Tietosuoja ja yksityisyys verkossa

EU:n tietosuojasäännöillä taataan henkilötietojesi suojaaminen, kun tietojasi kerätään esimerkiksi tehdessäsi verkko-ostoksia, hakiessasi työpaikkaa tai lainaa pankista. Säännöt koskevat yrityksiä ja organisaatioita EU:ssa – julkisia ja yksityisiä – mutta myös EU:n ulkopuolella sijaitsevien ja EU:ssa tavaroita tai palveluja tarjoavien yritysten ja organisaatioiden, kuten Facebookin tai Amazonin, on noudatettava niitä silloin, kun ne pyytävät tai käsittelevät EU-kansalaisten henkilötietoja.

Tietojen muodolla ei ole merkitystä. Riippumatta siitä, ovatko ne sähköisessä muodossa verkossa tai paperilomakkeella, tietosuoja-oikeuksia on aina kunnioitettava tallennettaessa tai käsiteltäessä tietoja, jotka suoraan tai epäsuorasti ilmaisevat yksityishenkilön henkilöllisyyden.

Milloin tietojen käsittely on sallittu?

EU:n yleisessä tietosuoja-asetuksessa kuvataan erilaisia tilanteita, joissa yritys tai organisaatio saa kerätä tai uudelleenkäyttää henkilötietojasi:

  • sillä on kanssasi sopimus – esimerkiksi sopimus tavaroiden tai palvelujen ostamisesta verkossa tai työsopimus
  • sillä on lakisääteinen velvoite – laki voi vaatia tietojesi käsittelyä esimerkiksi, kun työnantajasi antaa palkkatietojasi verottajalle
  • tietojen käsittely on itsellesi erityisen tärkeää – esimerkiksi kun se voi liittyä henkesi pelastamiseen
  • julkisen palvelun hoitaminen – esimerkiksi koululaitoksen, sairaaloiden, kuntien ja muiden julkishallintojen tehtävissä
  • muu legitiimi syy – esimerkiksi jos pankki käyttää henkilötietojasi tarkistaakseen, voitko avata siellä tilin.

Kaikissa muissa tilanteissa yrityksen tai organisaation on pyydettävä sinulta suostumus henkilötietojesi keräämiseen tai käyttöön.

Suostumuksen antaminen

Kun yritys tai organisaatio pyytää lupaa tietojen keräämiseen, sinun on ilmaistava suostumuksesi selkeästi, esimerkiksi allekirjoittamalla lupalomake tai vastaamalla "kyllä" verkkosivulla olevaan selkeään kyllä/ei-kysymykseen.

Siinä missä esimerkiksi mainosviestien lähettämisen voi kieltää yksinkertaisesti panemalla rastin vastaavaan valintaruutuun, henkilötietojen tallennukseen ja/tai uudelleenkäyttöön on annettava nimenomainen suostumus.

Sinulle olisi myös annettava seuraavat tiedot ennen suostumuksen antamista:

  • tiedot henkilötietojasi käsittelevästä yrityksestä/organisaatiosta yhteystietoineen, mukaan lukien mahdollisen tietosuojavastaavan yhteystiedot
  • syy, miksi yritys/organisaatio käyttää henkilötietojasi
  • miten pitkään yritys/organisaatio aikoo säilyttää henkilötietojasi
  • tiedot muista yrityksistä/organisaatioista, jotka saavat henkilötietosi
  • tiedot tietosuojaoikeuksistasi (pääsy tietoihin, niiden oikaiseminen ja poistaminen, valituksen teko, suostumuksen peruminen)

Kaikki nämä tiedot on annettava selkeässä ja ymmärrettävässä muodossa.

Henkilötietojen käyttöluvan peruminen ja oikeus vastustaa

Jos olet antanut yritykselle tai organisaatiolle suostumuksen henkilötietojesi käyttöön, voit milloin tahansa perua sen ottamalla yhteyttä rekisterinpitäjään (henkilötietojasi hallinnoivaan henkilöön tai elimeen). Suostumuksen perumisen jälkeen yritys tai organisaatio ei voi enää käyttää henkilötietojasi.

Jos yritys tai organisaatio käsittelee henkilötietojasi oman legitiimin syynsä vuoksi, yleisen edun nimissä tai viranomaiskäyttöä varten, sinulla voi olla oikeus vastustaa tätä. Joissakin erityistapauksissa yleinen etu voi ohittaa tämän oikeuden, ja yritys tai organisaatio voi jatkaa henkilötietojesi käsittelyä. Tämä voi koskea tietojen käsittelyä esimerkiksi tilasto- tai tutkimustarkoituksia varten tai osana viranomaisen suorittamaa virallista tehtävää.

Tuotemerkkien tai tuotteiden suoramarkkinointi sähköpostitse edellyttää etukäteissuostumustasi. Jos kuitenkin olet jo jonkin yrityksen asiakas, se voi lähettää sinulle sähköpostitse suoramarkkinointiviestejä omista vastaavista tuotteistaan tai palveluistaan. Voit milloin tahansa vastustaa tällaista suoramarkkinointia, jolloin yrityksen on välittömästi lopetettava tietojesi käyttö.

Sinun on joka tapauksessa aina saatava tieto oikeudestasi vastustaa henkilötietojesi käyttöä ensimmäisellä kerralla, kun yritys tai organisaatio ottaa sinuun yhteyttä.

Esimerkkitapaus

Voit vastustaa tietojesi käyttöä suoramarkkinoinnissa

Anatolios osti verkosta kaksi lippua suosikkiyhtyeensä konserttiin. Lippujen ostamisen jälkeen hän alkoi saada sähköpostiviestejä konserteista ja tapahtumista, joista hän ei ollut kiinnostunut. Hän otti yhteyttä liput myyneeseen verkkokauppaan ja pyysi sitä lopettamaan mainosviestien lähettämisen. Yritys poisti hänet välittömästi suoramarkkinointilistaltaan.

Lapsia koskevat erityissäännöt

Jos lapset haluavat käyttää verkkopalveluja, kuten sosiaalista mediaa, musiikin lataamista tai pelejä, he tarvitsevat siihen vanhemman tai huoltajan suostumuksen, koska tällöin palveluissa käytetään lasten henkilötietoja. Lapsi lakkaa tarvitsemasta vanhemman suostumusta täytettyään 16 vuotta (joissakin EU-maissa jopa 13 vuotta). Vanhemman suostumuksen saaminen on voitava tarkistaa aukottomasti, esimerkiksi vanhemman sähköpostiosoitteeseen lähetettävällä varmistusviestillä.

Pääsy omiin henkilötietoihin

Voit pyytää yritykseltä tai organisaatiolta pääsyä tietoihin, joita sillä on sinusta, ja sinulla on oikeus saada kopio niistä ilmaiseksi ja käyttökelpoisessa muodossa. Yrityksen tai organisaation on vastattava sinulle kuukauden kuluessa ja toimitettava sinulle kopio henkilötiedoistasi sekä tiedot siitä, miten niitä on käytetty tai käytetään.

Esimerkkitapaus

Sinulla on oikeus tietää, mitä tietoja sinusta on tallennettu ja miten niitä käytetään

Maciej Puolasta liittyi äskettäin paikallisen valintamyymälänsä kanta-asiakasohjelmaan. Pian liittymisensä jälkeen hän alkoi saada kohdennettuja alennuskuponkeja. Hän tiedusteli valintamyymälän tietosuojavastaavalta, liittyikö tämä kanta-asiakasohjelmaan, mitä henkilötietoja hänestä on tallennettu ja miten niitä käytetään. Maciej sai tietää, että valintamyymälä tallensi tiedot hänen viikoittain ostamistaan tuotteista ja pystyi siten tarjoamaan hänelle alennusta hänen suosimistaan tuotteista.

Henkilötietojen oikaiseminen

Jos yritys tai organisaatio on tallentanut sinusta henkilötietoja, jotka ovat virheellisiä tai puutteellisia, voit pyytää sitä oikaisemaan tai täydentämään tietojasi.

Esimerkkitapaus

Sinulla on oikeus oikaista itseäsi koskevat virheelliset tiedot

Alison halusi ostaa talon Irlannissa ja haki pankilta siihen asuntolainaa. Hakulomaketta täyttäessään hän antoi vahingossa virheellisen syntymäajan, jonka pankki tallensi järjestelmäänsä.

Alison huomasi virheen saadessaan tarjoukset asuntolainasta ja siihen liittyvästä henkivakuutuksesta, koska tarjottu vakuutusmaksu oli paljon korkeampi kuin hänen nykyinen vakuutusmaksunsa. Hän otti yhteyttä pankkiin ja pyysi sitä korjaamaan virheellisen henkilötiedon. Pankki korjasi tiedon ja lähetti Alisonille uuden version vakuutustarjouksesta.

Henkilötietojen siirtäminen

Voit joissakin tapauksissa pyytää yritykseltä tai organisaatiolta tietojesi palauttamista sinulle tai niiden siirtämistä suoraan toiselle yritykselle, jos se on teknisesti mahdollista. Voit käyttää tätä oikeutta esimerkiksi, kun päätät siirtyä yhdeltä palveluntarjoajalta toiselle – esimerkiksi sosiaalisessa mediassa – ja haluaisit saada henkilötietosi helposti ja nopeasti uuteen palveluun.

Henkilötietojen poistaminen (oikeus tulla unohdetuksi)

Jos henkilötietojasi ei enää tarvita tai jos niitä käytetään laittomasti, voit pyytää niiden poistamista. Tätä kutsutaan oikeudeksi tulla unohdetuksi.

Nämä säännöt koskevat myös hakukoneita, kuten Googlea, sillä myös niitä pidetään rekisterinpitäjinä. Voit pyytää niitä poistamaan hakutulosten joukosta linkit sivuille, joilla nimesi esiintyy, jos tiedot ovat virheellisiä, epäasianmukaisia, epäolennaisia tai liiallisia.

Jos yritys on asettanut henkilötietosi saataville verkkoon ja pyydät sitä poistamaan ne, yrityksen on myös ilmoitettava muille verkkosivustoille, joille tietosi on jaettu, että olet pyytänyt tietojesi ja niihin johtavien linkkien poistamista.

Jos kyseessä on sananvapauden tai muiden oikeuksien suojeleminen, joitakin tietoja ei välttämättä poisteta automaattisesti. Esimerkiksi julkisuuden henkilöiden antamia kiistanalaisia lausuntoja ei poisteta, jos niiden säilyttäminen verkossa palvelee paremmin yleistä etua.

Esimerkkitapaus

Voit pyytää henkilötietojesi poistamista muilta verkkosivustoilta

Alfredo päätti luopua sosiaalisesta mediasta, joten hän poisti profiilinsa kaikilta käyttämiltään sosiaalisen median sivustoilta. Vähän myöhemmin hän kuitenkin löysi sosiaalisen median tiliensä profiilikuvia, kun hän haki omaa nimeään internetin hakukoneella. Alfredo otti yhteyttä sosiaalisen median yrityksiin ja pyysi niitä varmistamaan kuvien poistamisen. Kun hän kuukausi myöhemmin teki haun uudelleen, kuvat oli poistettu eivätkä ne enää näkyneet hakutuloksissa.

Luvaton pääsy tietoihin (henkilötietojen tietoturvaloukkaus)

Jos henkilötietosi varastetaan, ne häviävät tai niihin on päästy luvattomasti – mitä kutsutaan henkilötietojen tietoturvaloukkaukseksi – rekisterinpitäjän (henkilötietojasi hallinnoivan henkilön tai elimen) on ilmoitettava siitä kansalliselle tietosuojaviranomaiselle. Rekisterinpitäjän on myös ilmoitettava sinulle suoraan, jos tietoturvaloukkauksesta aiheutuu henkilötietoihisi tai yksityisyyden suojaasi liittyviä vakavia riskejä.

Valituksen tekeminen

Jos katsot, että tietosuojaoikeuksiasi ei kunnioiteta, voit tehdä siitä valituksen suoraan kansalliselle tietosuojaviranomaiselle. Se tutkii valituksesi ja vastaa sinulle 3 kuukauden kuluessa.

Halutessasi voit myös haastaa yrityksen tai organisaation suoraan oikeuteen.

Jos yritys tai organisaatio on laiminlyönyt EU:n tietosuojasääntöjä tavalla, josta on aiheutunut sinulle aineellista vahinkoa, kuten taloudellisia menetyksiä, tai aineetonta vahinkoa, kuten ahdistusta, sinulla voi olla oikeus saada korvausta.

Evästeet

Evästeet ovat pieniä tekstitiedostoja, joita selain tallentaa tietokoneelle tai mobiililaitteelle verkkosivuston pyynnöstä. Evästeillä tallennetaan tietoa käyttäjien käyttötottumuksista, ja niitä käytetäänkin yleisesti tehostamaan verkkosivustojen toimintaa. Niillä myös seurataan käyttäjän internetin käyttöä, tallennetaan käyttäjäprofiileja ja kohdennetaan mainontaa käyttötottumusten perusteella.

Jos verkkosivusto haluaa käyttää evästeitä, sen on pyydettävä käyttäjältä suostumus niiden tallentamiseen tietokoneelle tai mobiililaitteelle. Ei riitä, että verkkosivusto pelkästään ilmoittaa käyttävänsä evästeitä tai selittää, miten ne saa pois käytöstä.

Verkkosivustoilla on selitettävä, miten evästeiden tietoja käytetään. Käyttäjän on myös voitava peruuttaa suostumuksensa. Tällaisessa tapauksessa verkkosivuston on kuitenkin tarjottava käyttäjälle jonkinlainen vähimmäispalvelu (esim. mahdollisuus käyttää edes osaa verkkosivustosta).

Kaikki evästeet eivät edellytä suostumusta. Evästeet, joiden ainoa tarkoitus on viestinnän välittäminen, eivät edellytä suostumusta. Näitä ovat esimerkiksi evästeet, jotka mahdollistavat ns. kuormantasauksen (palvelinpyyntöjen käsittelyn jakamisen usealle koneelle yhden sijasta). Myöskään evästeet, jotka ovat välttämättömiä henkilön nimenomaisesti pyytämän verkkopalvelun tarjoamiseksi, eivät edellytä suostumusta. Näitä ovat esimerkiksi evästeet, joita käytetään käyttäjän täyttäessä verkkolomaketta tai lisätessä ostoksia ostoskoriin verkkokaupassa.

Katso myös

Euroopan tietosuojaneuvosto

Usein kysyttyä

EU-lainsäädäntö

Tarvitsetko apua?

Asiantuntijamme ovat käytettävissäsi

Tarkistettu viimeksi: 20/11/2023
Jaa tämä sivu