HSL:N SOPIMUSLIIKENNÖITSIJÖIDEN KULJETTAJIEN KOULUTUSTIETOJEN REKISTERIN TIETOSUOJASELOSTE

Samankaltaiset tiedostot
Lisäksi henkilötietoja käsitellään toimittajille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa.

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

MELTEX OY PLASTICSIN ASIAKAS- JA MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Rekisterin nimi on HSL:n sidosryhmärekisteri ( Sidosryhmärekisteri ), jonka rekisteröityjä ovat HSL:n sidosryhmiin kuuluvat henkilöt ( Sidosryhmät ).

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

FINNLINESIN YHTEYDENOTTOPYYNTÖJEN KÄSITTELYYN LIITTYVÄN REKISTERIN TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

SUNBORN SAGA OY:N SUORAMARKKINOINNIN, VIESTINNÄN JA TIEDOTTAMISEN TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Rekisteröidyllä on oikeus vastustaa profilointia ja kieltää hänelle kohdistettu suoramarkkinointi.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

PINTAVA OY ASIAKASREKISTERIN TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Reportronicia

(a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.

Haaga-Helia ammattikorkeakoulu Oy:n henkilöstöhallinnon tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Laurarekrytointipalvelua

Tietosuojaseloste: Markkinointirekisteri

Rekisteröidyllä henkilöllä on oikeus kieltää häneen kohdistettu suoramarkkinointi.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien työnhakijoita

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

HELSINGIN SEUDUN LIIKENNE -KUNTAYHTYMÄN TYÖNHAKIJAREKISTERIN REKISTERI- SELOSTE

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tule aina ripsien laittoon ja huoltoon ilman meikkiä ja pestyin ripsin. Älä puhdista ripsiä öljypitoisella puhdistusaineella.

Pirkanmaan Jätehuolto Oy:n tietosuojaseloste

Organisaatioluvan hakeminen

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Rekisterinpitäjä on Helsingin seudun liikenne kuntayhtymä (jäljempänä HSL), y-tunnus

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

UNITED BANKERS -KONSERNIN YHTIÖN MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sidosryhmätoimintoja

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

ASIAKASREKISTERISELOSTE

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Varustekorttirekisteri - Tietosuojaseloste

Tampereen Aikidoseura Nozomi ry

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste Markkinointirekisteri

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

EU:N YLEISEN TIETOSUOJA-ASETUKSEN 14 ARTIKLAN TARKOITTAMA TIEDOTE HENKILÖTIETOJEN

Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Tietosuojaseloste 1 (6)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Informaatiovelvoite ja tietosuojaperiaate

Salon kaupunki , 1820/ /2018

Rekisteröidyllä on oikeus vastustaa profilointia ja kieltää hänelle kohdistettu suoramarkkinointi.

Salon kaupunki / /2018

Tietosuojaseloste 1 (5)


Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

TIETOSUOJASELOSTE, Markkinointi & tiedottaminen

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

Relipe Oy. Tilitoimiston asiakasrekisterin TIETOSUOJASELOSTE

TIETOSUOJAILMOITUS DIDIVE-HANKE

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Tietosuojaseloste Espoon kaupunki

TIETOSUOJASELOSTE EU:n yleinen tietosuoja-asetus (679/2016), art. 12

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Tietosuojaseloste Espoon kaupunki

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojaseloste. Koskibowling Oy:n tietosuojaseloste

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Asiakaskilpailuja koskeva tietosuojaseloste

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojaseloste 1 (5)

TIETOSUOJASELOSTE. 1. Rekisterinpitäjä. Pro-Stories Oy

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus. 3. Yhteistyöhankkeena tehtävän tutkimuksen osapuolet ja vastuunjako

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rekisteri- ja tietosuojaseloste 1 (5) EU:n yleinen tietosuoja-asetus, artikla 30 Henkilötietolaki (523/99) 10 ja 24

Tietosuojaseloste Espoon kaupunki

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Rekisteriseloste, Espoon kaupunki

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Transkriptio:

HSL:N SOPIMUSLIIKENNÖITSIJÖIDEN KULJETTAJIEN KOULUTUSTIETOJEN REKISTERIN TIETOSUOJASELOSTE Laadittu 24.5.2018 1 REKISTERINPITÄJÄ Rekisterin rekisterinpitäjä on Helsingin seudun liikenne kuntayhtymä (jäljempänä HSL), y-tunnus 2274586-3. Rekisteriasioiden yhteyshenkilö on: Laura Sundell, asiakkuuspäällikkö HSL:n tietosuojavastaava Antti-Pekka Röntynen Osoite: Opastinsilta 6A 00520 HELSINKI. Puhelin: (09) 4766 4444 (vaihde) Sähköposti: tietosuojavastaava@hsl.fi 2 REKISTERIN NIMI Rekisterin nimi on HSL:n sopimusliikennöitsijöiden kuljettajien koulutustietojen rekisteri. 3 HENKILÖTIETOJEN KÄSITTELYN TARKOITUS Henkilötietoja käsitellään liikennöintisopimusten edellyttämään kuljettajien kouluttamiseen ja perehdyttämiseen HSL:n toimesta tai HSL:n tarjoamin työkaluin. 4 KÄSITTELYN OIKEUSPERUSTEET Henkilötietojen käsittelyn oikeusperuste on seuraava EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukainen peruste: - käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi (GDPR art. 6 1. e). 5 REKISTERIN TIETOSISÄLTÖ (KÄSITELTÄVÄT HENKILÖTIETORYHMÄT) Rekisteri sisältää seuraavat henkilötiedot: (a) (b) (c) henkilön perustiedot kuten etunimi ja sukunimi henkilön yritykseen tai muuhun organisaatioon liittyvät tiedot ja henkilön asema tai tehtävänimike ko. yrityksessä tai organisaatiossa kuten kuljettajanumero ja liikennöitsijänumero koulutukseen liittyvät tiedot kuten koulutusaika- ja paikka, suoritettu koulutus 6 SÄÄNNÖNMUKAISET TIETOLÄHTEET

Henkilötietoja kerätään liikennöitsijöiltä ja henkilöiltä itseltään. 7 HENKILÖTIETOJEN SÄILYTYSAIKA Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty. Rekisteriin kerättyjä henkilötietoja säilytetään seuraavien säilytysaikojen mukaisesti: HSL:n kuljettajakoulutuspäivien osallistujalistoja säilytetään kolmen vuoden ajan sopimusvelvoitteiden todentamiseksi Muita koulutustietoja säilytetään vähintään liikennöintisopimuskauden ajan. Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta vuosittain. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä. 8 HENKILÖTIETOJEN VASTAANOTTAJAT (VASTAANOTTAJARYHMÄT) SEKÄ TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET Henkilötietoja käsittelevät henkilöt, jotka työtehtäviensä puitteissa tarvitsevat pääsyn rekisterin tietoihin. HSL käyttää tietojen käsittelytehtävissä sopimuskumppaneita, joille siirretään yhteistyöhön liittyviä henkilötietoja sopimuksen tietosuojaliitteen määrittelemällä tavalla. Henkilötietoja luovutetaan tarpeen vaatiessa liikennöitsijälle, jonka työntekijää tiedot koskevat. 9 TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE Rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle. 10 REKISTERIN SUOJAUKSEN PERIAATTEET Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella. Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

11 REKISTERÖIDYN OIKEUDET Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet: (a) oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i) (vii) annetaan rekisteröidylle henkilölle tällä selosteella; (b) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.); (a) oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.); (b) oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.); (c) oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.); (d) oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);

(e) oikeus tehdä valitus valvontaviranomaiselle (Tietosuojavaltuutetun toimisto, puhelin vaihde: 029 5666700, sähköposti: tietosuoja@om.fi) jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.). Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan rekisteripitäjän palvelupisteellä kuljettajakortin kanssa osoitteessa www.hsl.fi/tietosuoja annetun ohjeistuksen mukaisesti. 12 MUUTOKSET HSL voi tehdä tähän tietosuojaselosteeseen muutoksia ilmoittamalla muutoksista verkkosivuilla, sähköpostitse tai varikon ilmoitustauluilla.

OHJE HSL:N HENKILÖREKISTERIN TIETOSUOJASELOSTEEN LAATIMISESTA Tässä ohjeessa kerrotaan, mitä asioita tietosuojaselosteen laatimisessa tulee ottaa huomioon. Lisäksi tässä ohjeessa kerrotaan, mihin tietosuojaseloste tulee toimittaa eteenpäin. Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Epäselvissä tilanteissa ota aina yhteyttä HSL:n tietosuojavastaavaan. Prosessi 1. Lue tämä ohje. 2. Selvitä ja dokumentoi kirjallisesti ohjeessa kerrotut asiat ennen tietosuojaselosteen laatimista. 3. Suunnittele miten tietosuojaseloste saatetaan rekisteröityjen luettavaksi. Tietosuojaseloste tulee saattaa rekisteröityjen luettavaksi samassa yhteydessä, jossa henkilötietoja kerätään rekisteröidyltä (esim. palveluun kirjautumisen yhteydessä). 4. Laadi mallipohjan mukainen tietosuojaseloste. 5. Lähetä tietosuojaselosteluonnos rekisteristerin laadintaan osallistuvien henkilöiden ja HSL:n tietosuojavastaavan kommentoitavaksi. Selvitä onko tietosuojaseloste tarpeen lähettää kommentoitavaksi myös rekisteristä vastaavan osastonjohtajalle. 6. Tee tarvittavat muokkaukset. 7. Lähetä valmis tietosuojaseloste tiedoksi HSL:n tietosuojavastaavalle ja rekisteristä vastaavalle osastonjohtajalle, sekä assistenteille vietäväksi HSL:n asianhallintajärjestelmään. 8. Julkaise tietosuojaseloste rekisteröityjen luettavaksi siinä yhteydessä, jossa rekisterin tietoja kerätään rekisteröidyltä (esim. Palvelun kirjautumissivulla) ja toimita seloste viestintään julkaistavaksi HSL:n verkkosivuilla. Tietosuojaselosteen laatiminen Mallinpohjaan on merkitty keltaisella kohtia, joita tulee selvittää ja täyttää tietosuojaselostetta laatiessa. Alla kerrotaan, miten malipohjaan keltaisella merkittyjä kohtia tulee selvittää ja täyttää. 1 REKISTERINPITÄJÄ Tässä kohdassa määritellään henkilörekisterin rekisterinpitäjä. Lisäksi kerrotaan rekisterin yhteyshenkilön nimi ja yhteystiedot. Rekisterin yhteyshenkilö on kyseisestä rekisteristä vastaava henkilö. Rekisteripitäjällä tarkoitetaan tahoa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä on vastaa siitä, että henkilötietojen käsittelyssä noudatetaan tietosuojalainsäädäntöä. Selvitä aina ennen henkilötietojen keräämistä, mitä tarkoituksia varten henkilötietoja käsitellään ja kenellä on valta päättää henkilötietojen käsittelystä.

HSL on lähtökohtaisesti kaikkien HSL:n toimintaa varten perustettujen henkilörekisterien rekisterinpitäjä. Mikäli henkilötietojen käsittely liittyy jonkinlaiseen yhteistyöhön toisen tahon kanssa, ota yhteyttä tietosuojavastaavaan. 2 REKISTERIN NIMI Tässä kohdassa määritellään rekisterin nimi. Rekisterille annetaan nimi, joka ilmaisee rekisterin käyttötarkoituksen (esim. asiakasrekisteri, henkilöstöhallinnon rekisteri). 3 HENKILÖTIETOJEN KÄSITTELYN TARKOITUS Tähän kirjoitetaan, mihin rekisterissä olevaa tietoa käytetään. Jos käyttötarkoituksia on useita, ne kaikki kuvataan tähän. Käyttötarkoitusten huolellinen kartoittaminen ennen rekisterin perustamista on tärkeää, koska EU:n yleisen tietosuoja-asetuksen mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Tässä on kerrottava, jos tietoja käsittelee HSL:n puolesta alihankkija, kuten esim. järjestelmän tai palvelun toimittaja. 4 KÄSITTELYN OIKEUSPERUSTEET Kaiken henkilötietojen käsittelyn tulee perustua laissa olevaan oikeusperusteeseen. Ennen 25.5.2018 sovelletaan henkilötietolain mukaisia oikeusperusteita. Henkilötietolain mukaisia käsittelyperusteita ovat: - rekisteröidyn yksiselitteisesti antama suostumus (HetiL 8 :n 1 mom. 1 kohta); - rekisteröidyn toimeksianto tai sellaisen sopimuksen täytäntöönpaneminen, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttaminen rekisteröidyn pyynnöstä (HetiL 8 :n 1 mom. 2 kohta); - jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi (HetiL 8 :n 1 mom. 3 kohta); - jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta (HetiL 8 :n 1 mom. 4 kohta); - rekisteröidyn asiakas- tai muun siihen verrattavaan suhteeseen perustuva asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus) (HetiL 8 :n 1 mom. 5 kohta); - jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä (HetiL 8 :n 1 mom. 6 kohta);

- jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten (HetiL 8 :n 1 mom. 7 kohta); - jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi (HetiL 8 :n 1 mom. 8 kohta); tai - jos tietosuojalautakunta on antanut käsittelyyn 43 :n 1 momentissa tarkoitetun luvan (HetiL 8 :n 1 mom. 9 kohta). 25.5.2018 alkaen sovelletaan EU:n yleisen tietosuoja-asetuksen mukaisia oikeusperusteita (GDPR, General Data Protection Regulation). Nämä poikkeavat jonkin verran henkilötietolain perusteista. GDPR:n mukaisia käsittelyperusteita ovat: - rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a); - käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b). - käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (GDPR 6 art. 1 c); - käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (GDPR 6 art. 1 d); - käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (GDPR 6 art. 1 e); - käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi (GDPR 6 art. 1 f); Rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. HSL:n yleisen käytännön mukaan suostumusta käytetään henkilötietojen käsittelyn oikeusperusteena vain niissä tapauksissa, joissa mitään muuta GDPR:n mukaista käsittelyperustetta ei voida soveltaa. Suostumuksen käyttäminen käsittelyperusteena edellyttää, että HSL pystyy todisteellisesti osoittamaan, missä, milloin ja mihin rekisteröity on suostumuksensa antanut. Suostumuksen antamisen on oltava vapaaehtoista ja rekisteröidyn on pystyttävä milloin tahansa peruuttaa suostumus. Varsin tyypillinen käsittelyperuste HSL:n toimintojen yhteydessä voisi olla se, että käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen

tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Tämän käsittelyperusteen käyttö edellyttää, että rekisteröity itse on sopimuksen osapuolena. Joissakin tapauksissa käsittely voi olla tarpeen HSL:n lakisääteisen velvoitteen noudattamiseksi, kuten esimerkiksi työnantajavelvoitteiden täyttämiseksi. Arkaluonteisia henkilötietoja koskee käsittelykielto. Henkilötietolain mukaan arkaluonteisia henkilötietoja koskeva käsittelykielto ei kuitenkaan Ennen 25.5.2018 estä: 1) tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa; 2) sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi; 3) tietojen käsittelyä, joka on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeän edun suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan; 4) tietojen käsittelyä, joka on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; 5) tietojen käsittelyä, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä; 6) tietojen käsittelyä historiallista tai tieteellistä tutkimusta taikka tilastointia varten; 7) uskonnollista, poliittista tai yhteiskunnallista vakaumusta koskevien tietojen käsittelyä tällaista vakaumusta edustavien yhdistysten ja muiden yhteisöjen toiminnassa, jos tiedot koskevat näiden yhdistysten tai yhteisöjen jäseniä taikka henkilöitä, joilla on niihin säännölliset, yhdistysten ja yhteisöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta; 8) ammattiliittoon kuulumista koskevien tietojen käsittelyä ammattiyhdistysten ja niiden muodostaman liiton toiminnassa, jos tiedot koskevat näiden järjestöjen jäseniä taikka henkilöitä, joilla on järjestöihin säännölliset, järjestöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta; 9) ammattiliittoon kuulumista koskevan tiedon käsittelyä, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla; 10) terveydenhuollon toimintayksikköä tai terveydenhuollon ammattihenkilöä käsittelemästä näiden tässä toiminnassa saamia tietoja rekisteröidyn terveydentilasta, sairaudesta tai vammaisuudesta tai häneen kohdistetuista hoitotoimenpiteistä taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja; 11) vakuutuslaitosta käsittelemästä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista taikka sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;

12) sosiaalihuollon viranomaista tai muuta sosiaalihuollon etuuksia myöntävää viranomaista, laitosta tai yksityisten sosiaalipalvelujen tuottajaa käsittelemästä kyseisen viranomaisen, laitoksen tai palvelujen tuottajan toiminnassaan saamia tietoja rekisteröidyn sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista tai hänelle myönnetyistä muista sosiaalihuollon etuuksista taikka muita rekisteröidyn huollon kannalta välttämättömiä tietoja; tai 13) tietojen käsittelyä, johon tietosuojalautakunta on antanut 43 :n 2 momentissa tarkoitetun luvan. Arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa mainittua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista tai 1 momentin 13 kohdassa tarkoitetusta tietosuojalautakunnan luvasta muuta johdu. Arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole yllä mainittua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista tai 1 momentin 13 kohdassa tarkoitetusta tietosuojalautakunnan luvasta muuta johdu. EU:n yleisessä tietosuoja-asetuksessa arkaluonteisista henkilötiedoista käytetään nimitystä erityiset henkilötietoryhmät, joita koskee myös käsittelykielto. Asetuksen mukaista erityisiä henkilötietoryhmiä koskevaa käsittelyä on sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. Erityisiin henkilötietoryhmään kuuluvia tietoja voidaan kuitenkin 25.5.2018 jälkeen käsitellä, jos käsittelyperusteena on jokin alla oleva asetuksen mukainen käsittelyperuste: a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; b) käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista; c) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; d) käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjentarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovutetayhteisön ulkopuolelle ilman rekisteröidyn suostumusta; e) käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi; f) käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

g) käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi; h) käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia. 5 REKISTERIN TIETOSISÄLTÖ (KÄSITELTÄVÄT HENKILÖTIETORYHMÄT) Tässä kerrotaan, mitä henkilötietoja rekisteri sisältää kaikista rekisteröidyistä. Henkilötiedot ryhmitellään sen mukaan, mihin henkilötietoja käytetään. Mikäli rekisteriin on tarkoitus kerätä arkaluonteisia henkilötietoja, ota yhteyttä HSL:n tietosuojavastaavaan. Tässä kohdassa luetellaan myös kaikki rekisteröidyltä kerättävät henkilötietojen käsittelyyn liittyvät luvat ja kiellot (mm. sähköisen markkinoinnin lupa ja markkinointikielto). Tässä kohdassa olisi hyvä olla tarvittaessa maininta siitä, onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus, sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset. Tämän tiedon voi tapauskohtaisesti merkitä myös kohdan 6 alle, jos se tuntuu kyseisessä asetelmassa luontevammalta kohdalta informoida rekisteröityä henkilöä aiheesta. 6 SÄÄNNÖNMUKAISET TIETOLÄHTEET Tässä kerrotaan, kerätäänkö henkilötiedot rekisteröidyltä itseltään suostumuksen perusteella tai sopimuksen täytäntöön panemiseksi/valmistelemiseksi. Tässä kerrotaan lisäksi, jos henkilötietoja saadaan jostakin muualta kuin rekisteröidyltä itseltään esim. väestörekisterikeskukselta. 7 HENKILÖTIETOJEN SÄILYTYSAIKA Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty. Tässä kohdassa kerrotaan vähintään henkilötietoryhmittäin, miten pitkään tietoja säilytetään. Jos tarkkaa säilytysaikaa ei ole mahdollista määrittää, kerrotaan vähintään kriteerit, joiden perusteella säilytysaika määräytyy. Henkilötietojen säilyttämisen tarvetta on arvioitava säännöllisesti. Tässä kerrotaan, millaisin väliajoin tietojen säilyttämisen tarvetta arvioidaan, esim. kahden vuoden välein. Tässä on myös hyvä kertoa, milloin tiedot viime kädessä poistetaan rekisteristä, sillä henkilötietoa ei lähtökohtaisesti voi säilyttää ikuisesti. Jos kuitenkin rekisteriin kerätään sellaista esim. lain nojalla kerättävää henkilötietoa, jonka pysyvästä säilyttämisestä on säädetty lailla, pysyvä säilytys voi tulla kyseeseen. Tavallinen tilanne on kuitenkin se, että tiedot poistetaan viimeistään esim. kahden vuoden kuluttua siitä, kun asiakassuhde/sopimussuhde on päättynyt.

8 HENKILÖTIETOJEN VASTAANOTTAJAT (VASTAANOTTAJARYHMÄT) SEKÄ TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET Henkilötietojen luovutus on henkilötietojen käsittelyä, ja luovutus edellyttää laista johtuvaa perustetta. HSL ei lähtökohtaisesti tee säännönmukaisia luovutuksia henkilörekistereistä. Mikäli tietoja on tarve luovuttaa, ota yhteyttä HSL:n tietosuojavastaavaan. Lisäksi huomaathan eron käsitteiden henkilötietojen siirto ja henkilötietojen luovutus välillä. Henkilötietojen siirto on käsitteenä laajempi ja kattaa käsitteenä myös luovutustilanteet. Henkilötietojen luovuttaminen on käsitteenä suppeampi, ja sillä tarkoitetaan henkilötietojen luovuttamista rekisterinpitäjältä ulkopuoliselle taholle. Luovutuksessa henkilötiedot siirtyvät alkuperäisen luovuttaja-rekisterinpitäjän kontrollipiirin ulkopuolelle. Sen vuoksi luovutustilanteisiin tulisi kiinnittää erityisesti huomiota ja arvioida luovutusten lainmukaisuus. Henkilötietojen siirroissa voi olla myös kysymys siitä, että siirronsaajana oleva henkilötietojen käsittelijä (toimittaja) toimii rekisterinpitäjän puolesta ja lukuun rekisterinpitäjän käsittelytoimeksiannon mukaisesti, eli käsittely säilyy kyseisen rekisterinpitäjän kontrollipiirissä. Tällöin henkilötietojen käsittelijällä (toimittajalla) ei ole itsenäistä päätösvaltaa käsittelyn suhteen, eikä henkilötietojen käsittelijä (toimittaja) käsittele kyseisiä rekisterinpitäjän henkilötietoja omia käsittelytarkoituksiaan varten. Tällainen ns. alihankintatilanne kuvataan edellä kohdassa 3 henkilötietojen käsittelyn tarkoitus. HSL:n tulisi erilaisissa siirtotilanteissa tunnistaa, onko kysymys luovutuksesta ulkopuoliselle taholle vai siirrosta henkilötietojen käsittelijälle liittyen HSL:n käsittelytoimeksiannon toteuttamiseen. Olethan tarvittaessa yhteydessä HSL:n tietosuojavastaavaan. 9 TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE Henkilötietojen siirtäminen EU/ETA-alueen ulkopuolelle edellyttää, että HSL noudattaa Euroopan komission hyväksymiä mallisopimuslausekkeita. HSL ei lähtökohtaisesti siirrä henkilötietoja EU/ETAalueen ulkopuolelle. Tällainen asetelma voi olla kysymyksessä esim. silloin, kun HSL käyttää sellaista alihankkijaa, joka säilyttää HSL:n henkilörekisteriin kuuluvia henkilötietoja EU/ETA-alueen ulkopuolella olevalla palvelimella, tai kun HSL:n henkilörekisterin henkilötietoihin avataan etäyhteys EU/ETA-alueen ulkopuolelta. Mikäli henkilötietoja on tarve siirtää EU/ETA-alueen ulkopuolelle, ota yhteyttä HSL:n tietosuojavastaavaan. 10 REKISTERIN SUOJAUKSEN PERIAATTEET Ennen henkilörekisterin perustamista on selvitettävä, miten henkilötietoja tullaan käytännössä suojaamaan. Henkilörekisterin suojausta koskevat tiedot on dokumentoitava.

Tässä kerrotaan henkilörekisterin suojauksen periaatteet. Yksityiskohtaiset sujausta koskevat tiedot sisällytetään HSL:n sisäiseen dokumentaatioon. Alla esitetyt suojausperiaatteet ovat vähimmäisvaatimukset suojauksen periaatteille. [Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella. Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin. Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.] 11 REKISTERÖIDYN OIKEUDET [alla esimerkkejä; nämä pitää määrittää kussakin tapauksessa erikseen:] Rekisteröidyllä on seuraavat henkilötietolain mukaiset oikeudet: (a) oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu, tai ettei rekisterissä ole häntä koskevia tietoja, sekä rekisterin säännönmukaiset tietolähteet ja mihin rekisterin tietoja käytetään sekä säännönmukaisesti luovutetaan [(HetiL:n 26 )]; (b) oikeus vaatia oikaistavaksi, poistettavaksi tai täydennettäväksi rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto [(HetiL:n 29 )]; (c) oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia varten [(HetiL:n 30 )]. Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet: 1 oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä,

kaikki tietojen alkuperästä käytettävissä olevat tiedot [(GDPR 15 art.)]. Nämä kuvatut perustiedot (i) (vii) annetaan rekisteröidylle henkilölle tällä lomakkeella; 2 oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen [(GDPR 7 art.)]; (f) oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin [(GDPR 16 art.)]; (g) oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi [(GDPR 17 art.)]; (h) oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet [(GDPR 18 art.)]; (i) oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti [(GDPR 20 art.)]; (j) oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta [(GDPR 77 art.)]. Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle. 12 MUUTOKSET Lähtökohtaisesti tietosuojaselostetta voidaan muuttaa vain rekisteröidyn asemaa parantavilla tavoilla, eivätkö muutokset saa olla sellaisia, että se johtaisi henkilötietojen käsittelyyn tässä tietosuojaselosteessa kerrotusta poikkeavalla tavalla. Muutostilanteissa ota yhteyttä HSL:n tietosuojavastaavaan.

HUOM! Henkilörekisterin huolellinen etukäteissuunnittelu on erittäin tärkeää, jotta vältettäisiin tietosuojaselosteen muuttamistilanteet.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute