(09) 682 4050
Lauttasaarentie 28, 00200 Helsinki
lkv@erkkeri.fi Tietosuojaseloste

TIETOSUOJASELOSTE

1. Rekisterinpitäjän yhteystiedot

Kiinteistötoimisto Erkkeri Oy
Lauttasaarentie 28
00200 Helsinki

2. Rekisteriä hoitava henkilö

Veli-Pekka Närhi
c/o Kiinteistötoimisto Erkkeri Oy
0400 810 540
veli-pekka.narhi@erkkeri.fi

3. Rekisterin sijainti ja turvallisuus

Henkilötiedot kerätään Oikotie asunnot Oy:n ylläpitämään PDX-tietokantaan, joka on suojattu palomuurilla. Rekisterin käyttö on suojattu käyttäjäkohtaisin tunnuksin, salasanoin ja käyttöoikeuksin. Lisäksi henkilötietoja kerätään välitysliikkeen ylläpitämään paperiseen viralliseen välitystoimeksianto arkistoon, joka sijaitsee Kiinteistötoimisto Erkkeri Oy:n lukituissa toimitiloissa. Henkilötietoja kerätään ja rekisteröidään myös henkilötietojen käsittelijöiden sähköpostitileihin luotuihin rekistereihin, sekä vuokravakuus excel-taulukkoon.

4. Henkilötietojen käsittelyn oikeusperusta ja tarkoitukset

Asiakasrekisterissä olevia tietoja voidaan käyttää seuraaviin pääasiallisiin tarkoituksiin:
– asiakassuhteen hoitaminen ja kehittäminen
– palveluiden tuottaminen, tarjoaminen, kehittäminen, parantaminen ja suojaaminen
– laskutus, perintä ja asiakastapahtumien varmentaminen
– mainonnan kohdentaminen
– palveluita koskeva analysointi ja tilastointi
– asiakasviestintä, markkinointi ja mainonta
– palveluihin liittyvien rekisterinpitäjän ja muiden toimeksiantoihin liittyvien henkilöiden ja tahojen oikeuksien ja/tai omaisuuden suojaaminen ja turvaaminen,
– rekisterinpitäjän lakisääteisten velvoitteiden hoitaminen, sekä
– muut vastaavat käyttötarkoitukset.

Henkilötietojen käsittely voi perustua myös rekisteröidyn antamaan suostumukseen yhtä tai useampaa erityistä henkilötietojen käsittelytarkoitusta varten.

Henkilötietoja voidaan käyttää myös lakiin perustuvien velvoitteiden noudattamiseksi ja täyttämiseksi. Henkilötietoja voidaan käyttää myös suoramarkkinointiin ja markkinatutkimuksiin. Suoramarkkinointiin ja markkinatutkimuksiin henkilötietoja käytetään vain siinä tapauksessa, että henkilö jonka henkilötiedot on kerätty rekisteröitäväksi, on antanut tähän nimenomaisen suostumuksensa.

Rekisterissä voidaan käsitellä seuraavia tietotyyppejä:
1. Etu- ja sukunimi
2. Yhteystiedot (postiosoitteet, puhelinnumerot, sähköpostiosoitteet)
3. Henkilötunnus
4. Kansalaisuus
5. Kieli
6. Yhteisöä edustettaessa rekisteröidyn työnantajaa sekä asemaa, tai tehtävää yhteisössä koskevat tiedot
7. Rekisteröidyn kiinteistönvälitysliikkeelle antamaan toimeksiantoon ja sen hoitamiseen liittyvät tiedot, kuten toimeksiannon vastaanottopäivä sekä voimassaoloaika
8. Toimeksiantosopimuksen sisältö ja ehdot
9. Välitettävää kohdetta koskevat tiedot
10. Toimeksiannon antamisen yhteydessä annettavat muut tiedot, jotka ovat tarpeen toimeksiannon täyttämiseksi, kuten tieto siitä, kuinka kauan kohdetta on käytetty vakituisena asuntona ja onko kohdetta käytetty yhteisenä kotina rekisteröidyn aviopuolison tai rekisteröidyn parisuhteen osapuolen kanssa sekä mahdollista avioliiton tai rekisteröidyn parisuhteen purkautumisesta ja ositusta tai omaisuuden erottelua koskevat tiedot
11. Toimeksiannon hoitamista koskevat tiedot
12. Toimeksiannon mukaista kauppaa tai muuta sopimusta koskevat tiedot, kuten sopijapuolten nimet, sopimuksen kohde, kauppahinta, välityspalkkio ja muut sopimuksen ehdot
13. Kiinteistönvälitysliikkeen asiakasvaroja koskevat tiedot
14. Muut asiakkuuteen ja muuhun asialliseen yhteyteen liittyvät tiedot
15. Reklamaatiot, palautteet sekä muu asiakkuuteen ja asialliseen yhteyteen liittyvä yhteydenpito
16. Rekisteröityyn kohdistetut markkinointitoimenpiteet, niiden käyttö ja niiden yhteydessä annetut tiedot, sekä rekisteröidyn lupa, tai muu suostumus, tai kielto markkinointitoimenpiteille
17. Suoramarkkinointiluvat ja -kiellot
18. Edellä yksilöityjen tietojen muutostiedot.

5. Henkilötietoryhmät

Kiinteistötoimisto Erkkeri Oy:n yleisiä henkilötietoryhmiä ovat toimeksiantajat, myyjät ja ostajat, sekä vuokraajat. Kiinteistötoimisto Erkkeri Oy:n toiminnassa ei käsitellä erityisiä henkilötietoryhmiä, joilla tässä tarkoitetaan henkilötietojen käsittelyä, joista ilmenee rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen, taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely.

6. Tietojen luovuttaminen ja siirto

Keräämiämme henkilötietoja luovutamme pelkästään niille toimijoille, jotka liittyvät kauppaprosessiin. Näitä ovat viranomaisista verottaja, jolle luovutamme asiakkaan puolesta tekemämme varainsiirtoveroilmoituksen yhteydessä ostajien henkilötiedot. Luovutamme ostajien ja myyjien henkilötiedot kauppakirjan, veroilmoituksen ja asunto-osakkeen kaupassa osakekirjan kopioina myös taloyhtiön nimeämälle isännöitsijälle kaupan synnyttyä. Henkilötietoja luovutetaan myös ostajan pankille kauppakirjan myötä. Kiinteistönkaupoissa henkilötiedot luovutetaan kaupanvahvistajalle. Henkilötietoja luovutetaan myös sille asiakkaalle, joka tekee ostotarjouksen lainhuutotodistuksen ja isännöitsijän todistuksina, joista selviää kiinteistön- ja asunto-osakkeen omistajien henkilötiedot.

Emme luovuta henkilö- tai yritysasiakkaiden henkilö- tai tunnistetietoja, tai muita identifioimistietoja kenellekään muille yksityis- tai oikeushenkilöille tai viranomaisille, kuin edellisessä kappaleessa luetelluille. Muille viranomaisille luovutamme henkilö- tai yritystiedot vain siinä tapauksessa, että tähän on oikeuden määräys tai lainsäädännössä muuten niin määrätään, tai viranomainen on käynnistänyt henkilöstä, tai oikeushenkilöstä esi- tai muun vastaavan tutkinnan ja henkilö- tai yritystiedot määrätään asiaa hoitavan viranomaisen puolesta luovuttamaan.

Tuntemistietoja ja muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen tutkintaan saattamista varten, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu.

Tietoja ei siirretä Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, ellei se ole edellä henkilötietojen käsittelyn tarkoituksien kannalta tai tietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista, jolloin tietojen siirrossa noudatetaan henkilötietolainsäädännön vaatimuksia.

7. Henkilötietojen säilytysajat

Kiinteistötoimisto Erkkeri Oy kiinteistönvälitysliikkeenä säilyttää rekisteröityjen henkilötiedot laissa säädettyjen määräaikojen verran. Tämän jälkeen henkilötiedot poistetaan PDX-tietopalvelusta, sekä Kiinteistötoimisto Erkkeri Oy:n paperisesta toimeksiantoarkistosta. Lain kiinteistönvälitysliikkeistä ja vuokrahuoneiston välitysliikkeistä mukaan toimeksiantopäiväkirja, toimeksiantosopimukset liitteineen, tarjousasiakirjat, esitteet ja muut toimeksiantoon liittyvät asiakirjat on säilytettävä viisi vuotta toimeksiannon päättymisestä.

8. Rekisteröidyn oikeudet

8.1 Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä

Rekisterinpitäjän on informoitava henkilötietojen käsittelystä rekisteröityjä siinä vaiheessa, kun tiedot saadaan rekisteröidyltä itseltään. Rekisteröityjä on informoitava myös silloin, kun tiedot saadaan muualta kuin rekisteröidyltä. Tieto käsittelystä on tällöin toimitettava kohtuullisen ajan kuluessa ja viimeistään kuukauden kuluessa henkilötietojen saamisesta. Jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, tieto käsittelystä on annettava
viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran. Jos tietoja on tarkoitus luovuttaa toiselle vastaanottajalle, on tieto käsittelystä annettava viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Rekisteröidyille on informoitava rekisterinpitäjän ja hänen edustajan yhteystiedot, henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste, mitä henkilötietoryhmiä yritys kerää ja käsittelee sekä mistä lähteistä tietoja saadaan, tieto siitä, luovutetaanko henkilötietoja, ja jos luovutetaan, tietojen vastaanottajat / vastaanottajien ryhmät. Jos henkilötietoja siirretään EU:n ulkopuolelle, tieto siitä sekä asetuksen edellyttämä muu selvitys siirroista, henkilötietojen säilytysaika tai jos se ei ole mahdollista, kriteerit ajan määrittämiseksi, rekisteröidyn asetuksen mukaisista oikeuksista (mm. oikeus pyytää itseään koskevien henkilötietojen oikaisemista) sekä oikeudesta peruuttaa annettu suostumus ja tehdä valitus valvontaviranomaiselle, automaattisesta päätöksenteosta, ml. profiloinnin olemassaolosta, sekä siihen liittyvästä logiikasta, sen merkityksestä ja mahdollisista seurauksista rekisteröidyille informoitava, jos rekisterinpitäjä suorittaa henkilötietojen nojalla automaattista päätöksentekoa. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muihin tarkoituksiin kuin niihin, joihin henkilötiedot kerättiin, rekisterinpitäjän on informoitava rekisteröityä muista tarkoituksista ennen jatkokäsittelyä.

8.2 Rekisteröidyn oikeus saada pääsy tietoihin

Rekisteröidyllä on pääsääntöisesti oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on tallennettu. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön tehneen henkilöllisyyttä, rekisterinpitäjä voi kuitenkin pyytää toimittamaan lisätiedot, jotka ovat tarpeen henkilöllisyyden vahvistamiseksi. Rekisterinpitäjä voi myös pyytää rekisteröityä täsmentämään riittävällä tavalla, mitä tietoja tai käsittelytoimia rekisteröidyn pyyntö koskee. Rekisteröidyn pyyntöön on reagoitava yhden kuukauden sisällä. Määräaikaa on mahdollista pidentää kahdella kuukaudella, jos pyynnöt ovat monimutkaisia tai niitä on paljon. Tällöin rekisterinpitäjän on ilmoitettava rekisteröidylle määräajan jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä kerrottava viivästymisen syyt.

Pyyntöjen toteuttamisen lähtökohtana on maksuttomuus. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, esimerkiksi, jos niitä esitetään toistuvasti, rekisterinpitäjä voi kuitenkin kieltäytyä suorittamasta pyydettyä toimenpidettä tai periä kohtuullisen maksun ottaen huomioon tietojen toimittamisesta aiheutuvat hallinnolliset kustannukset.

Rekisteröidyllä ei ole oikeutta tarkastaa rahanpesulaissa säädetyn ilmoitus- tai selonottovelvollisuuden täyttämiseksi hankittuja tietoja. Tietosuojavaltuutettu voi kuitenkin asiakkaan pyynnöstä tarkistaa näiden tietojen käsittelyn lainmukaisuuden.

Tietoturvatoimenpiteenä annamme rekisteröidylle hänestä rekisteröidyt tiedot vain toimipaikassamme, jolloin tunnistamme rekisteröidyn.

8.3 Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus pyytää, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

8.4 Oikeus tietojen poistamiseen

Rekisterinpitäjän on rekisteröidyn niin pyytäessä poistettava rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, tai rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut eikä käsittelyyn ole muuta laillista perustetta, tai rekisteröity vastustaa henkilötietojen käsittelyä eikä käsittelyyn ole olemassa perusteltua syytä, tai rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, tai henkilötietoja on käsitelty lainvastaisesti, tai henkilötiedot on poistettava EU-oikeuteen tai kansalliseen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi, tai henkilötiedot on kerätty suoraan lapselle tarjottavien tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

Vaikka jokin edellä mainittu edellytys täyttyisi, tietoja ei kuitenkaan tarvitse poistaa, jos käsittely on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, tai rekisterinpitäjään sovellettavaan EU-oikeuteen tai kansalliseen lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi, tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten, tai kansanterveyteen liittyvää yleistä etua koskevista syistä asetuksen edellyttämin tavoin, tai yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten asetuksen edellyttämin tavoin, jos tietojen poistaminen todennäköisesti estäisi kyseisen käsittelyn tai vaikeuttaa sitä suuresti, tai oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos rekisterinpitäjän on poistettava tiedot ja rekisterinpitäjä on julkistanut henkilötiedot, rekisterinpitäjän on lisäksi toteutettava kohtuulliset toimenpiteet ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

8.5 Oikeus käsittelyn rajoittamiseen

Rekisterinpitäjän on rekisteröidyn pyynnöstä rajoitettava henkilötietojen aktiivista käsittelyä, jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä on rajoitettava siksi aikaa, kunnes rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden, tai käsittely on lainvastaista ja rekisteröity vaatii henkilötietojen poistamisen sijaan tietojen käsittelyn rajoittamista, tai rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai rekisteröity on vastustanut henkilötietojen käsittelyä ja sen arviointi, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet on kesken.

Rekisterinpitäjä saa edelleen säilyttää henkilötietoja, muttei muutoin käsitellä niitä ilman rekisteröidyn suostumusta. Tietoja saa käsitellä myös oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi taikka toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää yleistä etua koskevista syistä. Ennen kuin käsittelyn rajoitus poistetaan, siitä on ilmoitettava rekisteröidylle.

8.6 Oikeus siirtää tiedot järjestelmästä toiseen

Jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittelyä suoritetaan automaattisesti, rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle rekisteröity on alun perin toimittanut tiedot.

Jos rekisteröity käyttää em. oikeuttaan, hänellä on oikeus saada tiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista.

8.7 Vastustamisoikeus

Jos henkilötietojen käsittely perustuu rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseen, yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöön, rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella. Jos rekisteröity käyttää vastustamisoikeuttaan, henkilötietoja ei enää saa käsitellä, ellei rekisterinpitäjä pysty osoittamaan, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut ja oikeudet, tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on lisäksi oikeus milloin tahansa vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten, ml. profilointia, jos se liittyy suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, tietoja ei enää saa käsitellä suoramarkkinointitarkoituksia varten.

Rekisteröityä on informoitava selkeästi vastustamisoikeudesta viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran.

9. Siirrot EU-alueen ulkopuolelle

Henkilötietojen siirto EU-alueen ulkopuoliseen maahan on sallittua, jos komission on tehnyt päätöksen, jossa todetaan, että kyseinen kolmas maa varmistaa riittävän tietosuojan tason.

Jos komissio ei ole tehnyt em. päätöstä, henkilötietojen siirto EU-alueen ulkopuolelle on sallittua, jos rekisterinpitäjä tai henkilötietojen käsittelijä ovat toteuttaneet asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Asetuksen määrittämiä asianmukaisia suojatoimia ovat esimerkiksi komission hyväksymät vakiolausekkeet (mallisopimuslausekkeet), asetuksen mukaiset yritystä koskevat sitovat säännöt, jotka valvontaviranomainen on vahvistanut, tai vakiolausekkeet, jotka tietosuojaviranomainen on vahvistanut ja jotka komissio on hyväksynyt. Henkilötietojen siirrot EU-alueen ulkopuolelle ovat lisäksi sallittuja asetuksessa määritetyissä poikkeuksellisissa erityistilanteissa, vaikka komissio ei olisi tehnyt päätöstä tietosuojan riittävästä tasosta eikä rekisterinpitäjä tai henkilötietojen käsittelijä olisi toteuttanut em. asianmukaisia suojatoimia.

Erityistilanteita ovat muun muassa, että rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason
riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi, tai siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä, tai siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn etujen mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi, tai siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan.

10. Tietoturvatoimenpiteet

Tietoturvaloukkauksen sattuessa Kiinteistötoimisto Erkkeri Oy:n on tehtävä tietoturvaloukkausilmoitus valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun loukkaus on tullut yrityksen tietoon ja kuitenkin viimeistään 72 kuluessa. Tämän määräajan jälkeen tehdyistä ilmoituksista pitää toimittaa valvontaviranomaiselle perusteltu selvitys siitä, miksi ilmoitus on tehty myöhässä. Lisäksi loukkauksesta on ilmoitettava niille henkilöille, joiden osalta tietosuojaa on rikottu. Ilmoitusta rekisteröidylle ei kuitenkaan tarvitse tehdä, jos rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä tai rekisterinpitäjä on toteuttanut toimenpiteitä, joilla varmistetaan, että korkea riski luonnollisten henkilöiden oikeuksille ei enää toteudu.

Kiinteistötoimisto Erkkeri Oy on laatinut tietoturvatoimenpiteenä yritykselle tietoturvapolitiikan ja tietoturvaohjeen, johon on kirjattu kaikki keskeiset tietosuoja-asetuksen vaatimukset ja velvollisuudet rekisterinpitäjälle, sekä oikeudet rekisteröidylle. Kiinteistötoimisto Erkkeri Oy on kouluttanut henkilöstönsä aiheesta ja päivittää osaamistaan säännöllisesti.

11. Automaattinen päätöksenteko ja profilointi

Tietosuoja-asetus kieltää pääsääntöisesti sellaisten pelkästään automaattiseen henkilötietojen käsittelyyn, kuten esimerkiksi profilointiin, perustuvien päätösten tekemisen, joilla on rekisteröityjä koskevia oikeusvaikutuksia tai jotka vaikuttavat häneen vastaavalla tavalla merkittävästi.

Profiloinnilla tarkoitetaan asetuksessa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilön henkilökohtaisia ominaisuuksia ja erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Automatisoitujen yksittäispäätösten tekeminen on kuitenkin sallittua, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, tai perustuu rekisteröidyn nimenomaiseen suostumukseen tai on hyväksytty rekisterinpitäjään sovellettavassa EU-oikeudessa tai kansallisessa lainsäädännössä.

Jos automatisoitujen yksittäispäätösten tekeminen perustuu rekisteröidyn nimenomaiseen suostumukseen tai on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

Automatisoidut päätökset eivät saa perustua erityisiin henkilötietoryhmiin. Tämä kielto ei kuitenkaan koske tilanteita, joissa on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, ja rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn, tai käsittely on asetuksessa edellytetyin tavoin tarpeen tärkeää yleistä etua koskevasta syystä EU-oikeuden tai kansallisen lainsäädännön nojalla.