{"id":65670,"date":"2024-04-03T17:58:45","date_gmt":"2024-04-03T08:58:45","guid":{"rendered":"https:\/\/monolith.law\/fi\/?p=65670"},"modified":"2024-08-02T11:12:17","modified_gmt":"2024-08-02T02:12:17","slug":"gdpr-extraterritorial-application","status":"publish","type":"post","link":"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application","title":{"rendered":"Mit\u00e4 tapahtuu, kun GDPR sovelletaan alueen ulkopuolella? Selit\u00e4mme, miten siihen tulisi reagoida"},"content":{"rendered":"\n<p>GDPR on EU:n asettama s\u00e4\u00e4ntely, joka m\u00e4\u00e4rittelee henkil\u00f6tietojen suojelun ja k\u00e4sittelyn. Mik\u00e4li tarjoat tuotteita tai palveluita EU:n alueella, GDPR saattaa koskea toimintaasi. On kuitenkin mahdollista, ett\u00e4 et ole varma, kuuluuko yrityksesi GDPR:n soveltamisalaan tai mit\u00e4 pit\u00e4isi tehd\u00e4, jos se kuuluu.<\/p>\n\n\n\n<p>T\u00e4ss\u00e4 artikkelissa selit\u00e4mme GDPR:n soveltamisalaa, mit\u00e4 tulee tehd\u00e4, jos se kohdistuu yritykseesi, ja mit\u00e4 toimenpiteit\u00e4 vaaditaan. Artikkelissa on my\u00f6s GDPR:n soveltamiseen liittyv\u00e4 Q&amp;A-osio, joka voi olla hy\u00f6dyllinen, joten suosittelemme tutustumaan siihen.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#GDPR_n_soveltamisala\" title=\"GDPR:n soveltamisala\">GDPR:n soveltamisala<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Mita_yritysten_on_tehtava_jos_ne_kuuluvat_EU_n_yleisen_tietosuoja-asetuksen_GDPR_piiriin\" title=\"Mit\u00e4 yritysten on teht\u00e4v\u00e4, jos ne kuuluvat EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin?\">Mit\u00e4 yritysten on teht\u00e4v\u00e4, jos ne kuuluvat EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin?<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#EU_n_tai_Yhdistyneen_kuningaskunnan_alueella_toimivan_edustajan_nimittaminen\" title=\"EU:n tai Yhdistyneen kuningaskunnan alueella toimivan edustajan nimitt\u00e4minen\">EU:n tai Yhdistyneen kuningaskunnan alueella toimivan edustajan nimitt\u00e4minen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Yksityisyydensuojakaytantojen_selkea_ilmoittaminen\" title=\"Yksityisyydensuojak\u00e4yt\u00e4nt\u00f6jen selke\u00e4 ilmoittaminen\">Yksityisyydensuojak\u00e4yt\u00e4nt\u00f6jen selke\u00e4 ilmoittaminen<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Edustajan_nimittamatta_jattamisen_seuraamukset\" title=\"Edustajan nimitt\u00e4m\u00e4tt\u00e4 j\u00e4tt\u00e4misen seuraamukset\">Edustajan nimitt\u00e4m\u00e4tt\u00e4 j\u00e4tt\u00e4misen seuraamukset<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Asiamiehelta_vaadittavat_tehtavat\" title=\"Asiamiehelt\u00e4 vaadittavat teht\u00e4v\u00e4t\">Asiamiehelt\u00e4 vaadittavat teht\u00e4v\u00e4t<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Artikla_30_n_mukainen_kirjanpito\" title=\"Artikla 30:n mukainen kirjanpito\">Artikla 30:n mukainen kirjanpito<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Rekisteroidyn_tai_valvontaviranomaisen_yhteydenottoihin_vastaaminen\" title=\"Rekister\u00f6idyn tai valvontaviranomaisen yhteydenottoihin vastaaminen\">Rekister\u00f6idyn tai valvontaviranomaisen yhteydenottoihin vastaaminen<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#UKK_GDPR_n_soveltamisesta\" title=\"UKK GDPR:n soveltamisesta\">UKK GDPR:n soveltamisesta<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Onko_GDPR_n_noudattaminen_tarpeen_vaikka_yrityksella_ei_ole_suunnitelmia_laajentua_ulkomaille\" title=\"Onko GDPR:n noudattaminen tarpeen, vaikka yrityksell\u00e4 ei ole suunnitelmia laajentua ulkomaille?\">Onko GDPR:n noudattaminen tarpeen, vaikka yrityksell\u00e4 ei ole suunnitelmia laajentua ulkomaille?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Mita_toimenpiteita_tarvitaan_EU-alueen_rajat_ylittavan_verkkokaupan_perustamisessa\" title=\"Mit\u00e4 toimenpiteit\u00e4 tarvitaan EU-alueen rajat ylitt\u00e4v\u00e4n verkkokaupan perustamisessa?\">Mit\u00e4 toimenpiteit\u00e4 tarvitaan EU-alueen rajat ylitt\u00e4v\u00e4n verkkokaupan perustamisessa?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Mika_ero_on_GDPR_lla_ja_UK_GDPR_lla\" title=\"Mik\u00e4 ero on GDPR:ll\u00e4 ja UK GDPR:ll\u00e4?\">Mik\u00e4 ero on GDPR:ll\u00e4 ja UK GDPR:ll\u00e4?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Yhteenveto_Kun_GDPR_n_soveltamisala_tuottaa_haasteita_kaantykaa_asiantuntijan_puoleen\" title=\"Yhteenveto: Kun GDPR:n soveltamisala tuottaa haasteita, k\u00e4\u00e4ntyk\u00e4\u00e4 asiantuntijan puoleen\">Yhteenveto: Kun GDPR:n soveltamisala tuottaa haasteita, k\u00e4\u00e4ntyk\u00e4\u00e4 asiantuntijan puoleen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/gdpr-extraterritorial-application\/#Toimenpiteemme_esittely\" title=\"Toimenpiteemme esittely\">Toimenpiteemme esittely<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"GDPR_n_soveltamisala\"><\/span>GDPR:n soveltamisala<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/12\/jyosei.jpg\" alt=\"Nainen\" class=\"wp-image-63700\" \/><\/figure>\n\n\n\n<p>GDPR:n soveltamisehdot on m\u00e4\u00e4ritelty GDPR:n 3 artiklassa &#8216;Maantieteellinen soveltamisala&#8217;. GDPR:n soveltamisala jakautuu kahteen osaan: tapauksiin, joissa toimipaikka sijaitsee EU:n alueella ja tapauksiin, joissa toimipaikkaa ei ole EU:n alueella.<\/p>\n\n\n\n<p>Kun toimipaikka sijaitsee EU:n alueella, soveltamisala m\u00e4\u00e4ritell\u00e4\u00e4n seuraavasti:<\/p>\n\n\n\n<p>&#8220;Sit\u00e4 sovelletaan henkil\u00f6tietojen k\u00e4sittelyyn, joka liittyy EU:n alueella sijaitsevan rekisterinpit\u00e4j\u00e4n tai k\u00e4sittelij\u00e4n toimipaikan toimintaan, riippumatta siit\u00e4, suoritetaanko k\u00e4sittely EU:n alueella vai ei.&#8221;<\/p>\n\n\n\n<p>Viite: Japanin henkil\u00f6tietojen suojaviranomainen | &#8216;<a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/gdpr-provisions-ja.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Yleisen tietosuoja-asetuksen (GDPR) v\u00e4liaikainen japanilainen k\u00e4\u00e4nn\u00f6s[ja]<\/a>&#8216;<\/p>\n\n\n\n<p>Toisin sanoen, jos rekisterinpit\u00e4j\u00e4n tai k\u00e4sittelij\u00e4n toimipaikka sijaitsee EU:n alueella, GDPR soveltuu.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Rekisterinpit\u00e4j\u00e4<\/td><td>Henkil\u00f6tietojen k\u00e4sittelyn tarkoituksen ja keinot m\u00e4\u00e4rittelev\u00e4 taho<\/td><\/tr><tr><td>K\u00e4sittelij\u00e4<\/td><td>Rekisterinpit\u00e4j\u00e4n puolesta henkil\u00f6tietojen k\u00e4sittely\u00e4 suorittava taho<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Kun toimipaikkaa ei ole EU:n alueella, soveltamisalaan kuuluu kaksi seuraavaa tapausta:<\/p>\n\n\n\n<ol>\n<li>Kun tarjotaan tavaroita tai palveluita EU:n alueella oleville henkil\u00f6ille<\/li>\n\n\n\n<li>Kun valvotaan EU:n alueella olevien henkil\u00f6iden k\u00e4ytt\u00e4ytymist\u00e4<\/li>\n<\/ol>\n\n\n\n<p>GDPR asettaa tiukkoja rajoituksia kolmansien maiden tietojensiirrolle, ja tietojen vapaata siirtoa varten tarvitaan &#8216;riitt\u00e4vyysp\u00e4\u00e4t\u00f6s&#8217;. Riitt\u00e4vyysp\u00e4\u00e4t\u00f6s on Euroopan komission neuvottelujen j\u00e4lkeen tehty p\u00e4\u00e4t\u00f6s, joka my\u00f6nnet\u00e4\u00e4n maille tai alueille, jotka ovat varmistaneet riitt\u00e4v\u00e4n suojelun tason henkil\u00f6tiedoille.<\/p>\n\n\n\n<p>Riitt\u00e4vyysp\u00e4\u00e4t\u00f6ksen puuttuessa maat tai alueet joutuvat suorittamaan SCC:n tai BCR:n kaltaisia menettelyj\u00e4 EU:n ulkopuolelle suuntautuvaa tietojensiirtoa varten.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>SCC (Standard Contractual Clauses)<\/td><td>Tietojensiirtosopimukseen sis\u00e4llytett\u00e4v\u00e4t pakolliset ehdot<\/td><\/tr><tr><td>BCR (Binding Corporate Rules)<\/td><td>EEA:n (Euroopan talousalueen) ulkopuolelle siirrett\u00e4vien henkil\u00f6tietojen suojelua koskevat periaatteet ja s\u00e4\u00e4nn\u00f6t, jotka koskevat tietojen jakamista EEA:n ulkopuolisten tyt\u00e4ryhti\u00f6iden kanssa<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Riitt\u00e4vyysp\u00e4\u00e4t\u00f6ksen my\u00f6t\u00e4 SCC:n tai BCR:n kaltaisia menettelyj\u00e4 ei tarvitse suorittaa.<\/p>\n\n\n\n<p>Japanille my\u00f6nnetty riitt\u00e4vyysp\u00e4\u00e4t\u00f6s ilmoitettiin hein\u00e4kuussa 2018 Japanin ja EU:n s\u00e4\u00e4nn\u00f6llisess\u00e4 huippukokouksessa, jossa p\u00e4\u00e4tettiin edist\u00e4\u00e4 toimenpiteit\u00e4 henkil\u00f6tietojen siirron puitteiden k\u00e4ytt\u00f6\u00f6nottoon. My\u00f6hemmin, 23. tammikuuta 2019, Japani sai riitt\u00e4vyysp\u00e4\u00e4t\u00f6ksen, ja julkaistiin ilmoitus, jossa &#8216;tervehdittiin p\u00e4\u00e4t\u00f6st\u00e4, jonka mukaan EU ja Japani tunnustavat toistensa henkil\u00f6tietojen suojelun tason vastaaviksi&#8217;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mita_yritysten_on_tehtava_jos_ne_kuuluvat_EU_n_yleisen_tietosuoja-asetuksen_GDPR_piiriin\"><\/span>Mit\u00e4 yritysten on teht\u00e4v\u00e4, jos ne kuuluvat EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/12\/thinki.jpg\" alt=\"Mit\u00e4 yritysten on teht\u00e4v\u00e4, jos ne kuuluvat EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin?\" class=\"wp-image-63702\" \/><\/figure>\n\n\n\n<p>Kun yritys kuuluu EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisalaan, sen on huolehdittava ainakin seuraavista kahdesta asiasta:<\/p>\n\n\n\n<ul>\n<li>EU:n tai Yhdistyneen kuningaskunnan alueella toimivan edustajan nimitt\u00e4minen<\/li>\n\n\n\n<li>Yksityisyydensuojak\u00e4yt\u00e4nt\u00f6jen selke\u00e4 ilmoittaminen<\/li>\n<\/ul>\n\n\n\n<p>T\u00e4ss\u00e4 selit\u00e4mme kumpaakin n\u00e4ist\u00e4 yksityiskohtaisemmin.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"EU_n_tai_Yhdistyneen_kuningaskunnan_alueella_toimivan_edustajan_nimittaminen\"><\/span>EU:n tai Yhdistyneen kuningaskunnan alueella toimivan edustajan nimitt\u00e4minen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>EU:n yleisen tietosuoja-asetuksen (GDPR) 27 artiklassa s\u00e4\u00e4det\u00e4\u00e4n, ett\u00e4 jos asetuksen ulkomailla soveltaminen on kyseess\u00e4, on velvollisuus nimitt\u00e4\u00e4 edustaja, jolla on toimipaikka EU:ssa tai Yhdistyneess\u00e4 kuningaskunnassa.<\/p>\n\n\n\n<p>Mainittu edustaja on henkil\u00f6, joka on nimetty kirjallisesti rekisterinpit\u00e4j\u00e4n tai tietojenk\u00e4sittelij\u00e4n toimesta ja joka edustaa rekisterinpit\u00e4j\u00e4\u00e4 tai tietojenk\u00e4sittelij\u00e4\u00e4 t\u00e4m\u00e4n GDPR:n mukaisissa velvoitteissa.<\/p>\n\n\n\n<p>Kaikkien EU:ssa toimivien yritysten ei tarvitse nimitt\u00e4\u00e4 edustajaa. Seuraavissa tapauksissa edustajan nimitt\u00e4misvelvollisuutta ei ole (GDPR:n 27 artikla):<\/p>\n\n\n\n<ul>\n<li>Kun GDPR:n soveltamisalaan kuuluvat toiminnot eiv\u00e4t ole tilap\u00e4isi\u00e4 ja kun kyseess\u00e4 on k\u00e4sittely, joka ei sis\u00e4ll\u00e4 suurta m\u00e4\u00e4r\u00e4\u00e4 &#8220;erityisi\u00e4 tietoryhmi\u00e4&#8221; tai &#8220;rikostuomioihin ja rikolliseen k\u00e4ytt\u00e4ytymiseen liittyvi\u00e4 henkil\u00f6tietoja&#8221; ja kun otetaan huomioon k\u00e4sittelyn luonne, laajuus, konteksti ja tarkoitus, on ep\u00e4todenn\u00e4k\u00f6ist\u00e4, ett\u00e4 se aiheuttaisi riskin luonnollisten henkil\u00f6iden oikeuksille tai vapauksille<\/li>\n\n\n\n<li>Kun kyseess\u00e4 ei ole julkinen viranomainen tai julkinen organisaatio<\/li>\n<\/ul>\n\n\n\n<p>L\u00e4hde: Japanin henkil\u00f6tietojen suojaviranomainen | &#8216;<a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/gdpr-provisions-ja.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Yleisen tietosuoja-asetuksen (GDPR) alustava japanilainen k\u00e4\u00e4nn\u00f6s[ja]<\/a>&#8216;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Yksityisyydensuojakaytantojen_selkea_ilmoittaminen\"><\/span>Yksityisyydensuojak\u00e4yt\u00e4nt\u00f6jen selke\u00e4 ilmoittaminen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin kuuluvien yritysten on ilmoitettava yksityisyydensuojak\u00e4yt\u00e4nn\u00f6iss\u00e4\u00e4n selke\u00e4sti, ett\u00e4 ne ovat nimitt\u00e4neet edustajan.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Edustajan_nimittamatta_jattamisen_seuraamukset\"><\/span>Edustajan nimitt\u00e4m\u00e4tt\u00e4 j\u00e4tt\u00e4misen seuraamukset<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/12\/penalty.jpg\" alt=\"Seuraamuss\u00e4\u00e4nn\u00f6kset\" class=\"wp-image-63703\" \/><\/figure>\n\n\n\n<p>On t\u00e4rke\u00e4\u00e4 huomata, ett\u00e4 jos GDPR:n soveltamisalaan kuuluvassa toiminnassa ei nimet\u00e4 edustajaa, seurauksena voi olla sanktioita. Seuraamukset voivat nousta jopa 1 000 euroon tai maailmanlaajuisen liikevaihdon 2 %:iin saakka, kummasta summasta vain on suurempi (GDPR:n 84 artiklan 4 kohta).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Asiamiehelta_vaadittavat_tehtavat\"><\/span>Asiamiehelt\u00e4 vaadittavat teht\u00e4v\u00e4t<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/12\/jyosei2.jpg\" alt=\"Naisasiamies\" class=\"wp-image-63704\" \/><\/figure>\n\n\n\n<p>Kun GDPR:n soveltamisalaan kuuluu, on periaatteessa valittava asiamies. Mit\u00e4 teht\u00e4vi\u00e4 asiamiehelt\u00e4 sitten vaaditaan? T\u00e4ss\u00e4 selit\u00e4mme yksityiskohtaisesti asiamiehen teht\u00e4vi\u00e4.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Artikla_30_n_mukainen_kirjanpito\"><\/span>Artikla 30:n mukainen kirjanpito<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>EU:n ulkopuolella asiamiehen nimitt\u00e4neiden rekisterinpit\u00e4jien tai k\u00e4sittelij\u00f6iden on jaettava omat k\u00e4sittelykirjansa asiamiehen kanssa. Lis\u00e4ksi asiamiehen on s\u00e4ilytett\u00e4v\u00e4 n\u00e4it\u00e4 kirjoja samalla tavalla kuin rekisterinpit\u00e4j\u00e4n tai k\u00e4sittelij\u00e4n on teht\u00e4v\u00e4 (GDPR:n artikla 30).<\/p>\n\n\n\n<p>Kirjattavien tietojen on sis\u00e4llett\u00e4v\u00e4 esimerkiksi seuraavat:<\/p>\n\n\n\n<ul>\n<li>Rekisterinpit\u00e4j\u00e4n, DPO:n (tietosuojavastaavan) ja muiden yhteystiedot<\/li>\n\n\n\n<li>K\u00e4sittelyn tarkoitus<\/li>\n\n\n\n<li>Rekister\u00f6idyn luokat ja k\u00e4sitelt\u00e4vien tietojen tyypit<\/li>\n\n\n\n<li>S\u00e4ilytysaika<\/li>\n\n\n\n<li>Poistamisen ajankohta<\/li>\n<\/ul>\n\n\n\n<p>Rekister\u00f6idyll\u00e4 tarkoitetaan tunnistettua tai tunnistettavissa olevaa luonnollista henkil\u00f6\u00e4, johon henkil\u00f6tiedot liittyv\u00e4t.<\/p>\n\n\n\n<p>Valvontaviranomaisen pyynn\u00f6st\u00e4 n\u00e4m\u00e4 k\u00e4sittelykirjat on oltava saatavilla k\u00e4ytt\u00f6\u00e4 varten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Rekisteroidyn_tai_valvontaviranomaisen_yhteydenottoihin_vastaaminen\"><\/span>Rekister\u00f6idyn tai valvontaviranomaisen yhteydenottoihin vastaaminen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kun rekister\u00f6ity tai valvontaviranomainen ottaa yhteytt\u00e4, asiamiehen on toimittava rekisterinpit\u00e4j\u00e4n tai k\u00e4sittelij\u00e4n sijaisena ja vastattava rekister\u00f6idylle tai valvontaviranomaiselle (GDPR:n artikla 27, kohta 3). Esimerkiksi, jos rekister\u00f6ity esitt\u00e4\u00e4 pyynn\u00f6n, rekisterinpit\u00e4j\u00e4n on toimitettava tiedot yhden kuukauden kuluessa (GDPR:n artikla 12, kohta 3). Lis\u00e4ksi asiamiehen on vastattava valvontaviranomaisen pyynt\u00f6ihin ja teht\u00e4v\u00e4 yhteisty\u00f6t\u00e4 valvontaviranomaisen kanssa (GDPR:n artikla 31).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"UKK_GDPR_n_soveltamisesta\"><\/span>UKK GDPR:n soveltamisesta<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/12\/faq.jpg\" alt=\"UKK\" class=\"wp-image-63705\" \/><\/figure>\n\n\n\n<p>Vastaamme alla usein kysyttyihin kysymyksiin GDPR:n soveltamiseen liittyen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Onko_GDPR_n_noudattaminen_tarpeen_vaikka_yrityksella_ei_ole_suunnitelmia_laajentua_ulkomaille\"><\/span>Onko GDPR:n noudattaminen tarpeen, vaikka yrityksell\u00e4 ei ole suunnitelmia laajentua ulkomaille?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Periaatteessa, jos yrityksell\u00e4 ei ole suunnitelmia laajentua ulkomaille, GDPR:n noudattaminen ei ole tarpeellista. Kuitenkin, vaikka yritys ei laajentaisikaan toimintaansa ulkomaille, on t\u00e4rke\u00e4\u00e4 olla tietoinen, jos on mahdollista saada henkil\u00f6tietoja EU:n alueella olevilta henkil\u00f6ilt\u00e4.<\/p>\n\n\n\n<p>Seuraavat esimerkit ovat tilanteita, joissa t\u00e4m\u00e4 voi olla mahdollista:<\/p>\n\n\n\n<ul>\n<li>Yll\u00e4pid\u00e4t verkkokauppaa ja saat kyselyit\u00e4 tai tilauksia EU:n alueella olevilta henkil\u00f6ilt\u00e4<\/li>\n\n\n\n<li>Sivustosi kautta ker\u00e4\u00e4t EU:n alueella olevien henkil\u00f6iden online-tunnisteita (kuten IP-osoitteita tai ev\u00e4steit\u00e4)<\/li>\n\n\n\n<li>Saat s\u00e4hk\u00f6postiosoitteita vastatessasi EU:n alueella olevien henkil\u00f6iden kyselyihin<\/li>\n<\/ul>\n\n\n\n<p>Vaikka saisitkin EU:n alueella olevien henkil\u00f6iden tietoja tahattomasti, se ei tarkoita, ett\u00e4 kuuluisit GDPR:n maantieteellisen soveltamisalan piiriin, joten GDPR:n noudattaminen ei ole v\u00e4ltt\u00e4m\u00e4t\u00f6nt\u00e4.<\/p>\n\n\n\n<p>Muistakaa kuitenkin, ett\u00e4 GDPR:n noudattaminen on tarpeen, jos yrityksell\u00e4 on toimipiste EU:n alueella tai vaikka toimipistett\u00e4 ei olisikaan, mutta seuraavat kaksi ehtoa t\u00e4yttyv\u00e4t:<\/p>\n\n\n\n<ol>\n<li>Tarjoat tavaroita tai palveluita EU:n alueella oleville henkil\u00f6ille<\/li>\n\n\n\n<li>Valvot EU:n alueella olevien henkil\u00f6iden k\u00e4ytt\u00e4ytymist\u00e4<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mita_toimenpiteita_tarvitaan_EU-alueen_rajat_ylittavan_verkkokaupan_perustamisessa\"><\/span>Mit\u00e4 toimenpiteit\u00e4 tarvitaan EU-alueen rajat ylitt\u00e4v\u00e4n verkkokaupan perustamisessa?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kun perustat EU-alueen rajat ylitt\u00e4v\u00e4n verkkokaupan, on mahdollista, ett\u00e4 ker\u00e4\u00e4t EU-alueella asuvien henkil\u00f6iden tietoja. Ker\u00e4tt\u00e4viin tietoihin voivat kuulua seuraavat:<\/p>\n\n\n\n<ul>\n<li>Nimi<\/li>\n\n\n\n<li>S\u00e4hk\u00f6postiosoite<\/li>\n\n\n\n<li>Osoite<\/li>\n\n\n\n<li>Krediittikorttitiedot<\/li>\n\n\n\n<li>Ostotiedot<\/li>\n\n\n\n<li>Sijaintitiedot<\/li>\n\n\n\n<li>IP-osoite &amp; Cookie ID<\/li>\n<\/ul>\n\n\n\n<p>N\u00e4iden tietojen ker\u00e4\u00e4misen yhteydess\u00e4 tulee noudattaa GDPR:n s\u00e4\u00e4nt\u00f6j\u00e4, koska tiedot kuuluvat GDPR:n m\u00e4\u00e4rittelemiin henkil\u00f6tietoihin.<\/p>\n\n\n\n<p>Ensimm\u00e4isen\u00e4 askeleena kannattaa tarkistaa ja p\u00e4ivitt\u00e4\u00e4 GDPR:n vaatimusten mukainen tietosuojak\u00e4yt\u00e4nt\u00f6 sek\u00e4 julkaista p\u00e4ivitetty tietosuojailmoitus.<br>Liittyv\u00e4 artikkeli: <a href=\"https:\/\/monolith.law\/corporate\/gdpr-privacy-policy\" target=\"_blank\" rel=\"noreferrer noopener\">N\u00e4in laadit GDPR:n mukaisen tietosuojak\u00e4yt\u00e4nn\u00f6n \u2013 vinkkej\u00e4![ja]<\/a><\/p>\n\n\n\n<p>T\u00e4m\u00e4n j\u00e4lkeen seuraa seuraavia vaiheita:<\/p>\n\n\n\n<ol>\n<li>Luo cookie-k\u00e4yt\u00e4nt\u00f6 ja hanki verkkokaupan ensikertalaisilta suostumus cookieiden k\u00e4ytt\u00f6\u00f6n<\/li>\n\n\n\n<li>Kun ker\u00e4\u00e4t henkil\u00f6tietoja, varmista, ett\u00e4 saat suostumuksen &#8216;henkil\u00f6tietojen k\u00e4sittelyyn&#8217;<\/li>\n\n\n\n<li>Toteuta turvatoimia henkil\u00f6tietojen suojaamiseksi ja tietovuotojen est\u00e4miseksi<\/li>\n\n\n\n<li>Nime\u00e4 edustaja<\/li>\n<\/ol>\n\n\n\n<p>Lis\u00e4ksi tarvittaessa tarkista yrityksen sis\u00e4iset s\u00e4\u00e4nn\u00f6t ja laadi GDPR:n vaatimusten mukaisia toimintaohjeita sek\u00e4 tarkista ulkoistettujen palveluntarjoajien kanssa tehtyjen sopimusten sis\u00e4lt\u00f6.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mika_ero_on_GDPR_lla_ja_UK_GDPR_lla\"><\/span>Mik\u00e4 ero on GDPR:ll\u00e4 ja UK GDPR:ll\u00e4?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>UK GDPR viittaa Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen. UK GDPR tuli voimaan Yhdistyneen kuningaskunnan EU-eron my\u00f6t\u00e4 1. tammikuuta 2021 (2021). GDPR on EU:n s\u00e4\u00e4d\u00f6s, jota ei sovelleta Yhdistyneess\u00e4 kuningaskunnassa.<\/p>\n\n\n\n<p>UK GDPR sovelletaan seuraavissa tapauksissa:<\/p>\n\n\n\n<ol>\n<li>Kun tarjotaan tavaroita tai palveluita henkil\u00f6ille Yhdistyneess\u00e4 kuningaskunnassa<\/li>\n\n\n\n<li>Kun valvotaan Yhdistyneess\u00e4 kuningaskunnassa olevien henkil\u00f6iden k\u00e4ytt\u00e4ytymist\u00e4<\/li>\n<\/ol>\n\n\n\n<p>Jos harjoitat liiketoimintaa Yhdistyneess\u00e4 kuningaskunnassa ja EU:n alueella, on tarpeen noudattaa sek\u00e4 GDPR:\u00e4\u00e4 ett\u00e4 UK GDPR:\u00e4\u00e4.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Yhteenveto_Kun_GDPR_n_soveltamisala_tuottaa_haasteita_kaantykaa_asiantuntijan_puoleen\"><\/span>Yhteenveto: Kun GDPR:n soveltamisala tuottaa haasteita, k\u00e4\u00e4ntyk\u00e4\u00e4 asiantuntijan puoleen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/12\/senmonka.jpg\" alt=\"Miesasiantuntija\" class=\"wp-image-63706\" \/><\/figure>\n\n\n\n<p>Jos yrityksell\u00e4nne on toimipiste EU:n alueella tai vaikka toimipistett\u00e4 ei olisikaan, mutta tarjoatte tavaroita tai palveluita EU:n alueen henkil\u00f6ille tai valvotte henkil\u00f6iden k\u00e4ytt\u00e4ytymist\u00e4, kuulutte GDPR:n soveltamisalan piiriin. GDPR:n alaisuudessa toimivien yritysten on nimett\u00e4v\u00e4 EU:ssa sijaitseva edustaja ja mainittava t\u00e4st\u00e4 yksityisyydensuojak\u00e4yt\u00e4nn\u00f6iss\u00e4\u00e4n.<\/p>\n\n\n\n<p>Edustajan nime\u00e4m\u00e4tt\u00e4 j\u00e4tt\u00e4minen voi johtaa suuriin sakkomaksuihin. EU:n alueella toimivat tai sinne laajentumista suunnittelevat yritykset, varmistakaa GDPR:n vaatimustenmukaisuus nimitt\u00e4m\u00e4ll\u00e4 edustaja.<\/p>\n\n\n\n<p>Jos ette ole varmoja, kuuluuko yrityksenne GDPR:n soveltamisalaan, suosittelemme konsultoimaan kansainv\u00e4liseen oikeudelliseen neuvontaan erikoistunutta asiantuntijaa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Toimenpiteemme_esittely\"><\/span>Toimenpiteemme esittely<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten palveluiden, rikkaan kokemuksen omaava lakitoimisto. Globalisaation my\u00f6t\u00e4 kansainv\u00e4linen liiketoiminta on kasvanut merkitt\u00e4v\u00e4sti, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve on lis\u00e4\u00e4ntynyt. Tarjoamme ratkaisuja kansainv\u00e4lisiin oikeudellisiin kysymyksiin.<\/p>\n\n\n\n<p>Monolith Lakitoimiston palvelualueet: <a href=\"https:\/\/monolith.law\/global-jpn2fgn\" target=\"_blank\" rel=\"noreferrer noopener\">Kansainv\u00e4liset oikeudelliset palvelut ja ulkomaanliiketoiminta[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>GDPR on EU:n asettama s\u00e4\u00e4ntely, joka m\u00e4\u00e4rittelee henkil\u00f6tietojen suojelun ja k\u00e4sittelyn. Mik\u00e4li tarjoat tuotteita tai palveluita EU:n alueella, GDPR saattaa koskea toimintaasi. On kuitenkin mahdollist [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":65986,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/65670"}],"collection":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/comments?post=65670"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/65670\/revisions"}],"predecessor-version":[{"id":65987,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/65670\/revisions\/65987"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/media\/65986"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/media?parent=65670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/categories?post=65670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/tags?post=65670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}