Käyttäjän oikeudet henkilötietoihinsa

Rekisteröidyn henkilön oikeudet liittyen Taloustutkan käsittelemiin ja tallentamiin henkilötietoihin

Tässä dokumentissa kuvataan Taloustutkan palveluun rekisteröidyn henkilön oikeudet ja miten rekisteröity henkilö voi käyttää näitä oikeuksiaan.

 

Miten rekisteröity henkilö saa tietoa henkilötietojen keräämisestä ja käsittelystä?

Rekisterinpitäjällä (Taloustutka Oy) on velvollisuus toimittaa rekisteröidylle tietoja henkilötietojen käsittelystä. Olemme koonneet tälle tähän dokumenttiin ohjeita tietosuoja-asetuksen mukaisista oikeuksista sekä miten rekisteröity voi käyttää näitä oikeuksia.

 

Rekisteröidyllä henkilöllä on oikeus saada pääsy omiin tietoihin

Henkilöllä on oikeus saada pyydettäessä rekisterinpitäjältä tieto, käsitelläänkö rekisterissä hänen henkilötietojaan. Jos henkilötietoja käsitellään, rekisteröidyllä henkilöllä on oikeus saada pääsy tietosuoja-asetuksen/luottotietolain mukaisiin tietoihinsa:

• Peruste sille mikä on tietojen käsittelyn tarkoitus ja lainmukaisuus
• Henkilötietoryhmien tietosisällön kuvaukset, vastaanottajat ja säilytysajat

 

Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista

Luottotietolain tai tietosuoja-asetuksen mukaista tarkastusoikeutta käyttäessään rekisteröidyn henkilön on todistettava henkilöllisyytensä joko henkilökohtaisen käynnin yhteydessä tai liittämällä kirjalliseen-pyyntöönsä oikeaksi todistettu valokopio tai skannattu dokumentti virallisesta henkilöllisyystodistuksesta. Henkilölle luovutetaan tällöin luottotietolain 30 §:ssä säädetyt tiedot sekä mahdollisten lisätietojen (esim. työnantajatiedot) jälkeen muiden rekistereiden tiedot. Eri rekistereistä tulee pyytää tiedot erikseen.

Rekisterit, joissa on rekisteröityä henkilöä yksilöivä tieto

• Yrityksen vastuuhenkilöt
• Taloustutkan asiakasrekisterin yhteyshenkilötiedot
• Taloustutkan oma työntekijätieto (sisältää henkilötunnuksen)

Lisätietoa edellyttävät rekisterit

• Käyttäjähallinnon henkilötieto (yritystietopalvelun rekisteröityneiden käyttäjien henkilötieto)
• Päättäjätiedot yritystietopalvelussa
• Taloustutkan markkinointitietokanta

 

Rekisteröidyn henkilön oikeus vastustaa henkilötietojen käsittelyä

Rekisteröidyllä henkilöllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä (Tietosuoja-asetus, artikla 21) silloin kun käsittely perustuu yleiseen etuun liittyvän tehtävän suorittamiseen tai oikeutettujen etujen toteuttamiseen.

Taloustutkan yritystietopalvelussa tämä voi koskea yritysten vastuuhenkilöiden tietojen käsittelyä. Koska näiden tietojen käsittelystä säädetään laissa (luottotietolaki ja tietosuojalaki), ei yleensä voi syntyä tilannetta, että olisi sellainen henkilökohtainen syy, joka estäisi käsittelyn.

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä markkinointia varten.

 

Rekisteröidyn henkilön oikeus henkilötietojen oikaisuun, käsittelyn rajoittamiseen ja oikeus tulla unohdetuksi (poisto)

Rekisteröidyllä henkilöllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tietojenkäsittelyn tarkoitukset, rekisteröidyllä on oikeus saada puuteelliset henkilötiedot täydennettyä, esimerkiksi lisäselvityksen avulla.

 

Henkilötietojen oikaiseminen

Rekisteröidyllä henkilöllä on oikeus vaatia, että rekisteripitäjä oikaisee ilman aiheetonta viivytystä rekisteröityjä koskevat epätarkat ja virheelliset henkilötiedot.

 

Henkilötietojen käsittelyn rajoittaminen

Rekisteröidyllä henkilöllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista neljästä perusteesta:

• Rekisteröity henkilö kiistää henkilötietojen paikkansapitävyyden. Tällöin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden.
• Käsittely on lainvastaista, mutta rekisteröity henkilö vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista.
• Rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity henkilö tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
• Rekisteröity henkilö on vastustanut henkilötietojen käsittelyä muuhun kuin suoramarkkinointitarkoitukseen, ja odotetaan sen todentamista, syrjäyttävätkö rekisterinpitäjän edut rekisteröidyn henkilön edut.

Jos käsittelyä on rajoitettu, tietoja saa säilyttää, mutta niiden käsittely on sallittua vain määritellyissä tapauksissa. Tällaisia tapauksia ovat esimerkiksi rekisteröidyn suostumus, oikeudellisen vaateen laatiminen, esittäminen ja puolustaminen sekä toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaaminen.

Tietosuoja-asetuksen 18.artiklan 2. kohdan mukaan rajoitusvaatimuksesta huolimatta tietoja saa käsitellä yleistä etua koskevasta syystä.

 

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

Rekisteröidyllä henkilöllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityjä koskevat henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista kuudesta poistoperusteesta täyttyy:

• henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin
• rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta
• rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
• henkilötietoja on käsitelty lainvastaisesti
• henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi
• henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

Poistamisoikeutta ei kuitenkaan sovelleta, jos käsittely on tarpeen mm. yleistä etua koskevan tehtävän suorittamista varten.

 

Henkilötiedon oikaisuista, poistoista ja käsittelyn rajoittamisesta ilmoittaminen tietojen vastaanottajille

Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle henkilölle näistä vastaanottajista, jos rekisteröity henkilö sitä pyytää.

Taloustutkalla ei ole velvollisuutta pitää lokitiedostoa kaikkien henkilötietojen luovuttamisesta (vastuuhenkilötietojen luovutukset, päättäjätietojen luovutukset). Näihin tietoihin tehdyistä oikaisuista, poistoista ja käsittelyn rajoittamisista ilmoittaminen on näin mahdotonta.

 

Miten tietoturvaloukkauksista informoidaan rekisteröityjä henkilöitä?

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta seuraavasti:

• Henkilökohtainen Ilmoitus rekisteröidylle henkilöille ilman aiheetonta viivytystä.
• Ilmoitus valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Ilmoitus on tehtävä 55 artiklan mukaisesti, paitsi niissä tilanteissa, jossa tietoturvaloukkauksesta ei todennäköisesti aiheudu vapauksiin tai oikeuksiin liittyvää riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
• Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

Ilmoituksessa pitää olla vähintään:

• kuvaus henkilötietojen tietoturvaloukkauksesta. Jos mahdollista, mukaan tulee liittää myös tieto asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
• ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
• kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
• kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta sekä tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.

Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että näin on myös toimittu.

 

Rekisteröidyn oikeus siirtää rekisteröidyt henkilötiedot järjestelmästä toiseen

Rekisteröidyllä henkilöllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle. Nämä tiedot tulee saada jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Rekisteröidyllä on oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle.

Tämä oikeus on henkilöllä silloin kun käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Tämä oikeus siirtää tiedot järjestelmästä toiseen ei koske lainkaan esim. yritysten vastuuhenkilö- tai päättäjätietoja, koska näiden tietojen käsittely ei perustu sopimukseen tai suostumukseen, vaan muihin käsittelyperusteisiin.

Taloustutkassa tällaisia henkilötietoja ovat yritystietopalvelun asiakkailta itseltään saadut asiakastiedot sekä palveluita koskevat ostotapahtumat.

 

Rekisteröidyn henkilön oikeus tehdä valitus valvontaviranomaiselle, käynnistää oikeudelliset toimet ja saada korvausta aiheutuneesta vahingosta

Jokaisella rekisteröidyllä henkilöllä on oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutettu), jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan asetusta.

Lisäksi rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tietosuoja-asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tietosuoja-asetusta.

Jos henkilölle aiheutuu Tietosuoja-asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.