REKISTERÖIDYN OIKEUDET TIETOSUOJA-ASETUKSEN NOJALLA TYÖKIRJA I/II

Samankaltaiset tiedostot
Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Termit. Tietosuojaseloste

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Salon kaupunki , 1820/ /2018

Salon kaupunki , 1820/ /2018

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Salon kaupunki / /2018

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Varustekorttirekisteri - Tietosuojaseloste

Salon kaupunki / /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Organisaatioluvan hakeminen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5)

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

TIETOSUOJAILMOITUS DIDIVE-HANKE


OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

FINNLINESIN YHTEYDENOTTOPYYNTÖJEN KÄSITTELYYN LIITTYVÄN REKISTERIN TIETOSUOJASELOSTE

Rekisteriseloste, Espoon kaupunki

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

OUKA/10235/ /2017

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste Espoon kaupunki

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Rekisterin nimi on HSL:n sidosryhmärekisteri ( Sidosryhmärekisteri ), jonka rekisteröityjä ovat HSL:n sidosryhmiin kuuluvat henkilöt ( Sidosryhmät ).

Tietosuojaseloste Espoon kaupunki

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tietosuojaseloste 1 (5)

EU:N YLEISEN TIETOSUOJA-ASETUKSEN 14 ARTIKLAN TARKOITTAMA TIEDOTE HENKILÖTIETOJEN

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tietosuojaseloste Espoon kaupunki

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

Tietosuojaseloste Henkilötietolain 10 ja 24, majoitus- ja ravitsemustoiminnasta annetun lain 7

Tietosuojaseloste 1 (6)

WORKSPACE OY REKISTERISELOSTEET

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Rekisteri- ja tietosuojaseloste 1 (5) EU:n yleinen tietosuoja-asetus (2016/679 GDPR)

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

Relipe Oy. Tilitoimiston asiakasrekisterin TIETOSUOJASELOSTE

Tietosuojaseloste Espoon kaupunki

OUKA/10235/ /2017

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

Lisäksi henkilötietoja käsitellään toimittajille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa.

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

SELOSTE TIETOSUOJA-ASETUKSEN INFORMOINTIVELVOITTEEN EDELLYTTÄMISTÄ TIEDOISTA. Laatimispvm 1. Rekisterinpitäjä

1. Matkustajarekisterinpitäjä Itä-Suomen Liikuntaopisto Oy Länsikatu 15, Joensuu Toimisto ,

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojaseloste Espoon kaupunki

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

Teknologia avusteiset palvelutverkostopalaveri

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Transkriptio:

ON TEHTY VRK:N KÄYTTÖÖN JA MENETTELYTAPOIHIN SOPIVAKSI TARKISTA SOPIVUUS OMAAN ORGANISAATIOON. HUOM! SSA EI OLE KAIKKIA ASETUKSEN VAATIMIA ASIOITA OTETTU HUOMIOON, KOSKA KAIKKI EIVÄT SOVELLU VRK:N TOIMINTAAN. REKISTERÖIDYN OIKEUDET TIETOSUOJA-ASETUKSEN NOJALLA I/II I YLEISET SUUNTAVIIVAT 1 Johdanto EU:n yleinen tietosuoja-asetus (johon viitataan tässä ohjeessa tästä eteenpäin asetuksena) 2016/679 on hyväksytty 14.4.2016 ja sen vaatimukset on tullut saattaa voimaan siirtymäajan päättyessä, 25.5.2018 mennessä tai mahdollisimman pian siirtymäajan jälkeen. Asetuksen tavoitteena on yhdenmukaistaa tietosuojan taso koko EU-alueella. Sen kautta vahvistetaan yksilön oikeuksia ja vapauksia ja toisaalta edistetään EU:n digitaalisten sisämarkkinoiden kehittämistä. Organisaatioiden tulee varmistaa, että käytännöt vastaavat tietosuoja-asetusta sekä tehdä tarvittavat muutokset. Organisaation toiminta, henkilötietojen käsittely ja henkilötietoja sisältävien rekisterien pito tulee siis saattaa asetuksen vaatimusten mukaisiksi. Tietosuoja-asetus koskee niin julkisia kuin yksityisiäkin organisaatioita. Asetus antaa kuitenkin liikkumavaraa henkilötietojen käsittelylle, joka tapahtuu esimerkiksi lakiperusteisesti tai julkista tehtävää hoidettaessa. Tämän vuoksi tällä hetkellä ei tiedetä aivan tarkalla tasolla, mitkä vaatimukset tulevat lopulta soveltumaan organisaation suorittamaan henkilötietojen käsittelyyn, vaan näistä asioista säädetään tarkemmin kansallisessa lainsäädännössä. Varmaa on, että soveltaminen tulee tarkentumaan oikeuskäytännössä. Tätä ohjeistusta tehtäessä lähteenä on käytetty Vahti-raporttia nro 1/2016. Tutustu kyseiseen raporttiin ennen tätä ohjeistusta, sillä se sisältää tässä käytettyjen termien määrittelyt. Lukijan tulee varmistaa, että hän tuntee vähintään tärkeimmät termit, esimerkiksi käsittelyn sekä henkilötiedon käsitteet. Tätä ohjeistusta lukiessa tulee muistaa, että käsite henkilörekisteri on ymmärrettävä laajasti. Sillä voidaan tarkoittaa henkilötiedoista koostuvaa rekisteriä, joka on osa tietojärjestelmää, tai toisaalta rekisteriä, joka ei ole missään tietojärjestelmässä. Tällainen on esimerkiksi Excel-lista henkilötiedoista tallennettuna omalle verkkolevylle. Lisäksi asetus koskee yleisesti henkilötiedon käsittelyä, riippumatta siitä, muodostuvatko tiedot varsinaiseksi rekisteriksi. Tämä ohjeistus koskee kaikkia henkilörekistereitä sekä käsittelytoimia organisaatiossa, ja on olennaista, että niiden olemassaolo ja henkilötietojen käsittelyperuste tunnistetaan. Siltä osin kuin tässä dokumentissa puhutaan järjestelmästä, tarkoitetaan sellaista tietojärjestelmää, jossa käsitellään henkilötietoja. Tätä työkirjaa täydentää osa II: oletusarvoinen ja sisäänrakennettu tietosuoja. Näitä työkirjoja kannattaa käsitellä yhdessä, sillä aihealueet nivoutuvat toisiinsa monessa kohdin. 2 Vaatimustenmukaisuuden tarkistaminen organisaation toiminnassa Tämä menettelyohje jakautuu kahteen osaan. Ensimmäisessä osassa kerrotaan asetuksen vaatimuksista yleisesti ja toisessa, työkirjaosassa annetaan suuntaviivat siihen, miten vaatimukset tulee toteuttaa organisaation toiminnassa ja mitä toimia tulee mahdollisesti tehdä. Toimet voivat olla niin järjestelmämuutoksia kuin dokumentaation tekemistäkin.

Tehtävät ja vaatimukset tulee käydä kattavalla henkilökokoonpanolla läpi. Tavoitteena on tunnistaa rekisteri- ja järjestelmäkohtaisesti oikeudet ja niiden toteutumisen taso tällä hetkellä. Kartoitus tulee tehdä mahdollisuuksien mukaan jo siinä vaiheessa, kun menettelyä/palvelu/tietojärjestelmää suunnitellaan. Jos esim. tietojärjestelmää tehdään ns. pala palalta, on mahdollisuus pilkkoa työkirja moneen osaan, ja käydä läpi vain se osa, joka on kehityksen kohteena. Mikäli oikeudet eivät tällä hetkellä olemassa olevissa henkilörekistereissä tai tietojärjestelmissä toteudu, tai voimassa oleva menettely tai ohjeistus ei vastaa asetuksen vaatimuksia, muutokset tulee saattaa voimaan nopeassa aikataulussa, ottaen huomioon aiheutuneen riskitason ja käytettävissä olevat resurssit. Raportoi tietosuojavastaavalle tai yksikkösi tietosuojasta vastaavalle henkilölle siitä, minkä rekisterin tai toiminnon osalta vaatimustenmukaisuuden katselmointi on suoritettu ja vaaditaanko toimenpiteitä. Kirjaa tiedot myös ewikissä olevaan business outcomiin. Kerro myös, missä aikataulussa ja miten mahdolliset toimenpiteet aiotaan toteuttaa. Tietosuojavastaava tai yksikkösi juristi neuvoo ja auttaa vaatimusten tulkintakysymyksissä. Suunnittele prosessit ja tietojärjestelmät niin, että tässä työkirjassa esitetyt rekisteröidyn oikeudet on mahdollisimman helppo toteuttaa. 3 Rekisteröidyn oikeudet Tietosuoja-asetus tuo rekisteröidylle entistä laajemmat ja tarkemmin säännellyt oikeudet. Pääsääntöisesti oikeudet ovat kuitenkin melko saman sisältöisiä kuin nykyisessä henkilötietolaissa. Asetus lähtee riskiperusteisesta ajattelutavasta: henkilötietojen käsittely tulee suunnitella sen mukaisesti, minkälaisen riskin käsittely aiheuttaa henkilötietojen luottamuksellisuudelle ja henkilötietojen suojalle. Prosessit esimerkiksi tietoturvaloukkausten varalta tulee suunnitella etukäteen. Monet oikeuksista tulee huomioida tietojärjestelmässä oletusarvoisesti ja sisäänrakennettuna. Tämä kannattaa jo senkin vuoksi, että rekisteröidyn oikeuksien toteuttaminen voi viedä manuaalisesti toteutettuna huomattavasti työaikaa (esimerkiksi tietopyynnöt siitä, mitä tietoja rekisteröidystä käsitellään). Lisäksi oikeuksien toteuttaminen vaatii suureksi osaksi sähköisiä keinoja (oikeus saada vastaus yleisesti käytettävissä olevassa sähköisessä muodossa). Sähköisyys, helppo saavutettavuus ja yleistajuisuus ovat asetuksen keskeisiä teemoja, jotka tulee ottaa huomioon henkilötietojen käsittelyä järjestettäessä. Jatkossa rekisteröity ja hänen oikeutensa ovat käsittelyn keskiössä ja rekisterinpitäjän tulee aktiivisesti osoittaa toteuttavansa rekisteröidyn oikeudet. 3.1 Oikeus saada informaatiota Rekisteröidyllä on oikeus saada tietoa käsittelystä ja omista oikeuksistaan. Oikeus tulla informoiduksi nivoutuu muihin rekisteröidyn oikeuksiin: oikeat tiedot käsittelystä ovat edellytys sille, että rekisteröity voi toimia aktiivisesti omassa asiassaan. Asetuksessa säädetään siitä, millä tavalla rekisteröityä tulee informoida esimerkiksi silloin, kun hän kysyy, mitä tietoja hänestä on rekisteriin tallennettu. Tiedotusvelvollisuus koskee tällöin paitsi hänestä tallennettuja tietoja, myös yleisiä tietoja esimerkiksi käsittelyn perusteesta (ks. tarkemmin esim. 3.2).

Rekisteröityä tulee palvella ns. yhden luukun periaatteella. Lähtökohtaisesti rekisteröity kohdistaa tiedustelun joko kappaleessa 3.1.2 mainituissa selosteissa mainituille tahoille tai kirjaamoon, jonka jälkeen käynnistyy organisaation sisäinen prosessi tiedusteluun vastaamiseksi. Rekisteröidyn tunnistamisessa (henkilöllisyys sen varmistamiseksi, että kysyjällä on oikeus saada kysytyt tiedot) sovelletaan hallintolakia, sähköistä asiointilakia, henkilötietolakia tai muuta soveltuvaa lainsäädäntöä. Mikäli rekisteröidyn tiedusteluun tulee vastata kielteisesti (tietoja ei voida luovuttaa), tulee tästä liittää vastaukseen valitusosoitus. Valitusosoituksena käytetään organisaation yhtenäistä mallipohjaa. Mikäli rekisteröidyn tietopyyntö koskee lokitietoja, noudatetaan organisaation erillistä, sisäistä ohjeistusta. 3.1.1 Oikeus saada tieto henkilötietojen tietoturvaloukkauksesta (34 artikla) Rekisterinpitäjän tulee ilmoittaa henkilökohtaisesti rekisteröidylle, mikäli on tapahtunut sellainen henkilötietoihin kohdistunut tietoturvaloukkaus, jonka yhteydessä henkilötietojen luottamuksellisuus on vaarantunut, esimerkiksi tietoja on vuotanut ulkopuolisille. Organisaation sisäisesti tällaista tapahtumaa kutsutaan tietosuojapoikkeamaksi. Oikeus astuu voimaan, jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille, esimerkiksi identiteettivarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan muodossa. Ilmoitus on tehtävä myös valvontaviranomaiselle (tällä hetkellä tietosuojavaltuutettu) 72 tunnin sisällä siitä, kun loukkaus on havaittu. Ilmoitusta ei tarvitse lähettää esimerkiksi jos vuotaneet henkilötiedot on salattu ja salausavaimet eivät ole vaarantuneet. Rekisterinpitäjä voi ilmoittaa vuodosta median välityksellä, jos henkilökohtaisten ilmoitusten lähettäminen vaatisi kohtuutonta vaivaa. Tällaisiksi tilanteiksi voidaan nähdä suuren kokoluokan tietovuodot, joiden piirissä on lukemattomia rekisteröityjä. Rekisteröidylle suunnattavan ilmoituksen tulee sisältää vähintäänkin tietyt, asetuksessa määriteltävät tiedot. Tietosuojavastaa koordinoi ilmoituksen tekemistä niin valvontaviranomaiselle kuin rekisteröidylle. Tietosuojapoikkeaman perustietojen lisäksi tulee rekisteröidylle pystyä kertomaan esimerkiksi se, miten loukkauksen haitallisia vaikutuksia rekisteröity voi itse mahdollisesti vähentää (esim. salasanojen vaihtaminen) ja millaisia vaikutuksia henkilötietojen tietoturvaloukkauksella voi todennäköisesti olla rekisteröidyille. Tietosuoja- ja tietoturvapoikkeamien varalta on organisaatiossa olemassa erilliset toimintaohjeet (tietoturva- ja tietosuojapoikkeamien hallintaohje), joita tulee noudattaa edellä kuvatuissa tilanteissa. Myös sopimuskumppaneille on sopimusten liitteenä toimintaohjeet poikkeamailmoitusten tekemiseksi, sillä henkilötietojen käsittelijän tulee infota rekisterinpitäjää näistä viivytyksettä. Prosesseja ei siis pidä toiminnoittain laatia itse, vaan toiminnoittain ja palveluittain tulee tunnistaa kunkin rekisterin osalta vastuuhenkilöt, jotka tietävät miten toimia poikkeaman sattuessa. Tietosuojapoikkeamatilanteissa tulee noudattaa organisaation tietoturva- ja tietosuojapoikkeamaohjeistusta ja huomioida velvollisuus informoida sekä valvontaviranomaista että rekisteröityä määräaikojen puitteissa.

3.1.2 Seloste käsittelytoimista sekä rekisteriselosteet Niin rekisterinpitäjän kuin henkilötietojen käsittelijän on ylläpidettävä kirjallista ja sähköisessä muodossa olevaa selostetta kaikista henkilötietojen käsittelytoimista. Lisäksi rekisterinpitäjän tulee avoimesti ja ymmärrettävästi informoida henkilötietojen käsittelystä sekä siitä, miten rekisteröidyn oikeudet toteutetaan. Tämä velvollisuus toteutetaan organisaatiossa paitsi edellä mainitulla tietosuojasivustolla, myös tietosuojaselosteella, joka pääosin vastaa henkilötietolain mukaista rekisteriselostetta. Vaadittu tietosisältö on kuitenkin hieman laajempi ja tämän vuoksi kaikki henkilötietolain mukaiset rekisteriselosteet tai tietosuojaselosteet on päivitettävä uudelle tietosuojapohjalle. 3.1.2.1 Seloste käsittelytoimista (artikla 30) Seloste käsittelytoimista on ensisijaisesti vain sisäistä käyttöä varten tarkoitettu dokumentti. Selosteesta on käytävä ilmi mm. henkilötietojen käsittelyn kannalta keskeisten tahojen yhteystiedot, käsittelyn kohteena olevien tietoryhmät ja tiedot henkilötietojen siirroista kolmansiin maihin. Rekisterinpitäjän selosteen käsittelytoimista tulee sisältää seuraavat elementit: Rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot Käsittelyn tarkoitus ja oikeusperuste Jos käsittely perustuu suostumukseen, oikeus peruuttaa suostumus milloin tahansa Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat Tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle. Jos kyseessä on tällainen rekisteri, ota yhteys tietosuojavastaavaan Mahdollisuuksien mukaan yleinen kuvaus artikla 32 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Mahdollinen profiloinnin tai automaattisen päätöksenteon mahdollisuus ja mahdollisuuksien mukaan tiedot käsittelyyn liittyvästä logiikasta, käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle Henkilötietojen käsittelijän on myös laadittava seloste käsittelytoimista rekisterinpitäjän lukuun käsiteltävistä henkilötiedoista. Tämä velvollisuus tulee liittää sopimuksiin. Käsittelijän selosteen käsittelytoimista tulee sisältää seuraavat elementit: Käsittelijän tai käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot Kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät Tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle. Jos kyseessä on tällainen rekisteri, ota yhteys tietosuojavastaavaan Mahdollisuuksien mukaan yleinen kuvaus artikla 32 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Huom! Tietosuojavastaava laatii selosteen käsittelytoimista, mutta tämä vaatii sitä, että kunkin rekisterin omistaja on kuvannut rekisterin tietosisällön, käyttötarkoituksen, luovutukset jne exceltaulukkoon, jota organisaatiossa käytetään henkilötietovirtakuvausten pohjana.

Pääasiassa sisäiseen käyttöön tarkoitettu seloste käsittelytoimista laaditaan organisaation tietosuojavastaavan toimesta. Tarpeen mukaan on huolehdittava siitä, että myös henkilötietojen käsittelijä laatii selosteen. 3.1.2.2 Tietosuojaselosteet (artiklat 13 ja 14) Rekisterinpitäjän tulee avoimesti ja ymmärrettävästi informoida henkilötietojen käsittelystä sekä siitä, miten rekisteröidyn oikeudet toteutetaan. Tämä velvollisuus toteutetaan tietosuojaselosteella, joka vastaa pääosin henkilötietolain mukaista rekisteriselostetta (asetuksessa ei käytetä tätä termiä). Vaadittu tietosisältö vastaa myös pitkälti henkilötietolakia, ollen kuitenkin hieman laajempi. Lisäksi rekisteröidyn oikeuksista informoidaan myöhemmin ilmoitettavalla tavalla organisaation yleisillä internet-sivuilla. Rekisterinpitäjän tulee varmistaa, että seloste on helposti rekisteröidyn saatavilla. organisaation tietosuojaselosteet pidetään saatavilla ja ajantasaisena sekä yleisillä internet-sivuilla (niille erikseen osoitetussa paikassa tietosuojasivustolle), että asiakasrajapinnan palvelussa. Virkamiesten ja konsulttien henkilötietojen käsittelyä koskevat selosteet voivat olla saatavissa vain talon sisäisesti, siten että ne ovat kuitenkin virkamiehen nähtävillä. Rekisteriselosteen vaadittu sisältö riippuu siitä, onko tiedot saatu rekisteröidyltä itseltään vai ei. Kun tietoja ei ole saatu rekisteröidyltä, rekisteriselosteessa tulee olla seuraavat tiedot: rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste kyseessä olevat henkilötietoryhmät mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle. Jos kyseessä on tällainen rekisteri, ota yhteys tietosuojavastaavaan. Lisäksi rekisteröidylle toimitetaan seuraavat tiedot siten, että ne ovat saatavilla organisaation internetsivuilla. Linkki tietoihin tulee löytyä rekisteriselosteesta. henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen oikeus peruuttaa mahdollinen käsittelyä varten vaadittava suostumus milloin tahansa oikeus tehdä valitus valvontaviranomaiselle mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä

automaattisen päätöksenteon, muun muassa profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Tietoja ei lähtökohtaisesti saa käsitellä muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin. Jos näin on kuitenkin tarkoitus tehdä, tulee rekisteröityä informoida ennen tällaista jatkokäsittelyä. Tietosuoja-asetuksessa on tähän tarkat tietosisältövaatimukset, joita ei kuitenkaan toisteta tässä, koska tämä tilanne on erittäin poikkeuksellinen. Rekisteröidylle suunnattu tietosuojaseloste laaditaan organisaation mallipohjalle ja se laitetaan organisaation internet-sivuille (tietosuojasivusto), toimitetaan kirjaamoon sekä huolehditaan että seloste löytyy mahdolliseen palveluun kirjauduttaessa. 3.2 Oikeus saada pääsy tietoihin (15 artikla) Rekisteröidyllä on tietosuoja-asetuksen nojalla oikeus saada pääsy omiin henkilötietoihinsa pääsääntöisesti maksutta. Rekisteröidyn pyynnölle ei ole säännelty määrämuotoa, mutta jos rekisteröity esittää häntä koskevan pyynnön sähköisesti, on rekisterinpitäjän toimitettava tiedot yleisesti käytetyssä sähköisessä muodossa. Rekisteröidyn pyyntöön on vastattava pääsääntöisesti 1 kk:n kuluessa, mutta mikäli pyyntö on ollut monimutkainen tai pyyntöjä on ollut suuri määrä, voidaan vastausaikaa pidentää enintään kahdella kuukaudella. Lähtökohta on, että rekisteröity voi itse tarkistaa hänestä väestötietojärjestelmään tallennetut tiedot Tarkasta tietosi!-palvelussa tai Suomi.fi-omien tietojen tarkastuksen kautta. Ne tiedot, joita rekisteröity ei saa sähköisten palveluiden kautta, hän saa pyytämällä tietoja henkilökohtaisesti maistraatista. Rekisteröidyllä on oikeus saada tietää, mitä tietoja hänestä on rekisteriin tallennettu; käsitelläänkö häntä koskevia tietoja ja jos käsitellään, mitä tietoja. Lokitietoja sisältävät rekisterit eivät automaattisesti ole henkilön tarkastusoikeuden piirissä, sillä näiden tietojen kohteena on kyselyn tekijä, ei se henkilö, jonka tieto on ollut kyselyn kohteena. Organisaatio saattaa palvelukohtaisesti kuitenkin luovuttaa näitä tietoja (esim. Suomi.fi). Kun rekisteröidyn kysely kohdistuu lokitietoihin, noudatetaan organisaation erillisiä ohjeistuksia lokiselvitysprosessista. Vastauksen yhteydessä rekisteröidylle on annettava tieto myös: käsittelyn tarkoituksesta kyseessä olevista henkilöryhmistä jos henkilötietoja luovutetaan, tiedon vastaanottajat tai vastaanottajaryhmät henkilötietojen suunniteltu säilytysaika oikeus pyytää rekisterinpitäjältä tietojensa oikaisemista (taikka poistamista tai rajoittamista, näitä ei sovelleta kuitenkaan organisaation lakisääteisiin henkilörekistereihin) oikeus tehdä valitus valvontaviranomaiselle mikäli henkilötietoa ei ole kerätty rekisteröidyltä, tietojen alkuperästä tarpeellinen tieto (yleiskuva tietolähteistä riittää) Rekisteröity voi käyttää tarkastusoikeuttaan maksutta vähintään kerran vuodessa. Rekisteröity esittää tarkastuspyynnön rekisterinpitäjän edustajalle, ja tarkastuspyyntöön on vastattava lähtökohtaisesti 1

kk:n kuluessa pyynnöstä. Määräaikaa voidaan pidentää enintään kahdella kuukaudella, mikäli pyyntö on ollut monimutkainen tai niitä on ollut iso määrä. Vastaus annetaan kirjallisena, lähtökohtaisesti sähköisesti ja sen on oltava ymmärrettävästi kirjoitettu. Mikäli rekisteröidyn tarkastusoikeuden käyttämisessä tai siihen vastaamisessa on epäselvyyksiä, käänny mahdollisimman pian tarkastuspyynnön saatuasi tietosuojavastaavan puoleen. 3.3 Oikeus saada tiedot oikaistua (artikla 16) Rekisterinpitäjän tulee ilman aiheetonta viivytystä oikaista rekisteröityä koskevat virheelliset, puutteelliset ja epätarkat tiedot. Rekisteröity esittää oikaisupyynnön rekisterinpitäjän edustajalle, ja pyyntöön on vastattava lähtökohtaisesti viimeistään 1 kk:n kuluessa pyynnöstä. Mikäli rekisteröidyn oikaisuoikeuden käyttämisessä tai siihen vastaamisessa on epäselvyyksiä, käänny mahdollisimman pian oikaisupyynnön saatuasi tietosuojavastaavan puoleen. Tiedon korjaamisesta tulee ilmoittaa myös niille tahoille, joille rekisterinpitäjä on luovuttanut tiedon tai jolta rekisterinpitäjä on saanut henkilötiedon. Huom! Se maistraatti, jonka toimialueen tiedoista on kysymys, päättää yksittäistä henkilöä koskevan tiedon korjaamisesta väestötietojärjestelmään. Rekisteröidyn tiedusteluihin ja tietopyyntöihin tulee vastata määräaikojen kuluessa ja vastauksen tulee sisältää tietyt asetuksessa määrätyt asiat, mukaan lukien valitusosoitus. 3.4 Oikeus käsittelyn rajoittamiseen (artikla 18) Tietyissä tilanteissa rekisteröity voi vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä. Jos rekisteröity vetoaa tähän oikeuteensa, kaikenlainen käsittely on kiellettyä ilman rekisteröidyn suostumusta. Rekisteröity voi vedota tähän oikeuteensa esimerkiksi tilanteissa, jossa rekisteröity esittää henkilötietojensa oikaisua koskevan pyynnön ja tällä pyynnöllä kiistää henkilötietojensa paikkaansapitävyyden. Ilman suostumusta rekisterinpitäjä saa kuitenkin käsitellä rajoituksen kohteena olevia henkilötietoja, jos se on välttämätöntä esimerkiksi oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Organisaation näkemyksen mukaan ns. perusrekistereissä tämän oikeuden mahdollistaminen johtaisi ennalta-arvaamattomiin ja tarkoituksettomasti yleistä ja yksityistä etua haittaaviin tilanteisiin. Tämän vuoksi VTJ:n, varmennepalveluiden ja suomi.fi:n osalta on päädytty esittämään, että erityislainsäädännössä säädettäisiin asetuksen mahdollistama poikkeus siitä, että kyseiseen oikeuteen ei voida vedota siltä osin kuin henkilötietoja käsitellään em. rekistereissä. Muissa henkilörekistereissä tulee varautua siihen, että käsittely voidaan tehokkaasti estää ja tieto käsittelyn rajoittamista voidaan välittää myös mahdollisille yhteisrekisterinpitäjille tai käsittelijöille.

3.5 Oikeus siirtää tiedot järjestelmästä toiseen (artikla 20) Asetuksen mukaan rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa ja toimittaa ne toiselle rekisterinpitäjälle. Siirto-oikeuteen kuuluu myös tietojen siirtäminen suoraan rekisterinpitäjältä toiselle jos se on teknisesti mahdollista. Oikeus edellyttää, että käsittely perustuu suostumukseen tai sopimukseen ja käsittely tehdään automatisoidusti. Siirto-oikeutta sovelletaan myös julkisella sektorilla niihin rekistereihin, jotka on kerätty vapaaehtoisten tehtävien hoitamiseen. Organisaation rekistereitä pidetään lähtökohtaisesti lakisääteisen tehtävän hoitamiseksi, joten siirto-oikeutta ei tällöin ole. Kuitenkin toiminnoittain/palveluittain tulee tunnistaa jokaisen rekisterin osalta henkilötietojen käsittelyperuste, jotta oikeus voidaan tarvittaessa toteuttaa. 3.6 Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia (artiklat 21 ja 22) Profilointi on asetuksen mukaan henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia. Profilointia on erityisesti tällainen käsittely, jolla analysoidaan ja ennakoidaan piirteitä, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin ja liikkeisiin. Profilointi ei lähtökohtaisesti ole asetuksen nojalla kiellettyä, mutta rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä. Tämä oikeus ei koske sellaista julkisen sektorin käsittelyä, joka tapahtuu lain perusteella. Suoramarkkinoinnin ja suoramarkkinointitarkoituksissa tehtävän profiloinnin rekisteröity voi absoluuttisesti kieltää. Suoramarkkinoinnin kielto tulee tallentua tietojärjestelmään ja se tulee myös pystyä välittämään järjestelmässä vastaanottaville tahoille. Rekisteröidyllä on toisaalta oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan päätöksen kohteeksi, kun 1) päätös on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella ja 2) päätöksestä aiheutuu hänelle oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla. Tällainen päätös voi sisältää myös profilointia. Rekisteröidyn oikeudesta olla joutumatta automaattisen päätöksenteon kohteeksi voidaan kuitenkin poiketa tämän suostumuksella, jos päätös on välttämätön sopimuksen tekemistä tai täytäntöönpanoa varten tai, jos päätös perustuu lainsäädäntöön. Asetus määrää joka tapauksessa joitakin edellytyksiä ja rajoituksia automaattiselle päätöksenteolle. Rekisteröidyllä ei ole asetuksen nojalla oikeutta pyytää siirtämään tietojaan organisaation rekistereistä toisiin järjestelmiin. Suoramarkkinointikielto pitää pystyä välittämään tehokkaasti myös käsittelijöille. Organisaatio ei lähtökohtaisesti tee henkilörekisteriensä perusteella profilointia tai automaattista päätöksentekoa.

II 1 Oikeus saada tieto tietoturvaloukkauksesta Varmista, että olet tietoinen tietoturvaloukkausten varalta tehdystä ohjeistuksesta (Tietosuoja-ja tietoturvapoikkeamien hallinta) ja tunnet oman roolisi tässä prosessissa. Tietoturvaloukkaukset on tietyissä tapauksissa pystyttävä ilmoittamaan 72 tunnin sisällä sen havaitsemisesta valvontaviranomaiselle. Tietoturvapäällikkö ja tietosuojavastaava on pidettävä prosessissa mukana. Varmista, että sopimukset sisältävät menettelyohjeet siltä varalta, että tietoturvaloukkaus tapahtuu sopimuskumppanin toiminnassa. Toiminnoittain/palveluittain/rekisterikohtaisesti on tunnistettu ja kirjattu ylös vastuuroolit poikkeamanhallinnassa. Sopimuksissa on huomioitu poikkeamienhallintaprosessi ja vastuut. 2 Tietosuojaseloste Jokainen henkilötietoja sisältävä toiminta/menettely/rekisteri/tietojärjestelmä on oltava kuvattuna ja tiedot on löydyttävä tietosuojaselosteesta. Tietosuojaseloste tehdään organisaation mallipohjalle. Selostetta ei tehdä esim. rekisterikohtaisesti, vaan samaan käyttötarkoitukseen liittyvät rekisterit kuvataan samassa selosteessa (esim. viestinnän palvelut ja sidosryhmärekisteri, HR-rekisterit). Varmista, että rekisteriseloste on laadittu sähköisessä muodossa. Selosteen tulee olla tiivis ja ymmärrettävästi laadittu sekä helposti löydettävissä. Selosteen tulee löytyä palvelun internet-sivuilta (jos rekisteri sisältyy johonkin palveluun/tietojärjestelmään), sekä organisaation julkisilta internet-sivuilta niille myöhemmin osoitettavassa paikassa. Henkilöstöä koskevien selosteiden tulee löytyä sisäisiltä internet-sivuilta. Lisäksi selosteet tulee toimittaa organisaation kirjaamoon. Olen laatinut tietosuojaselosteen, joka pitää sisällään edellä mainitut elementit/päivittänyt vanhat selosteet uuden mallin mukaisiksi. Täytetty seloste on katselmoitu tietosuojavastaavan toimesta. Seloste on käännetty ruotsiksi ja tarpeen mukaan englanniksi. Seloste on toimitettu järjestelmän ylläpitäjälle (järjestelmään), kirjaamoon sekä tarvittaville internetsivuille. Huolehdin siitä, että seloste katselmoidaan ja päivitetään tarvittaessa vuosittain kesäkuun loppuun mennessä (palvelun vuosikello!). Ilmoitus tästä tehdään tietosuojavastaavalle. Jos käsittelyyn liittyy asiakasrajapinnan tai kansalaisen sovellus, olen varmistunut, että seloste ja rekisteröidyn oikeudet ovat nähtävissä, kun henkilö kirjautuu palveluun sisään. 3 Rekisteröidyn oikeus saada pääsy tietoihin Olen varmistanut, että toiminnoittain/palveluittain on määritelty prosessi rekisteröidyn tietojen pyynnölle. Kun rekisteröity lähestyy rekisterinpitäjää, 1 kk:n reagointiaika alkaa kulumaan.

Omien tietojen tarkastustoiminnallisuudesta tulee kertoa rekisteröidylle. Tämä voidaan toteuttaa tietosuojainformaation kautta, ks. edellinen kohta rekisteriseloste. Selvitän, mitä tietoja järjestelmästä/rekisteristä voidaan luovuttaa tai ei voida luovuttaa, mukaan lukien lokitiedot. Tämä tieto on dokumentoitu. Huomaa, että lokitietojen status vaihtelee sen mukaan, mitä lokitietoa se on. Varmistan, että edellä esitetyt tiedot, jotka rekisteröidylle tulee antaa, on helposti saatavilla järjestelmästä ja lähetettävissä rekisteröidylle sähköisessä muodossa. Olen varmistanut tietoa pyytävän henkilön henkilöllisyyden hallintolain mukaisesti. Vastaus annetaan rekisteröidylle täydellisenä, mukaan lukien edellä mainitut tiedot. Mikäli vastaus on kielteinen, rekisteröidylle annetaan valitusosoitus. 4 Oikeus tietojen oikaisemiseen Olen varmistanut, että prosessi, jolla rekisteröidyn pyyntöihin vastataan, on selvillä ja kaikkien tiedossa. Olen varmistanut oikaisua pyytävän henkilön henkilöllisyyden hallintolain mukaisesti. Olen varmistanut, että tiedot pystytään oikaisemaan järjestelmässä. Olen varmistanut, että tietojärjestelmän lokittaa tietojen oikaisutapahtuman. Olen varmistanut, tuleeko tietojen oikaisemisesta informoida vastaanottajatahoa ja toimin tämän mukaisesti. 5 Oikeus käsittelyn rajoittamiseen Mikäli rekisteröity vetoaa oikeuteensa, on olemassa prosessi, miten rajoittamispyyntö käsitellään organisaatiossa Rajoittamispyyntö analysoidaan ja mahdollisesti toteutetaan olemassa olevan prosessin mukaisesti, mikäli artiklassa olevia vastasyitä ei ole käsillä Prosessissa tunnistetaan, liittyykö käsittelyyn muita tahoja, joita tulee infota rajoittamispyynnöstä Rajoittamisen piirissä olevat tiedot tulee rajata niin, ettei niitä tosiasiallisesti pysty käsittelemään o Ellei käsittelyä varten saada rekisteröidyltä suostumusta tai käsillä ole joku artiklassa mainittu oikeuttamisperuste o Säilyttää saa, käsitellä ei: myöskään katselun ei pidä olla mahdollista Käsittelyn rajoittamista koskeva tieto voidaan tehokkaasti välittää järjestelmässä 6 Oikeus saada tiedot siirrettyä toiseen järjestelmään Olen tunnistanut rekisterissä olevien tietojen käsittelyperusteen Tietojen käsittely perustuu lakiin, jolloin oikeutta ei tarvitse toteuttaa Mikäli tietojen käsittely on organisaatiossavapaaehtoista, tulee seuraavat ehdot täyttyä, jotta siirtoon on oikeus: käsittely perustuu suostumukseen tiedot on saatu rekisteröidyltä itseltään 7 Oikeus vastustaa käsittelyä ja profilointia Mikäli henkilötietoja luovutetaan suoramarkkinointitarkoitukseen, on rekisteröidyllä oikeus kieltää tämä. Kielto tallennetaan järjestelmässä ja pystytään myös tehokkaasti välittämään järjestelmässä.

Mahdollisen profiloinnin tekeminen on tutkittu ja se on perusteltu. Käyttötapaukset on keskusteltu lakimiehen kanssa ja tästä on tehty tarvittava dokumentaatio. TAI (yleisempi): Henkilörekisterin perusteella ei suoriteta profilointia Mahdollinen automaattinen päätöksenteko on tutkittu ja se on perusteltu. Käyttötapaukset on keskusteltu lakimiehen kanssa ja tästä on tehty tarvittava dokumentaatio. TAI (yleisempi): Henkilörekisterin perusteella ei tehdä automaattista päätöksentekoa

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute