GDPR - Tietosuoja-asetus

Päivitetty viimeksi: 15.1.2026

Johdanto

Rich Haven Oy noudattaa EU:n yleistä tietosuoja-asetusta (GDPR 2016/679) kaikessa henkilötietojen käsittelyssä. Tämä asiakirja selittää, miten toteutamme GDPR:n mukaisia periaatteita ja miten voit käyttää GDPR:n sinulle myöntämiä oikeuksia.

Sitoudumme suojaamaan yksityisyyttäsi ja käsittelemään henkilötietojasi turvallisesti, läpinäkyvästi ja lainmukaisesti.

GDPR:n mukaiset käsittelyperiaatteet

Noudatamme seuraavia GDPR:n mukaisia henkilötietojen käsittelyperiaatteita:

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

Käsittelemme henkilötietojasi aina lainmukaisesti ja reilusti. Kerromme avoimesti, mitä tietoja keräämme, miksi niitä tarvitaan ja miten niitä käytetään. Tämä GDPR-asiakirja ja tietosuojaselosteemme antavat sinulle kattavan kuvan tietojesi käsittelystä.

Käyttötarkoitussidonnaisuus

Keräämme henkilötietoja ainoastaan tiettyihin, yksiselitteisesti määriteltyihin tarkoituksiin. Emme käsittele tietojasi tavalla, joka on yhteensopimaton näiden alkuperäisten tarkoitusten kanssa.

Tietojen minimointi

Keräämme vain ne henkilötiedot, jotka ovat tarpeellisia ja olennaisia palveluidemme tarjoamiseksi. Emme pyydä tai säilytä tarpeetonta informaatiota.

Täsmällisyys

Pyrimme varmistamaan, että hallinnassamme olevat henkilötiedot ovat ajantasaisia ja oikeita. Tarjoamme sinulle mahdollisuuden tarkistaa ja päivittää tietojasi säännöllisesti.

Säilytyksen rajoittaminen

Säilytämme henkilötietojasi vain niin kauan kuin on tarpeen käsittelyn tarkoituksen täyttämiseksi tai lakisääteisten velvoitteiden noudattamiseksi. Kun tietoja ei enää tarvita, ne poistetaan tai anonymisoidaan turvallisesti.

Eheys ja luottamuksellisuus

Suojaamme henkilötietojasi asianmukaisin teknisin ja organisatorisin toimenpitein. Varmistamme, että tiedot ovat turvassa luvattomalta käsittelyltä, vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

Vastuuvelvollisuus

Olemme vastuussa GDPR-periaatteiden noudattamisesta ja pystymme osoittamaan sen. Dokumentoimme käsittelytoimemme ja arvioimme säännöllisesti toimintamme vaatimustenmukaisuutta.

Oikeutesi GDPR:n mukaan

GDPR myöntää sinulle useita oikeuksia henkilötietojesi suhteen. Alla on yksityiskohtainen kuvaus näistä oikeuksista ja siitä, miten voit käyttää niitä.

Oikeus saada pääsy tietoihin (artikla 15)

Sinulla on oikeus saada vahvistus siitä, käsitelläänkö henkilötietojasi, ja jos käsitellään, oikeus saada pääsy näihin tietoihin. Voit pyytää kopion kaikista henkilötiedoista, joita meillä on sinusta. Ensimmäinen kopio toimitetaan maksutta.

Oikeus tietojen oikaisemiseen (artikla 16)

Jos tietosi ovat virheellisiä tai puutteellisia, voit pyytää niiden korjaamista tai täydentämistä. Korjaamme tiedot viipymättä saatuamme pyyntösi.

Oikeus tietojen poistamiseen – "oikeus tulla unohdetuksi" (artikla 17)

Voit pyytää henkilötietojesi poistamista seuraavissa tilanteissa:

  • Tietoja ei enää tarvita siihen tarkoitukseen, johon ne kerättiin
  • Peruutat suostumuksesi, eikä käsittelyyn ole muuta laillista perustetta
  • Vastustat käsittelyä, eikä käsittelyyn ole perusteltua syytä
  • Tietoja on käsitelty lainvastaisesti
  • Tiedot on poistettava lakisääteisen velvoitteen noudattamiseksi

Huomaathan, että emme voi poistaa tietoja, jos meillä on lakisääteinen velvoite säilyttää niitä, esimerkiksi kirjanpitolain mukaisesti.

Oikeus käsittelyn rajoittamiseen (artikla 18)

Voit pyytää tietojesi käsittelyn rajoittamista seuraavissa tilanteissa:

  • Kiistät henkilötietojen paikkansapitävyyden
  • Käsittely on lainvastaista, mutta et halua tietojen poistamista
  • Tarvitset tietoja oikeudellisten vaateiden laatimiseen, vaikka emme enää tarvitsisi niitä
  • Olet vastustanut käsittelyä ja odotetaan päätöstä siitä, syrjäyttävätkö oikeutetut perusteemme sinun perusteesi

Oikeus siirtää tiedot järjestelmästä toiseen (artikla 20)

Sinulla on oikeus saada antamasi henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Voit myös pyytää siirtämään nämä tiedot suoraan toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista.

Vastustamisoikeus (artikla 21)

Sinulla on oikeus vastustaa henkilötietojesi käsittelyä erityisesti seuraavissa tilanteissa:

  • Suoramarkkinointitarkoituksiin – voit milloin tahansa kieltää tietojesi käytön markkinointiin
  • Oikeutettuun etuun perustuva käsittely – voit vastustaa, jos sinulla on erityiseen tilanteeseesi liittyvä peruste

Oikeus olla joutumatta automatisoidun päätöksenteon kohteeksi (artikla 22)

Sinulla on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on sinua koskevia oikeusvaikutuksia. Emme tee merkittäviä automaattisia päätöksiä asiakkaitamme koskien.

Oikeus peruuttaa suostumus (artikla 7)

Jos henkilötietojen käsittely perustuu suostumukseesi, voit peruuttaa suostumuksen milloin tahansa. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tapahtuneen käsittelyn lainmukaisuuteen.

Miten käytän oikeuksiani?

Voit käyttää GDPR:n mukaisia oikeuksiasi ottamalla yhteyttä meihin sähköpostitse osoitteeseen [email protected] tai kirjallisesti osoitteeseen:

Rich Haven Oy
Aleksanterinkatu 22 B
00100 Helsinki

Käsittelemme pyyntösi viipymättä ja vastaamme sinulle viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Tarvittaessa voimme jatkaa määräaikaa kahdella kuukaudella pyynnön monimutkaisuuden tai pyyntöjen määrän vuoksi. Ilmoitamme sinulle tällaisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta.

Tunnistautuminen

Henkilöllisyytesi varmistamiseksi saatamme pyytää sinua toimittamaan lisätietoja ennen kuin voimme vastata pyyntöösi. Tämä on tärkeää tietojesi suojaamiseksi ja varmistamiseksi, että tietoja ei luovuteta väärille henkilöille.

Tietoturvaloukkauksista ilmoittaminen

GDPR velvoittaa meidät ilmoittamaan tietosuojaviranomaiselle henkilötietojen tietoturvaloukkauksista 72 tunnin kuluessa siitä, kun olemme tulleet tietoisiksi loukkauksesta, ellei loukkaus todennäköisesti johda riskiin luonnollisten henkilöiden oikeuksille ja vapauksille.

Jos tietoturvaloukkaus todennäköisesti johtaa korkeaan riskiin sinun oikeuksillesi ja vapauksillemme, ilmoitamme sinulle loukkauksesta ilman aiheetonta viivytystä.

Ylläpidämme dokumentaatiota kaikista tietoturvaloukkauksista ja niiden seurauksista, jotta voimme osoittaa vaatimustenmukaisuutemme GDPR:n suhteen.

Tietosuojan vaikutusarviointi

Suoritamme tietosuojan vaikutusarvioinnin (DPIA) silloin, kun käsittely todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tämä koskee erityisesti uusien teknologioiden käyttöönottoa tai laajamittaista arkaluonteisten tietojen käsittelyä.

Arvioimme käsittelytoimien riskit ja toteutamme tarvittavat toimenpiteet riskien minimoimiseksi ennen käsittelyn aloittamista.

Tietosuojavastaava

Olemme nimenneet tietosuojavastaavan valvomaan GDPR:n noudattamista organisaatiossamme. Tietosuojavastaava on yhteyshenkilö kaikissa tietosuoja-asioissa.

Voit ottaa yhteyttä tietosuojavastaavaamme:

Sähköposti: [email protected]

Henkilötietojen siirto EU:n ulkopuolelle

Pääsääntöisesti käsittelemme henkilötietosi Euroopan unionin tai Euroopan talousalueen sisällä. Jos tietojen siirto EU:n tai ETA:n ulkopuolelle on tarpeen, varmistamme, että siirto tapahtuu GDPR:n mukaisesti käyttäen seuraavia suojatoimia:

  • EU:n komission riittävyyspäätös
  • Vakiolausekkeet (Standard Contractual Clauses)
  • Muut GDPR:n mukaiset suojatoimet

Valitukset

Jos uskot, että henkilötietojesi käsittely ei ole GDPR:n mukaista, sinulla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle.

Suomessa toimivaltainen valvontaviranomainen on:

Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00521 Helsinki
Puhelinvaihde: 029 566 6700
Sähköposti: [email protected]
Verkkosivu: www.tietosuoja.fi

Ennen valituksen tekemistä toivomme kuitenkin, että otat yhteyttä meihin, jotta voimme selvittää asian ja korjata mahdolliset puutteet.

Dokumentaatio ja vastuuvelvollisuus

Ylläpidämme kattavaa dokumentaatiota henkilötietojen käsittelytoimistamme GDPR:n vaatimusten mukaisesti. Tämä sisältää:

  • Rekisterin käsittelytoimista
  • Tietosuojan vaikutusarvioinnit
  • Tietoturvaloukkausten dokumentaatio
  • Sopimukset henkilötietojen käsittelijöiden kanssa
  • Suostumukset ja niiden peruutukset

Arvioimme säännöllisesti toimintamme GDPR-vaatimustenmukaisuutta ja päivitämme prosessejamme tarpeen mukaan.

Yhteystiedot

Jos sinulla on kysymyksiä GDPR:stä tai henkilötietojesi käsittelystä, ota yhteyttä:

Rich Haven Oy
Aleksanterinkatu 22 B
00100 Helsinki
Sähköposti: [email protected]
Tietosuoja-asiat: [email protected]