Hyvä vastaanottaja,
Kirjoitan tietosuojavastaavallenne. Olen teidän asiakkaanne ja viime aikaisten tapahtumien valossa olen tehnyt tämän tietopyynnön
koskien henkilökohtaisia tietojani kuten Yleisen tietosuoja asetuksen 15. Pykälässä määrätään. Olen huolestunut siitä että yrityksenne
käytännöt saattavat mahdollisesti aiheuttaa riskin henkilökohtaisten tietojeni leviämiselle.
Olen liittänyt tähän mukaan tarvittavat asiakirjat henkilöllisyyteni varmistamiseksi. Olkaa hyvä ja vastatkaa minulle osoitteeseen josta
tämä kirje on lähetetty.
Oletan että vastaatte minulle Pykälän 12. mukaisessa yhden kuukauden ajassa, tai vähintäänkin ilmoitatte minulle tarvitsevanne lisäaikaa.
Muussa tapauksessa välitän pyyntöni Tietosuojavaltuutetulle jatkotoimia varten.
Olkaa hyvä ja kertokaa seuraavat asiat:
1. Olkaa hyvä ja vahvistakaa prosessoidaanko henkilökohtaisia tietojani. Jos prosessoidaan, kertokaa minulle mitä henkilökohtaisia
tietoja minusta on tiedostoissanne ja tietokannoissanne.
a. Erityisesti, kertokaa minulle mitä tiedätte minusta tietojärjestelmissänne, on tieto tietokannassa tai tallennettuna johonkin muuhun järjestelmään, sisältäen, sähköpostin, dokumentit verkoissanne, ääni- tai muut mediat joita teillä saattaa olla tallennettuna.
b. Lisäksi, kertokaa minulle missä maissa henkilökohtaisia tietojani säilytetään tai mistä niihin on pääsy. Jos käytätte pilvipalvelu tallentaaksenne tietoa, olkaa hyvä ja kertokaa missä maissa palvelimet sijaitsevat missä tietoni ovat tai olivat (viimeisen 12kk aikana) tallennettuna.
c. Olkaa hyvä ja toimittakaa minulle kopio, tai pääsy henkilökohtaisiin tietoihini jotka teillä ovat, tai joita prosessoitte.
2. Olkaa hyvä ja toimittakaa minulle tarkka selvitys siitä mitä käyttöä, tai mihin olette käyttäneet, tai mitä käyttöä olette suunnittelleet henkilökohtaisilla tiedoillani.
3. Olkaa hyvä ja toimittakaa minulle lista kolmansista osapuolista joille olette (tai olette voineet) jakaa henkilökohtaiset tietoni.
a. Jos ette pysty varmistamaan kenelle kolmansille osapuolille olette tietojani antaneet, olkaa hyvä ja toimittakaa minulle lista tahoista joille olette mahdollisesti tietojani jakaneet.
b. Vahvista myös, mistä 1 (b) kohdassa mainituista lainkäyttöalueista nämä kolmannet osapuolet ovat saaneet tai saattaneet jakaa henkilökohtaisia tietojani, joista nämä kolmannet osapuolet ovat tallentaneet tai voivat käyttää henkilökohtaisia tietojani. Ilmoita myös oikeudellisista syistä henkilötietojeni siirtämiseen näihin lainkäyttöalueisiin. Jos olette tehneet niin tai olette tekemässä niin, toimittakaa minulle kopio, asianmukaisten suojatoimien perusteella.
c. Lisäksi haluaisin tietää mitä suojatoimia on käytössä näiden kolmansien osapuolien suhteen jotka on tunnistettu henkilökohtaisten tietojeni siirtoon liittyen.
4. Olkaa hyvä ja kertokaa kuinka kauan säilytätte henkilökohtaisia tietojani, ja jos säilytys perustuu henkilökohtaisen tiedon luokkaan, kertokaa kuinka kauan tämä säilytetään.
5. Jos lisäksi keräätte minusta henkilökohtaista tietoa muuta kautta kuin suoraan minulta, olkaa hyvä ja toimittakaa minulle kaikki tieto näistä lähteistä kuten on mainittu Pykälässä 14.
6. Jos teette automaattisia päätöksiä koskien minua, sisältäen profiloinnin, pohjautui se Pykälään 22. tai ei, olkaa hyvä ja toimittakaa minulle tieto niistä perusteista logiikasta jolla tehdään tällaisia automaattisia päätöksiä, ja kyseisen prosessoinnin merkitys ja seuraamukset.
7. Haluaisin myös tietää onko henkilökohtaiset tietoni vahingossa saatettu julki teidän puolestanne menneisyydessä tai tietovuodon tai tietomurron seurauksena.
a. Jos niin on, olkaa hyvä ja kertokaa seuraavat asiat koskien jokaista sellaista vuotoa:
i. Yleinen kuvaus mitä tapahtui
ii. Päiväys ja aika milloin tämä tapahtui (tai paras arvio)
iii. Päiväys ja aika milloin vuoto havaittiin
iv. Vuodon lähde (joko te tai muu kolmas osapuoli kelle olette tietojani antaneet)
v. Mitä tietojani paljastui.
vi. Teidän arvionne riskistä tai vahingosta jota vuoto minulle aiheuttaa.
vii. Kuvaus toimista jotka on tehty, tai tullaan tekemään, estämään samanlaiset vuodot jatkossa.
viii. Yhteystiedot jotta voin pyytää lisää tietoa ja apua liittyen vuotoon.
ix. Tietoa ja ohjeistusta siitä mitä voin tehdä suojatakseni itseäni vahingolta, mukaan lukien identiteettivarkaus ja huijaukset.
b. Jos ette pysty varmuudella ilmoittamaan, onko tällainen altistuminen tapahtunut asianmukaisten tekniikoiden avulla, ilmoittakaa, mitä lieventäviä toimenpiteitä olette tehneet, kuten
i. Henkilökohtaisten tietojeni salaus
ii. Tiedon minimointi strategiat
iii. Anonymisointi tai Pseudonymisointi.
iv. Muut toimenpiteet
8. Haluaisin tietää mitä käytäntöjä ja standardeja teillä on henkilökohtaisten tietojeni turvaamiseksi, kuten oletteko ISO27001 sertifioitu ja tarkemmin käytäntönne seuraavissa asioissa:
a. Olkaa hyvä ja kertokaa minulle oletteko varmuuskopioineet henkilökohtaiset tietoni nauhalle, levykkeelle tai muulle medialle ja missä se säilytetään ja miten se on turvattu, mukaan lukien mitä olette tehneet suojataksenne henkilökohtaiset tietoni datan menetykseltä tai varkaudelta ja sisältääkö tämä salauksen.
b. Olkaa hyvä ja kertokaa onko teillä käytössä teknologiaa jonka avulla voitte kohtuullisella varmuudella tietää onko henkilökohtaiset tietoni vuotaneet vai ei, sisältäen, mutta ei rajoitettuna seuraaviin:
i. Tunkeutumisen tunnistaminen (IDS, Intrusion detection systems)
ii. Palomuuri
iii. Pääsy ja tunnistautumisen hallinta.
iv. Tietokanta auditointi ja/tai turvallisuus työkalut
v. Käyttäytymisen analysointityökalut, lokien analysointityökalut tai tarkastusvälineet
9. Työntekijöihin ja ulkopuoliseen työvoimaan liittyen olkaa hyvä ja kertokaa seuraavat:
a. Mitä tekniikoita tai liiketoimintaprosesseja teillä on varmistaaksenne, että organisaatiosi henkilöitä seurataan, jotta he eivät tahallaan tai tahattomasti paljastaisi henkilökohtaisia tietojasi yrityksen ulkopuolelle, sähköpostitse, verkossa tai pikaviestein tai muulla tavoin.
b. Oletteko olleet tilanteessa, jossa työntekijät tai urakoitsijat on irtisanottu ja / tai on syytetty rikosoikeudellisten lakien mukaan, jotka koskevat henkilötietoihini pääsyä epäasianmukaisesti, tai jos ette pysty määrittämään niitä, asiakkaita viimeisten 12 kuukauden aikana.
c. Kerro, mitä koulutus- ja tiedotustoimenpiteitä olette toteuttaneet, jotta työntekijät ja urakoitsijat pääsevät henkilötietoihini ja käsittelevät henkilötietoni yleisen tietosuojadirektiivin mukaisesti.
Vilpittömästi sinun,