(päivitetty 25.1.2021)
1. Rekisterinpitäjä
Sumetku Oy
Keskuskatu 16
89600 SUOMUSSALMI
2. Rekisteriä hoitava henkilö
Sanna Tiensuu-Piirainen c/o Sumetku Oy
045 7750 2012
sanna.tiensuu-piirainen@metsatkuntoon.fi
3. Rekisterin sijainti ja turvallisuus
Henkilötietoja kerätään metsäpalveluasiakkaista sekä kiinteistönvälityksen asiakkaista. Henkilötietoja kerätään
metsäpalveluasiakkaista erillisen palveluntarjoajan Pipedrive –palveluun, joka on Pipedrive Inc:n ylläpitämä
asiakastietojärjestelmä. Lisäksi henkilötietoja kerätään erityiseen sähköpostiohjelmaan Mailchimp, joka on integroitu
Pipedrive –palvelun kanssa. Mailchimp-sähköpostiohjelmaa ylläpitää The Rocket Science Group. Henkilötietoja kerätään
myös Foresta –sovellukseen, joka on Bitcomp Oy:n ylläpitämä metsätietojärjestelmä sekä Piimega Oy:n Forestproohjelmistoon. Henkilötietoja kerätään myös erillisiin Excel-pohjaisiin taulukoihin Onedrive-järjestelmään. Lisäksi käytössä
on Piimega Oy:n järjestelmä puukauppaa varten sekä Tarjouslaskuri-portaali, jonka ylläpitäjä on Sumetku Oy.
Kiinteistönvälitystoiminnassa henkilötietoja kerätään KIVI-järjestelmään, joka on Alma Media Oyj:n ylläpitämä.
Järjestelmät on suojattu palomuurein ja rekisterien käyttö on suojattu käyttäjäkohtaisin tunnuksin, salasanoin ja
käyttöoikeuksin. Lisäksi henkilötietoja kerätään välitysliikkeen ylläpitämään paperiseen viralliseen välitystoimeksianto
arkistoon, joka sijaitsee Sumetku Oy:n lukitussa toimitilassa.
4. Henkilötietojen käsittelyn oikeusperusta ja tarkoitukset
Asiakasrekisterissä olevia tietoja voidaan käyttää seuraaviin pääasiallisiin tarkoituksiin: asiakassuhteen hoitaminen ja
kehittäminen, palveluiden tuottaminen, tarjoaminen, kehittäminen, parantaminen ja suojaaminen, laskutus, perintä ja
asiakastapahtumien varmentaminen, mainonnan kohdentaminen, palveluita koskeva analysointi ja tilastointi,
asiakasviestintä, markkinointi ja mainonta, palveluihin liittyvien rekisterinpitäjän ja muiden toimeksiantoihin liittyvien
henkilöiden ja tahojen oikeuksien ja/tai omaisuuden suojaaminen ja turvaaminen, rekisterinpitäjän lakisääteisten
velvoitteiden hoitaminen, sekä muut vastaavat käyttötarkoitukset.
Henkilötietojen käsittely voi perustua myös rekisteröidyn antamaan suostumukseen yhtä tai useampaa erityistä
henkilötietojen käsittelytarkoitusta varten.
Henkilötietoja voidaan käyttää myös lakiin perustuvien velvoitteiden noudattamiseksi ja täyttämiseksi. Henkilötietoja
voidaan käyttää myös suoramarkkinointiin ja markkinatutkimuksiin. Suoramarkkinointiin ja markkinatutkimuksiin
henkilötietoja käytetään siinä tapauksessa, että henkilö, jonka henkilötiedot on kerätty rekisteröitäväksi, on antanut tähän
nimenomaisen suostumuksensa. Sellaisia henkilötietoja, jotka on saatu Metsäkeskukselta Lain Suomen metsäkeskuksen
metsätietojärjestelmästä (12.1.2018/66) mukaisesti, voidaan käyttää metsätalouteen liittyvää suoramarkkinointia varten,
ellei maanomistaja ole sitä kieltänyt.
Rekisterissä voidaan käsitellä seuraavia tietotyyppejä:
- Etu- ja sukunimi
- Yhteystiedot (postiosoitteet, puhelinnumerot, sähköpostiosoitteet)
- Henkilötunnus
- Kansalaisuus
- Kieli
- Yhteisöä edustettaessa rekisteröidyn työnantajaa sekä asemaa, tai tehtävää yhteisössä koskevat tiedot
- Rekisteröidyn kiinteistönvälitysliikkeelle antamaan toimeksiantoon ja sen hoitamiseen liittyvät tiedot, kuten
toimeksiannon vastaanottopäivä sekä voimassaoloaika - Toimeksiantosopimuksen sisältö ja ehdot
- Välitettävää kohdetta koskevat tiedot
- Toimeksiannon antamisen yhteydessä annettavat muut tiedot, jotka ovat tarpeen toimeksiannon täyttämiseksi, kuten tieto siitä, kuinka kauan kohdetta on käytetty vakituisena asuntona ja onko kohdetta käytetty yhteisenä kotina rekisteröidyn aviopuolison tai rekisteröidyn parisuhteen osapuolen kanssa sekä mahdollista avioliiton tai rekisteröidyn parisuhteen purkautumisesta ja ositusta tai omaisuuden erottelua koskevat tiedot
- Toimeksiannon hoitamista koskevat tiedot
- Toimeksiannon mukaista kauppaa tai muuta sopimusta koskevat tiedot, kuten sopijapuolten
nimet, sopimuksen kohde, kauppahinta, välityspalkkio ja muut sopimuksen ehdot - Muut asiakkuuteen ja muuhun asialliseen yhteyteen liittyvät tiedot
- Reklamaatiot, palautteet sekä muu asiakkuuteen ja asialliseen yhteyteen liittyvä yhteydenpito
- Rekisteröityyn kohdistetut markkinointitoimenpiteet, niiden käyttö ja niiden yhteydessä annetut tiedot, sekä
rekisteröidyn lupa, tai muu suostumus, tai kielto markkinointitoimenpiteille - Suoramarkkinointiluvat ja -kiellot
- Edellä yksilöityjen tietojen muutostiedot
5. Henkilötietoryhmät
Sumetku Oy:n yleisiä henkilötietoryhmiä ovat kiinteistönvälitystoiminnan toimeksiantajat, myyjät ja ostajat, sekä muut
potentiaaliset kiinteistön myyjät ja ostajat. Metsäpalvelutoiminnan henkilötietoryhmiä ovat yksityiset metsänomistajaasiakkaat, yritysasiakkaat, sekä muut yksityiset henkilöt, jotka tilaavat metsäpalvelutuotteen. Sumetku Oy:n toiminnassa ei
käsitellä erityisiä henkilötietoryhmiä, joilla tässä tarkoitetaan henkilötietojen käsittelyä, joista ilmenee rotu tai etninen
alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai
biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen, taikka
luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely.
6. Tietojen luovuttaminen ja siirto
Keräämiämme henkilötietoja luovutamme pelkästään niille toimijoille, jotka liittyvät kauppaprosessiin. Näitä ovat
viranomaisista verottaja, jolle luovutamme asiakkaan puolesta tekemämme varainsiirtoveroilmoituksen yhteydessä ostajien
henkilötiedot. Henkilötietoja luovutetaan myös ostajan pankille kauppakirjan myötä. Kiinteistönkaupoissa henkilötiedot
luovutetaan kaupanvahvistajalle.
Henkilötietoja luovutetaan myös sille asiakkaalle, joka tekee ostotarjouksen lainhuutotodistuksena, joista selviää kiinteistön
omistajien ja sitä kautta rekisteröimämme myyjän henkilötiedot. Metsäpalveluasiakkaiden henkilötietoja luovutamme
ainoastaan henkilökunnallemme ja sopimusyrittäjillemme työtehtävien hoitamiseksi.
Emme luovuta henkilö- tai yritysasiakkaiden henkilö- tai tunnistetietoja, tai muita identifioimistietoja kenellekään muille
yksityis- tai oikeushenkilöille tai viranomaisille, kuin edellisessä kappaleessa luetelluille. Muille viranomaisille
luovutamme henkilö- tai yritystiedot vain siinä tapauksessa, että tähän on oikeuden määräys tai lainsäädännössä muuten
niin määrätään, tai viranomainen on käynnistänyt henkilöstä, tai oikeushenkilöstä esi- tai muun vastaavan tutkinnan ja
henkilö- tai yritystiedot määrätään asiaa hoitavan viranomaisen puolesta luovuttamaan.
Tuntemistietoja ja muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen
ja selvittämiseen sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen tutkintaan saattamista varten, jolla
rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu.
Tietoja ei siirretä Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, ellei se ole edellä
henkilötietojen käsittelyn tarkoituksien kannalta tai tietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista, jolloin
tietojen siirrossa noudatetaan tietosuojalain vaatimuksia.
7. Henkilötietojen säilytysajat
Sumetku Oy kiinteistönvälitysliikkeenä säilyttää rekisteröityjen henkilötiedot laissa säädettyjen määräaikojen verran. Tämän jälkeen henkilötiedot poistetaan järjestelmistä sekä Sumetku Oy:n paperisesta toimeksiantoarkistosta. Lain kiinteistönvälitysliikkeistä ja vuokrahuoneiston välitysliikkeistä mukaan toimeksiantopäiväkirja, toimeksiantosopimukset liitteineen, tarjousasiakirjat, esitteet ja muut toimeksiantoon liittyvät asiakirjat on säilytettävä viisi vuotta toimeksiannon päättymisestä. Suostumuksella kerätyt ja rekisteröidyt henkilötiedot poistetaan heti, kun asiakas sitä vaatii, tai kun suostumuksella kerätyn henkilötiedon käyttötarkoitus ei ole enää voimassa.
Metsäkeskukselta Lain Suomen metsäkeskuksen metsätietojärjestelmästä (12.1.2018/66) mukaisesti saadut maanomistajatiedot poistetaan rekisteristämme 1 vuoden kuluttua siitä, kun tiedot on saatu haltuun niiden maanomistajien osalta, jotka eivät ole esimerkiksi solmineet kanssamme palvelusopimusta. Tarkastamme asiakasrekisterimme vuosittain ja poistamme niiden maanomistajien tiedot, jotka eivät ole reagoineet suoramarkkinointi kampanjoihimme. Jos metsänomistaja kuitenkin on solminut kanssamme palvelusopimuksen, tai antanut nimenomaisen suostumuksensa säilyttää henkilötietoja rekisterissämme, henkilötiedot poistetaan, kun niitä ei enää tarvita rekisteröidä sopimuksen täytääntöönpanemiseksi, tai suostumus peruutetaan, tai säilyttäminen ei ole enää muutoin tarkoituksenmukaista.
8. Rekisteröidyn oikeudet
8.1 Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä
Rekisterinpitäjän on informoitava henkilötietojen käsittelystä rekisteröityjä siinä vaiheessa, kun tiedot saadaan rekisteröidyltä itseltään. Rekisteröityjä on informoitava myös silloin, kun tiedot saadaan muualta kuin rekisteröidyltä. Tieto käsittelystä on tällöin toimitettava kohtuullisen ajan kuluessa ja viimeistään kuukauden kuluessa henkilötietojen saamisesta.
Jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, tieto käsittelystä on annettava viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran. Jos tietoja on tarkoitus luovuttaa toiselle vastaanottajalle, on tieto käsittelystä annettava viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.
Rekisteröidyille on informoitava rekisterinpitäjän ja hänen edustajan yhteystiedot, henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste, mitä henkilötietoryhmiä yritys kerää ja käsittelee sekä mistä lähteistä tietoja saadaan, tieto siitä, luovutetaanko henkilötietoja, ja jos luovutetaan, tietojen vastaanottajat / vastaanottajien ryhmät. Jos henkilötietoja siirretään
EU:n ulkopuolelle, tieto siitä sekä asetuksen edellyttämä muu selvitys siirroista, henkilötietojen säilytysaika tai jos se ei ole mahdollista, kriteerit ajan määrittämiseksi, rekisteröidyn asetuksen mukaisista oikeuksista (mm. oikeus pyytää itseään koskevien henkilötietojen oikaisemista) sekä oikeudesta peruuttaa annettu suostumus ja tehdä valitus valvontaviranomaiselle, automaattisesta päätöksenteosta, ml. profiloinnin olemassaolosta, sekä siihen liittyvästä logiikasta, sen merkityksestä ja mahdollisista seurauksista rekisteröidyille informoitava, jos rekisterinpitäjä suorittaa henkilötietojen nojalla automaattista päätöksentekoa. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muihin tarkoituksiin kuin
niihin, joihin henkilötiedot kerättiin, rekisterinpitäjän on informoitava rekisteröityä muista tarkoituksista ennen
jatkokäsittelyä.
8.2 Rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on pääsääntöisesti oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on tallennettu. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön tehneen henkilöllisyyttä, rekisterinpitäjä voi kuitenkin pyytää toimittamaan lisätiedot, jotka ovat tarpeen henkilöllisyyden vahvistamiseksi. Rekisterinpitäjä voi myös pyytää rekisteröityä täsmentämään riittävällä tavalla, mitä tietoja tai käsittelytoimia rekisteröidyn pyyntö koskee. Rekisteröidyn pyyntöön on reagoitava yhden kuukauden sisällä. Määräaikaa on mahdollista pidentää kahdella kuukaudella, jos pyynnöt ovat monimutkaisia tai niitä on paljon. Tällöin rekisterinpitäjän on ilmoitettava rekisteröidylle määräajan jatkamisesta
kuukauden kuluessa pyynnön vastaanottamisesta sekä kerrottava viivästymisen syyt.
Pyyntöjen toteuttamisen lähtökohtana on maksuttomuus. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, esimerkiksi, jos niitä esitetään toistuvasti, rekisterinpitäjä voi kuitenkin kieltäytyä suorittamasta pyydettyä toimenpidettä tai periä kohtuullisen maksun ottaen huomioon tietojen toimittamisesta aiheutuvat hallinnolliset kustannukset.
Rekisteröidyllä ei ole oikeutta tarkastaa rahanpesulaissa säädetyn ilmoitus- tai selonottovelvollisuuden täyttämiseksi hankittuja tietoja. Tietosuojavaltuutettu voi kuitenkin asiakkaan pyynnöstä tarkistaa näiden tietojen käsittelyn lainmukaisuuden.
Tietoturvatoimenpiteenä annamme rekisteröidylle hänestä rekisteröidyt tiedot vain toimipaikassamme, jolloin tunnistamme rekisteröidyn.
8.3 Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus pyytää, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.
8.4 Oikeus tietojen poistamiseen
Rekisterinpitäjän on rekisteröidyn niin pyytäessä poistettava rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, tai rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut eikä käsittelyyn ole muuta laillista perustetta, tai rekisteröity vastustaa henkilötietojen käsittelyä eikä käsittelyyn ole olemassa perusteltua syytä, tai rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, tai henkilötietoja on käsitelty lainvastaisesti, tai henkilötiedot on poistettava EU-oikeuteen tai kansalliseen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan
lakisääteisen velvoitteen noudattamiseksi, tai henkilötiedot on kerätty suoraan lapselle tarjottavien tietoyhteiskunnan
palvelujen tarjoamisen yhteydessä.
Vaikka jokin edellä mainittu edellytys täyttyisi, tietoja ei kuitenkaan tarvitse poistaa, jos käsittely on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, tai rekisterinpitäjään sovellettavaan EU- oikeuteen tai kansalliseen lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi, tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten, tai kansanterveyteen liittyvää yleistä etua koskevista syistä asetuksen edellyttämin tavoin, tai yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten asetuksen edellyttämin tavoin, jos tietojen poistaminen todennäköisesti estäisi kyseisen käsittelyn tai vaikeuttaa sitä suuresti, tai oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos rekisterinpitäjän on poistettava tiedot ja rekisterinpitäjä on julkistanut henkilötiedot, rekisterinpitäjän on lisäksi toteutettava kohtuulliset toimenpiteet ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.
8.5 Oikeus käsittelyn rajoittamiseen
Rekisterinpitäjän on rekisteröidyn pyynnöstä rajoitettava henkilötietojen aktiivista käsittelyä, jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä on rajoitettava siksi aikaa, kunnes rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden, tai käsittely on lainvastaista ja rekisteröity vaatii henkilötietojen poistamisen sijaan tietojen käsittelyn rajoittamista, tai rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai rekisteröity on vastustanut henkilötietojen käsittelyä ja sen arviointi, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet on
kesken.
Rekisterinpitäjä saa edelleen säilyttää henkilötietoja, muttei muutoin käsitellä niitä ilman rekisteröidyn suostumusta. Tietoja saa käsitellä myös oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi taikka toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää yleistä etua koskevista syistä. Ennen kuin käsittelyn rajoitus poistetaan, siitä on ilmoitettava rekisteröidylle.
8.6 Oikeus siirtää tiedot järjestelmästä toiseen
Jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittelyä suoritetaan automaattisesti, rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle rekisteröity on alun perin toimittanut tiedot.
Jos rekisteröity käyttää em. oikeuttaan, hänellä on oikeus saada tiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista.
8.7 Vastustamisoikeus
Jos henkilötietojen käsittely perustuu rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseen, yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöön, rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella.
Jos rekisteröity käyttää vastustamisoikeuttaan, henkilötietoja ei enää saa käsitellä, ellei rekisterinpitäjä pysty osoittamaan, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut ja oikeudet, tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Rekisteröidyllä on lisäksi oikeus milloin tahansa vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten, ml. profilointia, jos se liittyy suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, tietoja ei enää saa käsitellä suoramarkkinointitarkoituksia varten. Rekisteröityä on informoitava selkeästi vastustamisoikeudesta viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran.
9. Siirrot EU-alueen ulkopuolelle
Henkilötietojen siirto EU-alueen ulkopuoliseen maahan on sallittua, jos komission on tehnyt päätöksen, jossa todetaan, että kyseinen kolmas maa varmistaa riittävän tietosuojan tason.
Jos komissio ei ole tehnyt em. päätöstä, henkilötietojen siirto EU-alueen ulkopuolelle on sallittua, jos rekisterinpitäjä tai henkilötietojen käsittelijä ovat toteuttaneet asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Asetuksen määrittämiä asianmukaisia suojatoimia ovat esimerkiksi komission hyväksymät vakiolausekkeet (mallisopimuslausekkeet), asetuksen mukaiset yritystä koskevat sitovat säännöt, jotka valvontaviranomainen on vahvistanut, tai vakiolausekkeet, jotka tietosuojaviranomainen on vahvistanut ja jotka komissio on hyväksynyt. Henkilötietojen siirrot EU-alueen ulkopuolelle ovat lisäksi sallittuja asetuksessa määritetyissä poikkeuksellisissa erityistilanteissa, vaikka komissio ei olisi tehnyt päätöstä tietosuojan riittävästä tasosta eikä rekisterinpitäjä tai henkilötietojen käsittelijä olisi toteuttanut em. asianmukaisia suojatoimia.
Erityistilanteita ovat muun muassa, että rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi, tai siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä, tai siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn etujen mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi, tai siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan.
10. Tietoturvatoimenpiteet
Tietoturvaloukkauksen sattuessa Sumetku Oy:n on tehtävä tietoturvaloukkausilmoitus valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun loukkaus on tullut yrityksen tietoon ja kuitenkin viimeistään 72 kuluessa. Tämän määräajan jälkeen tehdyistä ilmoituksista pitää toimittaa valvontaviranomaiselle perusteltu selvitys siitä, miksi ilmoitus on tehty myöhässä. Lisäksi loukkauksesta on ilmoitettava niille henkilöille, joiden osalta tietosuojaa on rikottu.
Ilmoitusta rekisteröidylle ei kuitenkaan tarvitse tehdä, jos rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä tai rekisterinpitäjä on toteuttanut toimenpiteitä, joilla varmistetaan, että korkea riski luonnollisten henkilöiden oikeuksille ei enää toteudu.
Sumetku Oy on laatinut tietoturvatoimenpiteenä yritykselle tietosuojapolitiikan, johon on kirjattu kaikki keskeiset tietosuoja-asetuksen vaatimukset ja velvollisuudet rekisterinpitäjälle, sekä oikeudet rekisteröidylle. Sumetku Oy on kouluttanut henkilöstönsä aiheesta ja päivittää osaamistaan säännöllisesti.
11. Automaattinen päätöksenteko ja profilointi
Tietosuoja-asetus kieltää pääsääntöisesti sellaisten pelkästään automaattiseen henkilötietojen käsittelyyn, kuten esimerkiksi profilointiin, perustuvien päätösten tekemisen, joilla on rekisteröityjä koskevia oikeusvaikutuksia tai jotka vaikuttavat häneen vastaavalla tavalla merkittävästi.
Profiloinnilla tarkoitetaan asetuksessa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilön henkilökohtaisia ominaisuuksia ja erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.
Automatisoitujen yksittäispäätösten tekeminen on kuitenkin sallittua, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, tai perustuu rekisteröidyn nimenomaiseen suostumukseen tai on hyväksytty rekisterinpitäjään sovellettavassa EUoikeudessa tai kansallisessa lainsäädännössä.
Jos automatisoitujen yksittäispäätösten tekeminen perustuu rekisteröidyn nimenomaiseen suostumukseen tai on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.
Automatisoidut päätökset eivät saa perustua erityisiin henkilötietoryhmiin. Tämä kielto ei kuitenkaan koske tilanteita, joissa on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, ja rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn, tai käsittely on asetuksessa edellytetyin tavoin tarpeen tärkeää yleistä etua koskevasta syystä EU-oikeuden tai kansallisen lainsäädännön nojalla.