikeutettu etu silloin kun sitä pidetään käsittelyn oikeudellisena perustana
  • sovellettavat toimenpiteet, kun tietoja siirretään EU:n ulkopuoliseen maahan
  • kuinka kauan tietoja säilytetään
  • henkilön tietosuojaoikeudet (oikeus päästä tietoihin, oikaista ja poistaa niitä, rajoittaa tai vastustaa tietojen käsittelyä, siirtää tiedot järjestelmästä toiseen)
  • miten suostumus voidaan perua (kun suostumus on tietojenkäsittelyn oikeudellinen perusta)
  • onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus
  • automaattisessa päätöksenteossa tiedot käsittelyyn liittyvästä logiikasta, merkityksestä ja seurauksista.

Tämä tieto on esitettävä selkeällä ja yksinkertaisella kielellä.

Lapsia koskevat erityissäännöt

Jos suostumuksen perusteella kerätään henkilötietoja lapsesta, esimerkiksi käyttämällä sosiaalisen median tiliä tai lataustiliä, on ensin hankittava vanhempien suostumus, esim. lähettämällä ilmoitus vanhemmalle tai huoltajalle. Ikä, johon asti henkilön katsotaan olevan lapsi, riippuu asuinmaasta ja vaihtelee 13–16 vuoden välillä.

Oikeus päästä tietoihin ja siirtää tiedot järjestelmästä toiseen

Henkilöille täytyy taata ilmainen pääsy omiin henkilötietoihinsa. Jos yritys saa tällaisen pyynnön, sen on

  • kerrottava henkilölle, käsitelläänkö hänen henkilötietojaan
  • kerrottava henkilölle tietojen käsittelystä (käsittelyn tarkoitus, kyseessä olevien henkilötietojen ryhmät, tietojen vastaanottaja, jne.)
  • annettava heille jäljennös käsiteltävistä henkilötiedoista (helposti saatavassa muodossa).

Kun käsittely perustuu suostumukseen tai sopimukseen, henkilö voi myös pyytää yritystä palauttamaan henkilötietonsa tai lähettämään ne toiselle yritykselle. Tätä kutsutaan tiedon siirto-oikeudeksi. Tiedot on annettava yleisesti käytetyssä ja koneella luettavassa muodossa.

Oikeus korjata ja oikeus vastustaa

Jos henkilö uskoo, että hänen henkilötietonsa ovat virheelliset, puutteelliset tai epätarkat, hänellä on oikeus saada tietonsa oikaistuiksi tai täydennetyiksi ilman aiheetonta viivytystä.

Jos näin tapahtuu, yrityksen on ilmoitettava tietojen muuttamisesta tai poistamisesta kaikille henkilötietojen vastaanottajille, joiden kanssa henkilötiedot on jaettu. Jos jaetut henkilötiedot ovat virheelliset, tästä voidaan joutua ilmoittamaan myös kaikille niille, joiden nähtäville ne on asetettu (paitsi jos tämä vaatii kohtuuttomia ponnistuksia).

Henkilö voi myös milloin tahansa vastustaa henkilötietojensa käsittelyä tiettyyn käyttötarkoitukseen, kun yritys käsittelee tietoja oikeutettujen etujensa perusteella tai yleisen edun vuoksi toteutettavaan tehtävään. Ellei yrityksellä ole oikeutettua etua, joka syrjäyttää henkilön edun, yrityksen on lopetettava henkilötietojen käsittely.

Yksilö voi myös pyytää, että hänen henkilötietojensa käsittelyä rajoitetaan sen aikaa, kun määritetään, syrjäyttääkö yrityksen etu hänen etunsa. Suoramarkkinoinnissa henkilötietojen käsittely on kuitenkin lopettava aina, jos henkilö sitä pyytää.

Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)

Joissakin olosuhteissa henkilö voi pyytää rekisterinpitäjää poistamaan henkilötietonsa, esimerkiksi jos tietoja ei enää tarvita käsittelyn tarkoitukseen. Yrityksen ei kuitenkaan ole pakko poistaa tietoja, jos

  • käsittely on välttämätöntä sananvapauden ja tiedonvälityksen vapauden kunnioittamiseksi
  • henkilötiedot on säilytettävä lakisääteisen velvoitteen täyttämiseksi
  • on olemassa muita yleisen edun mukaisia syitä tallentaa henkilötietoja, kuten kansanterveydelliset tai tieteelliset ja historialliset tutkimustarkoitukset
  • henkilötiedot on tallennettava oikeusvaateen laatimiseksi.

Automaattinen päätöksenteko ja profilointi

Henkilöillä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tähän sääntöön on kuitenkin joitakin poikkeuksia, esimerkiksi tapauksissa, joissa henkilö on antanut nimenomaisen suostumuksensa automaattiseen päätökseen. Tähän eivät sisälly tapaukset, joissa automaattinen päätös perustuu lakiin, jolloin yrityksen on

  • ilmoitettava henkilölle automaattisesta päätöksenteosta
  • annettava henkilölle oikeus saada tarkistaa automaattinen päätös
  • annettava henkilölle tilaisuus riitauttaa automaattinen päätös.

Jos esimerkiksi pankki automatisoi päätöksensä siitä, myöntääkö se lainan tietylle henkilölle, kyseiselle henkilölle olisi ilmoitettava automaattisesta päätöksestä ja annettava tilaisuus riitauttaa päätös ja vaatia päätöksentekoon osallistumista.

Tietoturvaloukkaus - asianmukaisen ilmoituksen antaminen

Tietoturvaloukkaus on kyseessä, kun yrityksen vastuulla olevia tietoja on luovutettu, joko vahingossa tai laittomasti, valtuuttamattomille vastaanottajille tai kun niihin pääsy on tilapäisesti estetty tai tietoja on muutettu.

Jos tietoturvaloukkaus tapahtuu ja loukkaus aiheuttaa riskin henkilön oikeuksille ja vapauksille, siitä on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa tietoon tulleesta loukkauksesta.

Riippuen siitä, aiheutuuko tietoturvaloukkauksesta suurta riskiä kyseisille henkilöille, yritys voidaan myös velvoittaa ilmoittamaan tapauksesta heille kaikille.

Tietopyyntöön vastaaminen

Jos yritys vastaanottaa pyynnön henkilöltä, joka haluaa käyttää oikeuksiaan, pyyntöön on vastattava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Tätä vastausaikaa voidaan jatkaa kahdella kuukaudella, jos pyyntö on monimutkainen tai niitä on useita. Henkilölle on ilmoitettava vastausajan jatkamisesta. Pyynnöt on käsiteltävä maksutta.

Jos pyyntö hylätään, henkilölle on ilmoitettava hylkäyksen syistä ja hänen oikeudestaan tehdä kantelu tietosuojaviranomaiselle.

Vaikutustenarvioinnit

Tietosuojaa koskeva vaikutustenarviointi on pakollinen aina, kun käsittelyyn liittyy henkilön oikeuksien ja vapauksien kannalta suuri riski, esim. uusia tekniikoita käytettäessä.

Tällainen suuri riski on olemassa silloin, kun

  • henkilöiden arvioimiseen käytetään automaattisia käsittely- ja profilointimekanismeja
  • yleisölle avointa aluetta valvotaan laaja-alaisesti (esim. kameravalvonta)
  • käsitellään laaja-alaisesti henkilötietojen erityisryhmiä tai rikostuomioita ja rikkomuksia koskevia tietoja (esim. terveystietoja).

Huomautus: Tietosuojaviranomaiset voivat pitää myös muita tietojenkäsittelyn ryhmiä erityisen riskialttiina.

Jos tietosuojaa koskevassa vaikutustenarvioinnissa ilmoitetut toimenpiteet eivät poista kaikkia tunnistettuja suuria riskejä, tietosuojaviranomaista on kuultava ennen suunniteltua tietojenkäsittelyä.

Henkilötietojen käsittelyn dokumentointi

Yrityksen on pystyttävä osoittamaan, että se toimii yleisen tietosuoja-asetuksen mukaisesti ja täyttää kaikki sovellettavat velvoitteet, erityisesti tietosuojaviranomaisen pyynnöstä tai sen suorittamassa tarkastuksessa.

Tämä voidaan tehdä esimerkiksi ylläpitämällä yksityiskohtaista rekisteriä seuraavista tiedoista:

  • tietojenkäsittelyyn osallistuvan yrityksen nimi ja yhteystiedot
  • syy(t) henkilötietojen käsittelyyn
  • kuvaus henkilötietojen tarjoajien ryhmistä
  • organisaatioryhmät, jotka saavat henkilötietoja
  • henkilötietojen siirto toiseen maahan tai organisaatioon
  • henkilötietojen säilytysjakso
  • kuvaus henkilötietojen käsittelyssä käytettävistä turvatoimenpiteistä.

Yrityksen on myös laadittava – ja päivitettävä säännöllisesti – kirjallisia menettelytapoja ja ohjeita sekä ilmoitettava niistä työntekijöilleen.

Tietosuojaseloste 29.09.2020

Rekisterinpitäjä ja sen yhteystiedot

Green Disposal Oy (Y-tunnus 2783532-3)
Kylänraitti 11
11710 Riihimäki
info@gd.fi

Mitä tietoja minusta kerätään?

Asiakasrekisteriin tallennetaan asiakkaan etunimi, sukunimi, katuosoite, postinumero, postitoimipaikka, maa, sähköpostiosoite, puhelinnumero, asioidessa käytetty kieli, asioidessa käytetty valuutta. Yritysasiakkaalta tallennetaan lisäksi yrityksen nimi, y-tunnus ja alv-tunnus.

Lisäksi verkkokaupan tilaustietoihin tallennetaan asiakkaan tilauksen yhteydessä antamat tiedot, kuten tilauksen tuotesisältö, maksutapa ja toimitustapa.

Mihin henkilötietoja käytetään?

Henkilötietoja käytetään:

  • Asiakassuhteen hoitamiseen
  • Tilauksen toimitukseen ja käsittelyyn, sekä arkistointiin
  • Tilastollisiin tarkoituksiin
  • Markkinointitarkoituksiin

Henkilötietojen käsittelyn oikeusperusteena on sopimus, suostumus tai oikeutettu etu.

Henkilötietojen käsittelyssä on huomioitu 25.5.2018 alkaen noudatettavan EU:n tietosuoja-asetuksen asettamat vaatimukset.

Kuinka kauan henkilötietojani säilytetään?

Säilytämme henkilötietojasi niin kauan, kuin on tarpeellista rekisterin käyttötarkoitusten toteuttamiseksi.

Lisäksi joitain tietoja voidaan säilyttää kauemmin niiltä osin kuin se on tarpeen laissa asetettujen velvollisuuksien, kuten kirjanpitoa ja kuluttajakauppaa koskevien vastuiden hoitamiseksi.

Tietojen luovutus kolmansille osapuolille

Luovutamme henkilötietoja logistiikka ja maksupalvelu yhteistyökumppaneille, verkkokauppamme toiminnan mahdollistamiseksi.

Asiakkaan oikeudet

Asiakkaana sinulla on seuraavat oikeudet:

  • Tarkistusoikeus
  • Oikaisuoikeus
  • Oikeus peruuttaa suostumus
  • Poisto-oikeus
Ostoskorisi on tyhjä

Toimitusehdot

Nämä toimitusehdot ovat voimassa 2.11.2020 alkaen.

Verkkokauppa

Green Disposal Oy, Ltd
Kylänraitti 11, 11710 Riihimäki
info@gd.fi

Tuotteiden hinnat sisältävät arvonlisäveron. Pidätämme oikeuden hintojen ja toimituskulujen muutoksiin.

Tilaaminen

Tuotteet tilataan verkkokaupassa siirtämällä ne ostoskoriin ja maksamalla ostoskorin sisältö verkkomaksupalvelussa. Kaikki asiakastiedot käsitellään luottamuksellisesti. Tilauksen yhteydessä kysyttyjä yhteystietoja ei käytetä muuhun kuin tilauksen toimitukseen tai siinä ilmenevien epäselvyyksien selvittämiseen, ellei erikseen toisin mainita. Tilatessasi verkkokaupasta sinun edellytetään tutustuneen ja sitoutuneen kulloinkin voimassa oleviin toimitusehtoihin.

Maksaminen ja maksutavat

Asiakas sopimusehtojen mukaisesti

Tilaus- ja maksuvahvistus

Kun olemme vastaanottaneet tilauksesi, lähetämme sinulle välittömästi sähköpostilla tilausvahvistuksen, josta näkyvät tilaustietosi. Tarkasta aina tilausvahvistuksen sisältö. Jos sinulla on kysyttävää, ota heti yhteys asiakaspalveluumme. Säästä tilausvahvistus mikäli joudut ottamaan yhteyttä asiakaspalveluun. Asioidessasi asiakaspalvelussa pidä aina mahdollinen asiakasnumerosi ja tilausnumerosi saatavilla. Tarkasta aina, että paketin sisältö täsmää tilausvahvistuksessa olevien tuotteiden kanssa.

Asiakaspalveluumme saat yhteyden seuraavilla tiedoilla:

info@gd.fi
Harri Tuovinen 0400253973

Toimitustavat ja -kulut

Tuotteiden hinnat sisältävät toimituskulut. 

Toimitusaika

Yleisimmät toimitusaikamme Suomeen vaihtelevat tilauksesta ja toimitustavasta riippuen. Poikkeukset toimitusaika-arvioihin on kerrottu, jos ostoskorissa on varastosta loppuneita tuotteita ja ilmoitamme myös mahdollisista viivästyksistä teille välittömästi tilaamisen jälkeen.

Emme vastaa ylivoimaisen esteen aiheuttamista viivästymisistä tai viivästysten aiheuttamista välillisistä haitoista. Verkkokauppa tiedottaa sivuillaan poikkeavista toimitusajoista.

Palautusehdot

Sovitaan erikseen asiakkaan kanssa.

Lunastamaton paketti

Lunastamatta jättäminen ei ole sama asia kuin palautus tai peruutus. Lunastamatta jätetystä paketista, josta ei ole tehty erillistä peruutusilmoitusta, perimme toimituskustannukset.

Ongelmatilanteet

Mikäli tuote on kadonnut tai vioittunut kuljetuksen aikana tai se ei muuten vastaa tilaustasi, tulee sinun ilmoittaa virheestä viimeistään 14 päivän kuluessa asiakaspalveluun info@gd.fi.