Privacy statements for Traficom’s registers

Grounds for and purpose of the data processing

A multichannel customer service system is used in customer service. The system records emails sent by customers to the Finnish Transport and Communications Agency Traficom’s customer service email addresses, as well as customer contacts made by phone and via electronic forms. 

The multichannel customer service system and the related call system enable the centralised management of Traficom's customer contacts and enquiries. The purpose of the processing of related personal data is to identify and assist customers in different contact situations. 

Customer service calls are recorded for the development of operations, for training customer service staff in order to improve service quality and to verify service events in the event of complaints. 

Personal data may also be used for statistical purposes, such as monitoring the total number of customer service interactions during a given period. In addition, we may request feedback from you via text message.

Personal data is processed to perform the statutory duties of a public authority. Personal data is processed to perform the duties specified in section 2, subsection 1, paragraph 2 of the Act on the Finnish Transport and Communications Agency (935/2018). 

The Finnish Transport and Communications Agency may transfer advisory, customer service, document service and other supporting tasks to a private or public service provider. The transferred tasks must not include decision-making powers.

Such transfers are based on section 9 of the Act on the Finnish Transport and Communications Agency (935/2018) and sections 209–211 of the Act on Transport Services (320/2017). 

Data content

The data undergoing processing

Name, personal identity code, email address and phone number of the customer and, where applicable, a person acting on behalf of another person or an organisation. 

Method of contact and time-related data associated with the contact, such as the time an email was received and the start and end times of a phone call.

Other data content:

• the subject line and message content of communications sent by the customer, any attachments and the method of contact
• the subject line and message content of communications sent by the authority to the customer, including any attachments and
• telephone conversations and their content.

Sources of the processed data (where data is received from)

The data is obtained through the customer’s strong identification (name and personal identity code) and from the information provided by the customer via an electronic form or by email. In the case of recorded telephone calls, the data is received from the person in question.

The customer is informed at the beginning of the call, by means of an automated voice message, that the conversation will be recorded. During the call, the customer service adviser may record information provided by the customer, such as contact details and the customer’s preferred method of contact, in order to revert to the matter.

Storage period of personal data

Data recorded in the multichannel customer service system are retained for five (5) years after the ticket created on the basis of the contact has been closed.

Call recordings are retained for two (2) years from the date of the contact.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

The data is not disclosed to third parties without a lawful basis. Such bases include, for example, transferring a matter to the competent authority or responding to an information request from another authority. 

Processing of personal data on behalf of the controller

Traficom has, by contract, transferred certain tasks related to customer service, the granting of driving rights, registration, tax advisory services and the conversion of documents into electronic format to private operators. 

The data is processed by the personnel of Traficom's service providers Ajovarma Oy (1033613-0) and Barona Customer Care Ltd (2406145-7).

Application development and maintenance services are provided by Traficom’s subcontractors in accordance with the contracts concluded. 

Transfer of personal data to third countries outside the EU/EEA

Data is not transferred outside the EU/EEA.

Automated decision-making and profiling

Data processing does not involve automated decision-making or profiling.

Rights related to the processing of personal data

About exercising rights

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki, Finland
tietosuoja@om.fi
Tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data.

In addition, the data subject may personally access and review certain of their own data, such as their email address or phone number, via Traficom’s My e-Services portal.

Right to rectification of data

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

In addition, the data subject may personally update their contact information via Traficom’s My e-Services portal.

Right to restriction of processing

The data subject has the right to obtain from the controller restriction of processing if:

• the data subject contests the accuracy of the personal data

• the processing is unlawful, but the data subject opposes the erasure of the personal data and requests the restriction of its use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to erasure

The data subject may personally delete their contact information via Traficom’s My e-Services portal.

TRAFICOM/14064/00.04.00.03/2026 23.2.2026

Tietojen käsittelyn peruste ja tarkoitus

Henkilötietojen käsittelyn oikeusperuste on lakisääteisen velvoitteen noudattaminen (tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta).

Traficom ylläpitää verkkotunnusrekisteriä fi-maatunnukseen päättyvistä verkkotunnuksista ja tietokantaa verkkotunnusten teknisistä tiedoista internet­liikenteen ohjaamista varten (fi-juuri) sähköisen viestinnän palve­luista annetun lain (917/2014, jäljempänä "SVPL") 164 §:n mukaisesti. Verkkotunnusrekisteri on perustettu SVPL 171 §:n mukaisten tehtävien hoitamiseksi.

Tietosisällön määrittelyssä on otettu huomioon SVPL 165 ja 167 §:t sekä verkkotunnusmääräys M 68.

Traficom käsittelee fi-verkkotunnusten poistovaatimukset ja ratkaisee fi-verkkotunnusriidat oikeudenhaltijoiden vaatimuksesta SVPL 169 §:n mukaisesti.

Traficom voi julkaista internet-sivuillaan ja sen lisäksi muussa sähköisessä palvelussa tietoja verkkotunnusrekisteristä SVPL 167 §:n nojalla. Verkko­tunnusrekisterin tietojen julkaisu WHOIS-rajapinnasta ja Traficomin internet­sivuilla (traficom.fi) olevan verkkotunnuksen tiedot -hakupalvelusta (fi-verkkotunnushaku) perustuvat SVPL 167 §:n.

Fi-verkkotunnushaku ja Katso kuka toimii välittäjänäsi -hakupalveluissa tietoja julkaistaan välittäjien nimi. Etsi verkkotunnusvälittäjä -haku­palvelussa julkaistaan välittäjän tietoja tämän suostumuksella.

Traficom käyttää Friendly Captcha -palvelua lakisääteisen velvoitteen noudattamiseksi sekä yleisen edun mukaiseen tehtävään (tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdat). Captchan käyttö on osa viranomaisen palveluiden tietoturvan varmistamista. Tarkoituksena on estää automaattiset hyökkäykset, suojata palvelun eheyttä ja varmistaa palvelun saatavuus ja toimivuus. SVPL 171 §:n 1 momentin 5 kohdan mukaan Traficomin tehtävänä on huolehtia fi-verkkotunnustoiminnan tietoturvasta.

Tietosisältö

Käsiteltävä tietoaineisto

I Voimassaolevien verkkotunnusten rekisteri

Verkkotunnuksen käyttäjän yksilöintitiedot:

• kontaktin tunniste
• etunimi ja sukunimi tai yrityksen nimi
• henkilötunnus tai y-tunnus tai muu yksilöivä tieto
• yritys/yhteisömuoto

Verkkotunnuksen käyttäjän yhteystiedot:

• yhteyshenkilö
• sähköpostiosoite (prosessiosoite)
• muu sähköpostiosoite
• lähiosoite
• postinumero
• kaupunki
• maa
• puhelinnumero

Verkkotunnuksen perustiedot:

• verkkotunnus
• verkkotunnuksen tilatieto
• verkkotunnuksen voimassaoloaika
• välittäjän nimi
• lisätiedot

Verkkotunnuksen tekniset tiedot:

• verkkotunnukselle mahdollisesti ilmoitetut nimipalvelimet ja niiden IP-osoitteet
• tieto nimipalvelujärjestelmän tietoturvalaajennuksen käytöstä (DNSSec; Domain Name System Security Extensions)
• DS-tietueet
• tieto rekisterilukon (Registry Lock) käytöstä

Verkkotunnusvälittäjän yksilöintitiedot:

• kontaktin tunniste
• etunimi ja sukunimi tai yrityksen nimi
• henkilötunnus tai y-tunnus tai muu yksilöivä tieto
• yritys/yhteisömuoto

Jälleenmyyjä:

• yrityksen nimi
• osasto / yhteyshenkilö
• osoite
• postinumero
• kaupunki
• osavaltio / provinssi
• maa
• puhelinnumero
• sähköpostiosoite

Tekninen yhteyshenkilö:

• yrityksen nimi tai yksityishenkilön etunimi ja sukunimi
• osasto / yhteyshenkilö
• osoite
• postinumero
• kaupunki
• osavaltio / provinssi
• maa
• puhelinnumero
• sähköpostiosoite

Verkkotunnusvälittäjän yhteystiedot:

• osasto/yhteyshenkilö
• sähköpostiosoite (prosessiosoite)
• muu sähköpostiosoite
• lähiosoite
• postinumero
• kaupunki
• maa
• matkapuhelinnumero

Verkkotunnusvälittäjän muut tiedot:

• tieto tietojen julkisuudesta (tiedot julkaistaan välittäjähakupalvelussa traficom.fi-sivuilla, jos välittäjä on itse valinnut vaihtoehdon)
• välittäjän tähtiluokitus (jos välittäjä on osallistunut vapaaehtoiseen arviointiin)
• internetsivun (kotisivun) osoite
• sähköposti (välittäjähakupalvelua varten)
• kaupunki (välittäjähakupalvelua varten)
• puhelinnumero (välittäjähakupalvelua varten)
• palvelut (nimipalvelimet, sähköposti, web-hotelli, virtuaalipalvelimet, DNSSEC-palvelut, verkkotunnusten hallinnointi ilman muita palveluita, palvelut yksityishenkilöille, automaattinen uusimismuistutus)
• yhteystiedot hätätilanteita varten (puhelinnumero ja sähköposti)
• viestilähetykset
• kaupallisen yhteyshenkilön tiedot
• ennakkomaksutilin saldo
• ennakkomaksutilin saldoraja
• viitenumero
• verkkotunnusvälittäjän tilitapahtumat
• verkkotunnusvälittäjän nimipalvelimet
• EPP-tilin tiedot
• EPP-rajapinnan sallitut IP-osoitteet
• EPP-tilin palvelinvarmenteen julkinen osa
• jälleenmyyjän, teknisen- tai hallinnollisen yhteyshenkilöt yhteystiedot
• lisätiedot
• verkkotunnusvälittäjän päätoimipaikan ja muiden Euroopan unionissa sijaitsevien laillisten toimipaikkojen osoite ja ajantasaiset yhteystiedot tai, jos verkkotunnusvälittäjä ei ole sijoittautunut Euroopan unioniin, sen Euroopan unioniin nimetyn edustajan osoite, sähköpostiosoitteet, puhelinnumerot ja muut ajantasaiset yhteystiedot
• verkkotunnusvälittäjän IP-osoitealueet
• luettelo niistä Euroopan unionin jäsenvaltioista, joissa verkkotunnusvälittäjä tarjoaa palveluja
• tieto osallistumisesta kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn
• tieto siitä, onko verkkotunnusvälittäjä myös DNS-palveluntarjoaja

Verkkotunnusvälittäjän pää- ja peruskäyttäjän yhteystiedot:

• etunimi ja sukunimi
• puhelinnumero
• sähköpostiosoite

II Rekisterin arkisto

Verkkotunnusten arkisto

• verkkotunnus
• kontaktin tunniste, käyttäjän nimi tai Y-tunnus
• käyttäjän henkilötunnus tai syntymäaika (PP.KK.VVVV)

Välittäjätietojen arkisto

• välittäjän nimi
• Y-tunnus tai henkilötunnus tai syntymäaika (PPKKVV)
• tunniste
• nimipalvelin
• viitenumero
• sähköpostiosoite
• maa
• verkkotunnusvälittäjän päätoimipaikan ja muiden Euroopan unionissa sijaitsevien laillisten toimipaikkojen osoite ja ajantasaiset yhteystiedot tai, jos verkkotunnusvälittäjä ei ole sijoittautunut Euroopan unioniin, sen Euroopan unioniin nimetyn edustajan osoite, sähköpostiosoitteet, puhelinnumerot ja muut ajantasaiset yhteystiedot
• verkkotunnusvälittäjän IP-osoitealueet
• luettelo niistä Euroopan unionin jäsenvaltioista, joissa verkkotunnusvälittäjä tarjoaa palveluja
• tieto osallistumisesta kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn
• tieto siitä, onko verkkotunnusvälittäjä myös DNS-palveluntarjoaja

Kontaktien arkisto

Verkkotunnuksen käyttäjän yksilöintitiedot:

• kontaktin tunniste
• etunimi ja sukunimi tai yrityksen nimi
• henkilötunnus tai y-tunnus tai muu yksilöivä tieto
• yritys/yhteisömuoto

Verkkotunnuksen käyttäjän yhteystiedot:

• yhteyshenkilö
• sähköpostiosoite (prosessiosoite)
• muu sähköpostiosoite
• lähiosoite
• postinumero
• kaupunki
• maa
• puhelinnumero

Jälleenmyyjä:

• yrityksen nimi tai yksityishenkilön etunimi ja sukunimi
• osasto / yhteyshenkilö
• osoite
• postinumero
• kaupunki
• osavaltio / provinssi
• maa
• puhelinnumero
• sähköpostiosoite

Tekninen yhteyshenkilö:

• yrityksen nimi tai yksityishenkilön etunimi ja sukunimi
• osasto / yhteyshenkilö
• osoite
• postinumero
• kaupunki
• osavaltio / provinssi
• maa
• puhelinnumero
• sähköpostiosoite

III Verkkotunnusten poistovaatimusten käsittely

Verkkotunnuksen poistovaatimukseen sisältyy vaatimuksen esittäjän tai tämän asiamiehen yhteystietoja. Fi-verkkotunnusten poistovaatimus­lomakkeessa noudatetaan samaa evästekäytäntöä kuin traficom.fi-sivuilla (https://www.traficom.fi/fi/tietoa-sivustosta).

Vaatimuksia käsiteltäessä käsitellään myös verkkotunnusrekisterissä olevaa tietoaineistoa, joka on kuvattu yllä kohdissa I ja II.

Vaatimuksia käsiteltäessä käsitellään asianosaisten yhteystietojen lisäksi näiden selvityksiä ja lausumia, jotka voivat sisältää myös muita henkilö­tietoja. Lisäksi Traficom voi käsitellä asian ratkaisemiseksi muita tarpeellisia tietoja ja selvityksiä, jotka voivat sisältää henkilötietoja, kuten riidanalaisella verkkotunnuksella avautuvalla verkkosivulla olevia tietoja.

IV Hakupalvelut

WHOIS-rajapintaan, Traficomin internetsivuilla (traficom.fi) olevan Fi-verkkotunnus, Etsi verkko­tunnusvälittäjä ja Katso kuka toimii välittäjänäsi -hakupalveluissa noudatetaan samaa evästekäytäntöä kuin traficom.fi sivuilla (https://www.traficom.fi/fi/tietoa-sivustosta).

V Verkkotunnusvälittäjien vapaaehtoinen arviointi

Verkkotunnusvälittäjän tiedoissa välittäjähaussa esitetään tiedot välittäjän arvioinnissa saamista tähdistä. Välittäjähaussa noudatetaan samaa evästekäytäntöä kuin traficom.fi-sivuilla (https://www.traficom.fi/fi/tietoa-sivustosta).

• Välittäjän nimi
• Arvioinnin yksityiskohtaiset tulokset (webropol, muu Traficomin tietojärjestelmä)
• Arvioinnin tulosten yhteenveto tähtinä
• Välittäjän tunnistetieto
• Välittäjän yhteyshenkilön sähköpostiosoite (Webropol, muu Traficomin tietojärjestelmä)         

VI Captcha

Friendly Captcha -palvelu ei käytä evästeitä eikä profiloi käyttäjiä. Palvelu käsittelee ainoastaan rajattuja teknisiä tietoja, joista osa voi olla henkilötietoja. Friendly Captcha -ratkaisun yhteydessä käsiteltävät tiedot siirretään ja käsitellään Euroopan unionin alueella. Friendly Captcha -palvelu käsittelee seuraavia verkkotunnusvälittäjien tietoja kyseistä palvelua käytettäessä:

• Captcha-haasteen ratkaisu (proof-of-work -token) validoidaan palvelinpuolella ennen kuin käyttäjän lähettämä pyyntö hyväksytään jatkokäsittelyyn. Validointi tehdään joko Friendly Captcha -palvelun tarjoaman rajapinnan kautta tai Traficomin omassa ympäristössä toteutetun validointipisteen (self-hosted endpoint) avulla.
• Validointitulos käsitellään ainoastaan kyseisen asiointitapahtuman yhteydessä. Validointitietoja ei yhdistetä fi-verkkotunnusrekisterin henkilötietoihin eikä niitä käytetä profilointiin.
• IP-osoitetta ja selaintunnistetietoja voidaan käsitellä validoinnin yhteydessä väärinkäytösten estämiseksi. Näitä tietoja ei tallenneta pysyvästi, vaan niiden käsittely on lyhytaikaista ja liittyy ainoastaan tietoturvan varmistamiseen.
• Selaintiedot (User-Agent): Käytetään selainyhteensopivuuden ja laskennan suorituskyvyn arviointiin. Tiedot välitetään rajoitetusti, eikä niitä tallenneta pysyvästi.
• Domain/origin: Varmistaa, että ratkaistu token kuuluu oikealle sivustolle ja estää tokenien väärinkäytön.
• Aikaleima / nonce: Käytetään yksittäisen tapahtuman tunnistamiseen ja hyökkäysten estämiseen. Lyhytaikainen käsittely.

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Verkkotunnusrekisteriin talletettavat tiedot saadaan verkkotunnus­välittäjiltä SVPL 164 §:n 2 momentin, 165 §:n, 167 §:n, 168 §:n ja 170 §:n mukaisesti. Fi-verkkotunnusvälittäjät toimivat itsenäisinä rekisterin­pitäjinä ja ovat kokonaisvastuussa henkilötietojen käsittelystä omien asiakkaidensa/verkkotunnusten käyttäjien/rekisteröityjen osalta. Traficom vastaa fi-verkkotunnusrekisterin tietovarantokokonaisuudesta.  

Verkkotunnusrekisteri sisältää myös tietoja, jotka on merkitty rekisteriin verkkotunnuslain (228/2003) voimassaolon aikana ja sähköisen viestinnän palveluista annetun lain siirtymäaikana ennen 5.9.2016 eli ennen ns. välittäjä­malliin siirtymistä. Verkkotunnuksen käyttäjä itse tai muu henkilö/yritys käyttäjän toimeksiannosta, on merkinnyt tiedot verkko­tunnusrekisteriin.

Tarvittavia tietoja kertyy verkkotunnusrekisteriin myös viraston omassa asiakaspalveluun ja fi-verkkotunnusten poistovaatimusten käsittelyyn ja päätöksentekoon liittyvässä toiminnassa sekä YTJ:stä (Patentti- ja rekisteri­hallituksen, jäljempänä PRH, yritys- ja yhteisötietojärjestelmä), VTJ:stä (Digi- ja väestötietoviraston väestötietojärjestelmä), VIRRE:stä (PRH:n tietopalvelu kaupparekisteritiedoista) ja PRH:n yhdistysrekisterin tietopalvelusta.

Verkkotunnusten poistovaatimusten käsittelyssä tietoja saadaan vaati­muksen esittäjän tai tämän asiamiehen täyttämästä poistovaatimus­lomakkeesta, verkkotunnuksen käyttäjän tiedot verkkotunnus­rekisteristä ja mahdollisia lisä(henkilö)tietoja osapuolten selvityksistä heitä asiassa kuultaessa. Lisäksi Traficom voi hankkia muita tarpeellisia tietoja ja selvityksiä julkisista lähteistä, kuten riidanalaisella verkko­tunnuksella avautuvista verkkosivuista, asian ratkaisemiseksi hallinto­lain 31 §:n mukaisesti.

Henkilötietojen säilytysaika

Verkkotunnus ja siihen liittyvät tiedot säilytetään fi-verkkotunnus­rekisterissä niin kauan, kun ne ovat rekisteröityinä käyttäjilleen. Tiedot arkistoituvat, kun verkkotunnuksen voimassaoloaika ja siihen liittyvä kuu­kauden suoja-aika päättyvät.

Verkkotunnusvälittäjän lopettaessa välitystoiminnan, välittäjätili poiste­taan ja tili arkistoidaan. Välittäjän välittäjätili poistetaan ja arkistoidaan myös, jos verkkotunnusvälittäjä ei harjoita välitystoimintaa, tai jos henkilö on ilmoittautunut välittäjäksi, mutta välittäjätiliä ei ole aktivoitu.

Fi-verkkotunnusrekisterin tietosisältö ja verkkotunnusten riitojen ratkai­suun liittyvä kirjelmöinti ja asiassa annettu päätös säilytetään pysyvästi Kansallisarkiston antamien seulontapäätösten perusteella.

Verkkotunnusvälittäjien vapaaehtoiseen arviointiin käytettäviä tietoja säilytetään Webropolissa seuraavan vuosittaisen arvioinnin aloittamiseen asti. Verkkotunnusrekisterissä ja sitä tukevissa muissa Traficomin tieto­järjestelmissä tietoa säilytetään viiden vuoden ajan.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Traficom voi julkaista internet-sivuillaan ja sen lisäksi muussa sähköisessä palvelussa tietoja verkkotunnusrekisteristä SVPL 167 §:n nojalla. Verkko­tunnusrekisterin tietoja julkaistaan WHOIS-rajapinnasta, Traficomin internetsivuilla (traficom.fi) Fi-verkkotunnushakupalvelussa, Etsi verkko­tunnusvälittäjä ja Katso kuka toimii välittäjänäsi -haku­palveluista sekä OData-rajapinnan kautta.

Yksityishenkilöille rekisteröityjä verkkotunnuksia ei julkaista WHOIS-raja­pinnasta, Fi-verkkotunnushakupalvelussa eikä OData-raja­pinnasta. Verkkotunnusvälittäjien tietoja ei julkaista Etsi verkko­tunnusvälittäjä -hakupalvelusta, ellei välittäjä ole antanut siihen suostumusta. Katso kuka toimii välittäjänäsi -hakupalvelussa ei näytetä yksityishenkilönä toimivan verkkotunnusvälittäjän tietoja.

SVPL:n 165 §:n 4 mom. nojalla Traficom toimittaa verkkotunnus­välittäjistä tarpeelliset tiedot kyberturvallisuuslain 18 §:ssä tarkoitetulle keskitetylle yhteyspisteelle, joka puolestaan toimittaa tiedot Euroopan unionin kyberturvallisuusvirastolle (ENISAlle).

Vain EU-/ETA-alueella sijaitsevat fi-verkkotunnusvälittäjät voivat rekiste­röidä fi-verkkotunnuksia yksityishenkilöille. Rajaus ei koske niitä EU-/ETA-alueen ulkopuolella sijaitsevia välittäjiä, joiden sijaintivaltiolla on EU:n kanssa solmittu voimassa oleva tiedonsiirtojärjestely tai jotka ovat erikseen sertifioituneet noudattamaan tiedonsiirtojärjestelyä.

Verkkotunnusten poistovaatimusten käsittelyssä molemmat riidan osa­puolet ilmaistaan asiassa annetussa päätöksessä asianosaisina. Myös yksityis­henkilönä toimivan verkkotunnuksen käyttäjän verkkotunnus­rekisteriin antama nimi tulee vaatimuksen esittäjän tietoon asiassa annetusta päätöksestä.

Traficomilla on salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtä­viensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toiselle viranomaiselle SVPL 318 §:n mukaisesti.

Kaikki fi-verkkotunnusrekisteriin kohdistuvat tietopyynnöt käsitellään ja arvioidaan tapauskohtaisesti EU:n yleisen tietosuoja-asetuksen (2016/679), tietosuojalain (1050/2018) ja viranomaisten toiminnan julkisuudesta annetun lain (621/1999) edellytysten mukaisesti.

Verkkotunnusvälittäjien arvioinnissa julkaistaan vain välittäjäkohtaiset arvioinnin tulokset tähtinä 1–5. Verkkotunnusvälittäjän tietoja ei julkaista tai julkaiseminen perutaan välittäjän pyynnöstä.

Henkilötietojen käsittely rekisterinpitäjän lukuun

DENIC Services GmbH

Verkkotunnusrekisterin varmuuskopiota säilytetään Denicin laitetiloissa Saksassa. Varmuuskopio sisältää myös yksityishenkilöiden tiedot, mutta Denicillä ei ole oikeutta tarkastella tietoja.

Byteplant GmbH

Verkkotunnuksen rekisteröintiprosessin osana verkkotunnuksen käyttäjän ilmoittamien osoitetietojen oikeellisuutta arvioidaan käyttäen hyväksi Byteplantin Address Validation -palvelua. Arviointi tapahtuu pelkkien osoitetietojen avulla eikä palveluun välitetä yksityishenkilöiden nimiä tai muita tunnistetietoja.

Webropol

Verkkotunnusvälittäjän arviointiin liittyvät välitystoimintaan liittyvät tiedot ja välittäjän yhteyshenkilön sähköpostiosoite.

Friendly Captcha GmbH

Verkkotunnusvälittäjille ja verkkotunnusvälittäjäksi hakeville tarjotaan sähköisiä asiointipalveluja, joiden turvallisen käytön varmistamiseksi Traficom hyödyntää Friendly Captcha GmbH:n teknistä ratkaisua automatisoidun väärinkäytön estämiseksi.

Barona Customer Care Oy

Traficom on sopimuksella siirtänyt verkkotunnusten asiakaspalveluun liittyviä tehtäviä Barona Customer Care Oy:lle. Barona Customer Care Oy:llä on asiakaspalvelutehtävän hoitamiseksi rajoitetut katseluoikeudet voimassaolevien verkkotunnusten rekisteriin ja rekisterin arkistoon.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Verkkotunnusrekisterin tietoja luovutetaan WHOIS-rajapinnan, Trafico­min sivuilla (traficom.fi) olevasta Fi-verkkotunnushausta, Etsi verkko­tunnus­välittäjä- ja Katso kuka toimii välittäjänäsi -hakupalveluista sekä OData-rajapinnan kautta edellä mainituin rajauksin.

Fi-verkkotunnusvälittäjät hallinnoivat asiakkaistaan fi-verkkotunnus­rekisteriin antamiaan tietoja edellä mainituin rajauksin.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Tarkastuspyyntö tulee osoittaa rekisterinpitäjälle. Traficomin yhteystiedot löytyvät tästä tietosuojaselosteesta. Ohjeet tarkastuspyynnön tekemiseksi löytyvät Traficomin verkkosivuilta: https://www.traficom.fi/fi/viestinta/fi-verkkotunnukset/verkkotunnuksen-kayttajan-oikeudet.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Pyyntö oikaisusta tulee osoittaa rekisterinpitäjälle.

Vastustamisoikeus

Oikeus ei sovellu kyseessä oleviin käsittelytoimiin, koska henkilötietoja käsitellään lakisääteisen velvoitteen perusteella.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Oikeus siirtää tiedot järjestelmästä toiseen

Oikeus ei lähtökohtaisesti sovellu kyseessä oleviin käsittelytoimiin, koska henkilötietoja käsitellään lakisääteisen velvoitteen noudattamiseksi. Suostumus koskee vain verkkotunnusvälittäjän tietojen julkaisua Etsi verkkotunnusvälittäjä -hakupalvelussa.

Oikeus tietojen poistamiseen

Oikeus ei pääsääntöisesti sovellu kyseessä oleviin käsittelytoimiin, koska henkilötietoja käsitellään lakisääteisen velvoitteen perusteella.

Oikeus peruuttaa suostumus

Siltä osin, kun henkilötietoja käsitellään rekisteröidyn antaman suostumuksen perusteella, rekisteröity voi peruuttaa suostumuksensa milloin tahansa ilmoittamalla tästä rekisterinpitäjälle. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumuksen perusteella suoritetun käsittelyn lainmukaisuuteen.

Tietojen käsittelyn peruste ja tarkoitus

Henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteisten velvoitteiden noudattamiseen sekä yleistä etua koskevan tehtävien suorittamiseen (yleinen tietosuoja-asetus 6 artiklan 1 kohdan c ja e alakohdat).

Henkilötietojen käsittelyn tarkoitus on toteuttaa Traficomin hankintoja sekä hankintalainsäädännön mukaisia julkisten hankintojen kilpailutuksia.

Käsitelläkseen tarjouksia hankinnoissaan Traficom tarvitsee tietoja muun muassa hankintamenettelyihin osallistuvien tarjoajien yhteyshenkilöistä ja voittaneen tarjoajan johtohenkilöiden rikosrekisteriotteista. Traficomin on välttämätöntä käsitellä myös tarjousten sisältämiä tietoja, kuten tietoja tarjouksessa ilmoitettujen referenssien yhteyshenkilöistä sekä tietoja tarjouksessa ilmoitettujen henkilöiden ammatillisista pätevyyksistä ja kokemuksesta.

Traficom tarvitsee tarjoajien yhteyshenkilöiden yhteystietoja ollakseen yhteydessä tarjoajiin hankintamenettelyn aikana, esimerkiksi antaessaan hankintapäätökset tiedoksi tarjoajille. Valittu tarjous tulee liitteineen osaksi hankintasopimusta, jonka johdosta Traficomin on tarve käsitellä tarjouksen sisältämiä henkilötietoja hankintasopimuksen voimassaolon ajan sopimuksen täytäntöön panemiseksi. Tarjoukset ja muut hankinta-asiakirjat tallennetaan Traficomin asianhallintajärjestelmään.

Asianosaisen hakiessa muutosta tai oikaisua hankintaa koskevaan päätökseen, Traficomin on välttämätöntä käsitellä valituksen kohteena olevien hankinta-asiakirjojen sisältämiä henkilötietoja muutoksenhakuprosessin ja mahdollisen oikeuskäsittelyn ajan sekä asian lopputuloksen edellyttämällä tavalla, esimerkiksi suorittamalla uuden tarjousvertailun tuomioistuimen päätöksen johdosta.

Tietosisältö

Käsiteltävä tietoaineisto

Tarjoajien yhteys- ja johtohenkilöitä koskevat tiedot

Tarjoajien yhteyshenkilöiden osalta käsitellään seuraavia henkilötietoja:

1. Nimi
2. Edustettu organisaatio ja asema organisaatiossa
3. Yhteystiedot

Tarjoajien hallinto-, johto- tai valvontaelimen jäsenten tai edustus-, päätös- tai valvontavaltaa käyttävien henkilöiden osalta käsitellään seuraavia henkilötietoja:

1. Nimi
2. Edustettu organisaatio ja asema organisaatiossa
3. Rikosrekisteriotteesta ilmenevät tiedot

Tarjousten sisältämät ja muut hankintamenettelyn aikana kerättävät henkilötiedot

Tarjouksessa nimettyjen asiantuntijoiden sekä mahdollisiin tarjousarviointiin liittyviin haastatteluihin tai henkilöarviointeihin osallistuvien henkilöiden osalta käsitellään seuraavia henkilötietoja:

1. Nimi
2. Edustettu organisaatio ja asema organisaatiossa
3. Tiedot koulutuksesta ja ammatillisista pätevyyksistä sekä kokemuksesta ja muista hankinnan kohteen kannalta merkityksellisistä ominaisuuksista

Tarjouksessa ilmoitettujen referenssien yhteyshenkilöiden osalta käsitellään seuraavia henkilötietoja:

1. Nimi
2. Edustettu organisaatio ja asema organisaatiossa
3. Yhteystiedot
4. Kyseessä olevan referenssin tiedot

Tarjouksen liitteenä olevien todistusten tai sertifikaattien myöntäjien osalta käsitellään seuraavia henkilötietoja:

1. Nimi
2. Edustettu organisaatio ja asema organisaatiossa

Muut tarjousten sisältämät tai hankintamenettelyn aikana kerättävät henkilötiedot, kuten projekti- tai toteutussuunnitelmien sisältämät tiedot tarjoajan henkilöstöstä, kaupparekisteriotteiden sisältämät tiedot tilintarkastajista, prokuristeista ja muista tarjoajayritykseen tai sen alihankkijaan liittyvistä henkilöistä:

1. Nimi
2. Edustettu organisaatio ja asema organisaatiossa
3. Syntymäaika
4. Tiedot koulutuksesta ja ammatillisista pätevyyksistä sekä kokemuksesta ja muista hankinnan kohteen kannalta merkityksellisistä ominaisuuksista

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Traficom saa tiedot osana tarjousta, jonka antanut tarjoaja on joko:

1. rekisteröity itse,
2. rekisteröidyn työnantaja tai
3. taho, joka on pyytänyt rekisteröidyn luvan tietojen käyttämiseen tarjouksessaan esim. referenssin yhteyshenkilönä tai todistusten tai sertifikaattien myöntäjänä.

Rikosrekisteriotteita koskevat tiedot Traficom saa valitulta tarjoajalta. Traficom saa tietoja myös yleisistä lähteistä, mukaan lukien Patentti- ja rekisterihallituksen ylläpitämästä kaupparekisteristä, Vastuu Group Oy:n ylläpitämästä Luotettava kumppani -palvelusta sekä Suomen Asiakastieto Oy:n yritysluottotietorekistereistä.

Henkilötietojen säilytysaika

Säilytysaika perustuu arkisto- ja erityislakeihin, sekä toiminnan tarpeeseen dokumentoida ja taata sekä viranomaisen että yksityisen henkilön ja yhteisön oikeusturva.

Hankinta-asiakirjoja (mukaan lukien tarjoukset) säilytetään aina vähintään valtion hankintakäsikirjan edellyttämät 6 vuotta varainhoitovuoden päättymisestä. Joissain tilanteissa asiakirjoja voidaan säilyttää myös pidempään:

1. Valittu tarjous liitteineen säilytetään aina vähintään hankintasopimuksen ja siihen perustuvien velvoitteiden voimassaolon ajan.
2. Muutoksenhakuprosesseihin liittyvät hankinta-asiakirjat (mukaan lukien tarjoukset) säilytetään aina vähintään joko muutoksenhakuprosessin keston ajan tai muutoksenhakuprosessin lopputuloksen edellyttämien toimenpiteiden vaatiman ajan.

Rikosrekisteriotteita koskevia tietoja ei tallenneta tai säilytetä, vaan ne palautetaan tai hävitetään välittömästi otteiden tarkastuksen päätteeksi.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Tietoja ei luovuteta säännönmukaisesti kolmansille osapuolille. Tietoja voidaan luovuttaa tapauskohtaisesti niitä pyytävälle taholle viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukaisesti. Viranomaisen tiedot ja asiakirjat ovat julkisia, ellei niitä ole nimenomaisesti lailla säädetty salassa pidettäväksi.

Valtiontalouden tarkastusvirasto voi käsitellä hankinta-asiakirjoihin sisältyviä henkilötietoja osana valtion talousarviosta annetun lain (423/1988) ja sen nojalla annettujen säädösten mukaista tarkastusta.

Tietoja ei luovuteta suoramarkkinointia ja mielipide- tai markkinatutkimusta varten, ellei luovuttamisesta tähän tarkoitukseen ole erikseen säädetty.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Julkisten hankintojen kilpailutusprosessien yhteydessä henkilötietoja käsitellään Cloudia Oy:n (y-tunnus: 1088146-2) kilpailutusjärjestelmässä.

Lakisääteisten velvollisuuksiensa täyttämiseksi ja hankintojen toteuttamiseksi Traficom voi käyttää sopimuskumppaneitaan henkilötietojen käsittelijöinä. Henkilötietoja käsitellään tarpeen mukaan Traficomin tai sopimuskumppanien tietojärjestelmissä, joiden toimittajat toimivat myös henkilötietojen käsittelijöinä tai alikäsittelijöinä.

Yksittäistapauksissa Traficom voi siirtää erillisin sopimuksin kilpailutusprosesseihin liittyviä tehtäviä valtion yhteishankintayksikkö Hansel Oy:lle (y-tunnus: 0988084-1) sekä muille viranomaisille tai erikseen valittaville yrityksille.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Henkilötietoja ei siirretä Euroopan Unionin tai Euroopan talousalueen ulkopuolelle.

Automaattinen päätöksenteko ja profilointi

Automaattista päätöksentekoa tai profilointia ei käytetä.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Vastustamisoikeus

Tilanteissa, joissa henkilötietojen käsittely perustuu yleiseen etuun, rekisterinpitäjän julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä.

Jos rekisteröity käyttää vastustamisoikeuttaan, on rekisterinpitäjän lopetettava henkilötietojen käsittely, ellei rekisterinpitäjä voi osoittaa, että käsittelyyn on tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet ja vapaudet tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus vastustaa käsittelyä ilman eri perusteluja, jos tietoja käsitellään suoramarkkinointia varten.

Tilanteessa, joissa tietoja käsitellään tilastollisia- tai tutkimustarkoituksia vasten, rekisteröity voi vastustaa tietojen käsittelyä henkilökohtaiseen tilanteeseensa liittyvällä perusteella, jolloin rekisterinpitäjän on lopetettava tietojen käsittely, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

Oikeus peruuttaa suostumus

Siltä osin, kun henkilötietoja käsitellään rekisteröidyn antaman suostumuksen perusteella, rekisteröity voi peruuttaa suostumuksensa milloin tahansa ilmoittamalla tästä rekisterinpitäjälle. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumuksen perusteella suoritetun käsittelyn lainmukaisuuteen.

Dnro TRAFICOM/334546/00.04.00.03/2024, 15.01.2026

Tietojen käsittelyn peruste ja tarkoitus

Liikenteen palveluista annetun lain (320/2017) 216 §:ssä säädetään liikenneasioiden rekisteristä. Lain mukaan Traficom pitää liikenneasioiden rekisteriä liikenteen lupien ja muiden oikeuksien myöntämiseksi ja valvomiseksi, liikenteen turvallisuuden parantamiseksi, liikennevälineiden ja niihin liittyvän verotuksen ja kiinnitysten yksilöimiseksi, ympäristöhaittojen vähentämiseksi, liikkumispalveluiden kehittämisen sekä niiden käyttämisen edistämiseksi, tutkimus- ja kehittämis- ja innovaatiotoiminnan mahdollistamiseksi, henkilön omien tietojen hallintaan (omadata) perustuvien palveluiden edistämiseksi, liikenteen viranomaispalvelujen tuottamiseksi ja kansainvälisten velvollisuuksien täyttämiseksi. Traficom käyttää rekisterissä olevia tietoja sille laissa säädettyjen tehtävien hoitamisekseen.

Tietosisältö

Käsiteltävä tietoaineisto

Liikenneasioiden rekisteri sisältää tietoja:

• Liikenteen toiminnanharjoittajaluvista ja ilmoituksenvaraisesta toiminnasta
• Ajoneuvoista, ilma-aluksista, aluksista ja vesikulkuneuvoista, rautatieliikenteen kalustosta sekä näihin liittyvistä laitteista (liikenneväline)
• Henkilöille myönnetyistä liikenteeseen liittyvistä luvista, oikeuksista ja pätevyyksistä (henkilöluvat).

Luonnollisista henkilöistä rekisteriin saa tallentaa:

• Nimen sekä henkilötunnuksen tai syntymäajan, jos henkilötunnusta ei ole
• Sukupuolen
• Syntymäkunnan, syntymävaltion ja kansalaisuuden
• Osoitteen ja muun yhteystiedon
• Kotikunnan
• Äidinkielen ja asiointikielen
• Tiedon henkilön kuolemasta
• Valokuvan ja nimikirjoitusnäytteen
• Yritys- ja yhteisötunnuksen, jos henkilö on yksityinen elinkeinonharjoittaja.

Oikeushenkilöstä (esim. yritys) rekisteriin saa tallentaa:

• Nimen, aputoiminimen sekä yritys- ja yhteisötunnuksen
• Kotipaikan
• Osoitteen ja muut yhteystiedot
• Asiointikielen
• Tiedon toimitusjohtajasta, vastuunalaisista yhtiömiehistä ja omistussuhteista, tiedon muun yhteisön vastuuhenkilöistä sekä tiedon vastuuhenkilöiden yksilöinti- ja yhteystiedoista.

Rekisteriin saa tallentaa lisäksi rekisterin käyttötarkoituksen kannalta välttämättömät tiedot luonnollisten henkilöiden, oikeushenkilöiden tai liikennevälineiden:

• Vakuutuksista
• Lakisääteisistä maksuista, veroista ja niiden suorittamisesta
• Kiinnityksistä
• Konkurssista, velkajärjestelystä, yrityssaneerauksesta, ulosotosta, takavarikosta ja vakuustakavarikosta
• Valtuutuksista
• Tieliikenteen valvontalaitteiden korttitiedoista
• Suomalaisessa aluksessa työskentelevien henkilöiden merimiestoimista
• liikkumisesteisen pysäköintitunnuksesta.

Rekisteriin saa myös tallentaa Traficom lakisääteisten tehtävien suorittamiseksi välttämättömät tiedot tehdyistä rikoksista ja niistä seuranneista rangaistuksista, ajokielloista ja muista vastaavista seuraamuksista, Traficomin valvontatehtävänsä johdosta määräämistä seuraamuksista sekä muut valvontatoimintaan liittyvät tiedot.

Edellä mainittujen yleisten tietojen lisäksi liikennevälineestä saa rekisteriin tallentaa:

• Tekniset ja kaupalliset tiedot
• Rekisteritunnuksen ja muut yksilöinti- ja numerointitiedot
• Tiedon kotipaikasta ja käyttöalueesta
• Rakennustiedot
• Historiatiedot
• Hyväksyntä-, katsastus- ja luokitustiedot sekä muut teknisiä tarkastuksia koskevat tiedot
• Tiedon viranomaistarkastuksista
• Tiedon omistajasta, haltijasta, käyttäjästä sekä muu rekisteröinti- tieto
• Käyttöönotto- ja käytöstä poistotiedot ja väliaikaista käyttöä koskevat tiedot
• Käyttötarkoitus- ja hallintatiedot
• Käyttörajoitusta ja -kieltoa koskevat tiedot
• Kunnossapitoa koskevat tiedot ja siitä vastaavat tahot
• Anastustiedot

Henkilöluvasta saa rekisteriin tallentaa:

• Tiedon myönnetystä ja peruutetuista luvasta, siihen liittyvistä ehdoista ja erivapauksista, yksilöintitunnuksesta, voimassaoloajasta, muutoksista sekä tiedot evätyistä lupahakemuksista,
• Tiedon luvan myöntäjästä ja sen sijaintivaltiosta
• Luvan, kelpoisuuden, hyväksynnän tai pätevyyden hakemista ja käsittelyä koskevat tiedot, koulutus- ja kokemustiedot sekä tiedot kokeista ja arvioinneista
• Tiedon tarvittavasta kielitaidosta
• Terveydentilatiedot ja lääkärin- ja psykologin tarkastuksia koskevat tiedot
• Tiedon lupien, kelpoisuuksien, hyväksyntöjen ja pätevyyksiä vastaavien korttien, kirjojen ja todistusten myöntämisestä, peruuttamisesta, katoamisesta ja tuhoutumisesta
• Muut Euroopan unionin lainsäädännön ja kansainvälisten sopimuksien mukaan liikenteenviranomaisen rekistereihin kirjattavat tiedot.

Edellä mainituista tiedoista henkilön kasvokuva, jota käytetään tunnistamiseen digitaalisesti ja terveydentilatiedot ovat tietosuoja-asetuksen 9 artiklan mukaisia erityisiä henkilötietoryhmiä.

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Traficom saa tehtävien hoitamiseksi tietoja rekisteröidyltä itseltään. Lisäksi sillä on oikeus salassapitosäännösten estämättä saada viranomaisilta ja julkista tehtävää hoitavilta tehtäviensä hoitamiseksi välttämättömät tiedot. Tiedonsaantioikeus koskee myös rikosrekisteriä ja sakkorekisteriä.

Traficom saa myös tietoja liikenteen toiminnanharjoittajalupien ja henkilölupien hakijoilta ja haltijoilta, ilmoituksenvaraista toimintaa harjoittavilta, joiden on tehtävä laissa säädetty ilmoitus toiminnastaan Traficomille.

Tietoja kerätään vielä mm. seuraavilta tahoilta:

• Liikennevälineiden ja niiden moottoreiden valmistajalta ja maahantuojalta sekä näiden edustajilta
• Oppilaitokselta, kouluttajalta ja näytön vastaanottajalta
• Lääkäriltä ja psykologilta ja sairaanhoito- tai terveydenhuoltotoimintaa harjoittavalta yhteisöltä ja laitokselta
• Lupakirjan ja kortin valmistajalta ja käsittelijältä
• Suomen ja Venäjän välistä rautatieyhdysliikennettä harjoittavalta
• Rekisteröintitehtäviä suorittavalta, katsastustoiminnan harjoittajalta, yksittäishyväksyntöjä myöntävältä sekä muulta Liikenne- ja viestintäviraston sopimuskumppanilta
• Liikennevakuutuskeskukselta ja vakuutusyhtiöltä
• Laivanisännältä ja varustamolta.

Henkilötietojen säilytysaika

Rekisteriin merkityt tiedot poistetaan seuraavasti:

• Toiminnanharjoittajalupia koskevat tiedot 6 vuotta luvan peruuttamisesta tai luvan päättymisestä
• Liikennevälineeseen liittyvät henkilötiedot 10 vuoden kuluttua siitä, kun liikenneväline on lopullisesti poistettu rekisteristä
• Henkilölupia koskevat tiedot sen jälkeen, kun henkilötieto on tullut käyttötarkoitukseensa nähden tarpeettomaksi, kuitenkin viimeistään 10 vuoden kuluttua siitä, kun luvan voimassaolo on päättynyt
• Rautateiden kelpoisuustiedot 10 vuoden kuluttua luvan voimassaolon päättymisestä
• Merimiesten meripalvelu-, koulutus- ja pätevyystiedot 70 vuoden kuluttua tiedon rekisteröinnistä
• Henkilötiedot viimeistään 10 vuoden kuluttua henkilön kuolemasta, jollei tietoja ole jo muulla perusteella poistettu
• Rikoksia ja niihin liittyviä seuraamuksia koskevat tiedot heti kun ne ovat käyneet tarpeettomiksi tai viimeistään 10 vuoden kuluttua siitä, kun päätös on saanut lainvoiman
• Virheelliseksi todettu ja merkitty tieto 5 vuotta virheen havaitsemisesta, jos tiedon säilyttäminen on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän oikeuksien turvaamiseksi
• Rekisteröidylle asetettu toimintakielto tai muu Liikenne- ja viestintäviraston tai poliisin tekemää hallinnollista toimenpidettä koskeva tieto 10 vuoden kuluttua siitä, kun päätös on saanut lainvoiman
• Rekisteröidyn terveydentilaa koskevat tiedot, kun terveydentila- tieto on tullut käyttötarkoitukseensa nähden tarpeettomaksi.

Jos tieto on välttämätön Traficomin tehtävien hoitamiseksi, se voidaan jättää poistamatta rekisteristä.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Liikenneasioiden rekisteri on lähtökohtaisesti julkinen. Traficom luovuttaa julkisia tietoja yksityishenkilöiden, yritysten ja viranomaisten käyttöön, jos henkilön oikeudesta kieltää tietojensa luovuttaminen ei muuta johdu.

Liikenneasioiden rekisteristä tietoja luovutetaan seuraaviin käyttötarkoituksiin:

Liikennepalvelulain 226 §:n mukaan liikenneasioiden rekisterin seuraavat tiedot ovat yleisesti käsiteltävissä ja saatavissa tietojärjestelmään luodun yhteyden kautta koneluettavassa ja helposti muokattavassa vakiotietomuodossa:

• Tieto voimassa olevasta toiminnanharjoittajaluvasta, luvan yksilöintitunnuksesta, luvanhaltijan nimestä ja toiminnanharjoittamiseen liittyvistä yhteystiedoista sekä ilmoituksenvaraisen toiminnan osalta vastaavat tiedot.
• Rekisteriin tallennetut tiedot siten, että tiedot eivät ole yhdistettävissä luonnollisiin henkilöihin ja oikeushenkilöihin.

Liikennepalvelulain 227 §:n mukaan jokaisella on oikeus yksittäi luovutuksena saada seuraavat tiedot:

• Yritys- ja yhteisötunnuksen perusteella tiedot toiminnanharjoittajaluvan haltijan nimestä ja yhteystiedoista, lupatunnuksesta sekä luvan voimassaoloajasta ja vastuuhenkilön nimestä sekä etu- ja sukunimen, henkilötunnuksen tai muun yksilöivän tunnuksen perusteella tiedot luonnollisena henkilönä olevan toiminnanharjoittajan nimestä ja työyhteystiedosta
• Rekisteritunnuksen tai valmistenumeron perusteella tiedot liikenne- välineestä sekä omistajan ja haltijan, käyttäjän sekä edustajan nimestä sekä osoite- ja muista yhteystiedoista ja katsastustiedoista sekä verotuksesta, kiinnityksestä sekä vakuutuksen ottajasta
• Etu- ja sukunimen, henkilötunnuksen tai muun yksilöivän tunnuksen perusteella tiedot henkilön oikeudesta kuljettaa liikennevälinettä tai muusta henkilöluvan voimassaolosta ja laajuudesta.

Kyseisiä tietoja luovutetaan muun muassa julkisista yksittäiskysely -palveluista.

Liikennepalvelulain 228 §:n mukaan Traficom saa luovuttaa edellä kuvattuja 227 §:n tarkoitettuja luovutettavia tietoja liikenteeseen liittyviin tarkoituksiin myös muutoin kuin yksittäisluovutuksina seuraavasti:

• Liikennepalveluiden tarjoamiseen ja kehittämiseen
• Mielipide- ja markkinatutkimukseen, suoramarkkinointiin sekä muuhun osoite- ja tietopalveluun
• Asiakasrekisterin yhteystietojen ja liikennevälineen tietojen päivittämiseen
• Muihin vastaaviin rekisterinpitäjän hyväksymiin tarkoituksiin.

Liikennepalvelulain 229 §:n mukaan Traficom saa luovuttaa yksittäis- tapauksissa tietoja sellaista kehittämis- ja innovaatiotoimintaa varten, joiden tavoitteena on liikennejärjestelmän ja -palveluiden kehittäminen ja tarjoaminen, liikennejärjestelmää ja -palveluita koskevan tietoisuuden ja ymmärryksen lisääminen sekä liikenneturvallisuuden parantaminen ja liikenteen ympäristötavoitteiden saavuttamisen edistäminen.

Liikennepalvelulain 230 §:n nojalla Traficom saa salassapitosäännösten estämättä luovuttaa rekisteristä toiselle viranomaiselle tai muulle laissa säädettyä tehtävää hoitavalle sellaisia tietoja, jotka ovat välttämättömiä sille laissa säädettyjen tehtävien hoitamiseksi.

Traficomin nettisivuilla voidaan julkaista henkilölistauksia tietyistä ammatin- tai toiminnanharjoittajista, jos julkaisemiseen on laissa säädetty velvoite.

Tietoja voidaan luovuttaa myös journalistiseen tarkoitukseen, historialliseen tai tieteelliseen tutkimukseen taikka muuhun näihin verrattavaan tarkoitukseen, mikäli liikennepalvelulain, Euroopan unionin yleisen tietosuoja-asetuksen, tietosuojalain ja viranomaisen toiminaan julkisuudesta annetun lain edellytykset tietojen luovuttamiselle ovat olemassa.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Traficom on sopimuksin siirtänyt ajo-oikeuksien myöntämiseen, asiakaspalveluun, rekisteröintiin sekä asiakirjojen sähköiseen muotoon muuttamiseen liittyviä tehtäviä yksityisille toimijoille.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Traficomilla on oikeus luovuttaa rekisteristä tietoja ulkomaan viranomaisille tai viranomaistehtäviä varten, jos luovuttaminen perustuu lakiin, Euroopan yhteisön lainsäädäntöön tai Suomea sitovaan kansainvälisen sopimuksen velvoitteeseen. Jos henkilötietoja siirretään ETA-alueen ulkopuolelle, Euroopan unionin yleisen tietosuoja-asetuksen V luvun edellytysten on täytyttävä. Liikenneasioiden rekisteristä tietoja saanut muu viranomainen saa luovuttaa tietoja edelleen samojen edellytysten täyttyessä.

Automaattinen päätöksenteko ja profilointi

Traficom käyttää automaattista päätöksentekoa. Tämä tarkoittaa sitä, että päätös voidaan tehdä kokonaan tai osittain automaattisesti. Traficom ei käytä automaattista profilointia. Lisätietoa automaattisista ratkaisuista Traficomissa.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Vastustamisoikeus

Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan mukaan oikeus kieltää tietojensa käyttö suoramarkkinointiin.

Lisäksi luonnollisella henkilöllä on liikenteen palveluista annetun lain 231 §:n nojalla oikeus kieltää henkilötietojensa luovuttaminen avoimen rajapinnan kautta sekä liikenteeseen liittyviin tarkoituksiin ja kehittämis- ja innovaatiotoimintaan. Lisäksi luonnollisella henkilöllä on oikeus kieltää yhteystietojensa luovuttaminen yksittäisluovutuksena. Oikeushenkilöllä on oikeus kieltää tietojensa luovuttaminen kehitys- ja innovaatiotoimintaan.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

25.8.2025 TRAFICOM/348766/00.04.00.03/2024

Tietojen käsittelyn peruste ja tarkoitus

Traficomilla on digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 5 §:ssä säädetty velvollisuus tarjota jokaiselle mahdollisuus toimittaa asiointitarpeeseensa liittyvät sähköiset viestit ja asiakirjat käyttäen digitaalisia palveluita tai muita sähköisiä tiedonsiirtomenetelmiä. Liikenteen Oma asiointi -palvelun tarkoituksena on täyttää edellä mainittu laissa säädetty velvoite digitaalisten palveluiden tarjoamisesta.

Oma asiointi -palvelu toimii portaalipalveluna, joka tarjoaa yhtenäisen asiointikonseptin ja tukipalvelut liikenteen digitaalisille palveluille. Portaalista löydät mm. ajoneuvojesi-, veneittesi- ja ajokorttisi tiedot sekä voit myös mm. luoda varmenteen myyntitilanteessa tai muuttaa ajoneuvoveron maksuerää. Oma asiointi -palvelun kautta käytettävien asiointipalveluiden sisältö perustuu palvelukohtaiseen sääntelyyn, kuten laki liikenteen palveluista (320/2017), ajoneuvolaki (1090/2002), valtioneuvoston asetus ajoneuvojen rekisteröinnistä (893/2007), vesiliikennelaki (782/2019) ja ajoneuvoverolaki (1281/2003).

Oma asiointi -palvelussa voi asioida henkilöasiakkaana tai organisaation edustajana tunnistautuneena käyttäjänä. Tunnistus perustuu digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 6 §:n 1 momenttiin. Traficom edellyttää asiakkaan tunnistusta, koska asiakas pääsee palvelussa katsomaan omia tietojaan ja palvelussa voi tehdä oikeustoimia henkilöasiakkaan asioissa tai valtuutuksella organisaation puolesta. Lisäksi tunnistaminen on julkisten yksittäiskyselypalveluiden osalta tarpeen tietojen luovutuksen yksittäiskyselyluonnetta koskevan vaatimuksen täyttämiseksi ja palvelun väärinkäytön estämiseksi.

Oma asiointi -palvelun käytöstä kerätään lokitietoja tiedonhallintalain (906/2019) 17 §:n mukaisesti, tietojärjestelmissä olevien tietojen käytön ja luovutuksen seurantaan sekä tietojärjestelmän teknisten virheiden selvittämiseksi. Oma asiointi -palveluun liittyvien henkilötietojen käsittelytoimien oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c-alakohta eli lakisäteisen velvoitteen noudattaminen.

Oma asiointi -palvelu hyödyntää lisäksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) 5 §:n mukaisesti Digi- ja väestötietoviraston (DVV) ja Valtiokonttorin tuottamia Suomi.fi-palveluja. Valtiokonttori tuottaa Suomi.fi-maksut verkkomaksamispalvelua, josta löydät lisätietoa Valtiokonttorin verkkosivuilta ja DVV:n verkkosivuilta. DVV tuottaa Suomi.fi-tunnistus, Suomi.fi-valtuudet ja Suomi.fi-viestit palvelut, josta lisätietoa saat DVV:n verkkosivuiltaja Suomi.fi-verkkosivuilta. DVV:n Suomi.fi-palveluita koskevat tietosuojaselosteet löytyvät Suomi.fi-verkkosivuilta.

Tietosisältö

Käsiteltävä tietoaineisto

Oma asiointi -palveluun tunnistauduttaessa DVV:n ylläpitämästä Suomi.fi- tunnistus -palvelusta siirtyy Oma asiointi -palveluun tietoja, joista järjestelmä käsittelee henkilötunnusta. Asioitaessa organisaation puolesta, käsitellään lisäksi tiedot valtuudesta asioida organisaation puolesta. Ulkomaalaisen henkilön asioidessa organisaation puolesta Finnish Authenticator-sovelluksella, käsiteltäviä tietoja ovat ulkomaalaisen tunniste (UID), etu- ja sukunimi, syntymäaika sekä henkilölle myönnetyt valtuudet asioida yrityksen puolesta. Ulkomaalaisen asioidessa eIDAS tunnistuksella käsiteltäviä tietoja ovat ulkomaalaisen tunniste (PID), etu- ja sukunimi sekä syntymä- aika.

Käsiteltävät henkilötiedot määräytyvät asiakkaan käyttämän asiointipalvelun perusteella. Oma asiointi -palvelua käytettäessä käsitellään muun muassa seuraavia henkilötietoja:

• Traficom asiakasnumero
• liikennevälineen tunniste, kuten ajoneuvon tai vesikulkuneuvon rekisteritunnus
• liikennevälineen omistaja- ja haltijatiedot sekä tekniset tiedot
• ajo-oikeustiedot
• sähköisen varmenteen tiedot
• ajoneuvoveroa koskevat tiedot
• ammattipätevyystiedot
• maksutiedot
• laskutustiedot (koskevat vain elinkeinonharjoittajia ja organisaatioita)
• organisaation tai elinkeinonharjoittajan yhteyshenkilön tiedot (etu- ja sukunimi, puhelinnumero ja sähköpostiosoite)
• sähköiset viestit (mm. ajoneuvoverotuksesta, ajokorteista ja vesikulkuneuvoista)
• palvelussa tehdystä asiointitapahtumasta syntyvä vahvistus/kuitti
• asiakkaan palvelun kautta lähettämiin hakemuksiin sisältyvät tiedot
• asiakkaan palvelun kautta lähettämät yhteydenotot
• tiedonluovutuskieltojen tiedot
• lokitiedot

Oma asiointi -palvelun Omat tiedot -osiossa näytetään asiakkaan etu- ja sukunimi, osoite, asiointikieli, ajoneuvoveron asiakastunnus ja sähköiset yhteystiedot. Oma asiointi -palvelussa asiakas näkee myös voimassa olevat tiedonluovutuskiellot sekä voi lisätä ja poistaa kieltoja.

Asiakas voi itse ilmoittaa, päivittää ja poistaa omat sähköiset yhteystietonsa (sähköpostiosoite ja puhelinnumero) sekä asiointikielensä Omat tiedot -osiossa.

Organisaation puolesta-asioija voi ilmoittaa, päivittää ja poistaa organisaation yhteyshenkilön tiedot Oma asiointi -palvelun Omat tiedot -osiossa. Toimenpiteen organisaation osalta voi tehdä vain "liikenteen toimijoiden tietojen ja lupien" ylläpitovaltuudella tai asemavaltuuden perusteella.

Oma asiointi -palvelussa käytetään palvelun toiminnan kannalta välttämättömiä evästeitä palvelun teknisen toimivuuden vaatimalla tavalla kirjautuneen asiakkaan istunnon hallintaan.

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Tiedot kerätään Oma asiointi -palvelua käyttäviltä luonnollisilta henkilöiltä (kyseessä voi olla henkilön syöttämät omat tiedot tai organisaation edustajan syöttämät tiedot itsestään tai organisaation yhteyshenkilöstä tai Oma asiointi - palvelun käytöstä syntyvät tiedot, kuten lokitiedot).

DVV:n ylläpitämien Suomi.fi-palvelujen osalta Traficom saa tietoja DVV:n kautta.

Henkilötietojen säilytysaika

Yksittäisessä Oma asiointi -palvelussa käsiteltävät henkilötiedot ovat liikenneasioiden rekisterin tietoja. Henkilötietojen säilytysaika on kuvattu Liikenneasioiden rekisterin tietosuojaselosteessa.

Oma asiointi -palvelussa käytettävät evästeet tallennetaan asiakkaan päätelaitteen selaimeen. Istuntokohtaiset evästeet poistuvat istunnon päätyttyä. Muut evästeet säilyvät asiakkaan päätelaitteella, kunnes asiakas poistaa ne (tai on asettanut selainasetuksissa evästeet poistettavaksi) tai kirjautuu uudelleen Oma asiointi -palveluun, jolloin eväste päivittyy.

Oma asiointi -palvelua koskevia lokitietoja säilytetään enintään kuluva vuosi ja sen jälkeiset 7 vuotta.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Oma asiointi -palvelun yhteydessä käsiteltäviä henkilötietoja voidaan luovuttaa ainoastaan voimassa olevan lainsäädännön velvoittamissa ja sallimissa rajoissa.

Paytrail Oyj (2122839-7), maksunvälityspalvelun toteuttaminen ja maksu- palvelun tarjoaminen. Asiointitapahtuman aikana asiakas maksaa palvelun hinnan Suomi.fi -maksut -palvelussa, jossa hän valitsee itselleen sopivan maksutavan. Paytrail Oyj ohjaa asiakkaan hänen valitsemaansa maksutapaan. Maksutapahtuman suorituksen jälkeen maksupalvelu välittää onnistuneen maksutiedon Paytrail Oyj:lle, joka puolestaan välittää sen Traficomille.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Valtion tieto- ja viestintätekniikkakeskus Valtori (Y-tunnus: 2574261-7).

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Traficomin tai sen henkilötietojen käsittelijöiden tai alikäsittelijöiden toimesta henkilötietoja ei siirretä EU/ETA-valtioiden ulkopuolelle.

Oma asiointi -palvelu on selainkäyttöinen ja siihen voi kirjautua mistä sijainnista tahansa, jos palvelun käyttäjä pystyy tunnistautumaan.

Automaattinen päätöksenteko ja profilointi

Tietoja ei käytetä profilointiin. Tietyissä Oma asiointi -palveluissa asiakas voi itse tehdä toimenpiteitä, jotka tallentuvat Traficomin ylläpitämään liikenneasioiden rekisteriin.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto 
PL 800, 00531 Helsinki 
tietosuoja@om.fi 
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Jos näitä henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy näihin henkilötietoihin.

Tarkastuspyyntö tulee osoittaa rekisterinpitäjälle. Rekisterinpitäjän yhteys- tiedot löytyvät tästä tietosuojaselosteesta. Ohjeet tarkastuspyynnön tekemiseksi löytyvät Traficomin verkkosivuilta.

Osa Oma asiointi -palvelun yhteydessä käsiteltävistä henkilötiedoista näytetään asiakkaalle itselleen Omat tiedot -osiossa.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Rekisteröity voi itse päivittää tai poistaa ilmoittamansa sähköiset yhteystietonsa (puhelinnumero, sähköpostiosoite) sekä päivittää asiointikielen Oma asiointi - palvelun Omat tiedot -osiossa.

Organisaation puolesta-asioija voi päivittää tai poistaa organisaation ilmoittamat yhteyshenkilön tiedot Oma asiointi -palvelun Omat tiedot -osiossa.

Toimenpiteen organisaation osalta voi tehdä vain "liikenteen toimijoiden tietojen ja lupien" -ylläpitovaltuudella tai asemavaltuuden perusteella.

Vastustamisoikeus

Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten. Lisäksi rekisteröidyllä on liikenteen palveluista annetun lain 231 §:n nojalla oikeus kieltää henkilötietojensa luovuttaminen avoimen rajapinnan kautta sekä liikenteeseen liittyviin tarkoituksiin ja kehittämis- ja innovaatiotoimintaan. Lisäksi luonnollisella henkilöllä on oikeus kieltää yhteystietojensa luovuttaminen yksittäisluovutuksena. Oikeushenkilöllä on oikeus kieltää tietojensa luovuttaminen kehitys- ja innovaatiotoimintaan.

Oma asiointi -palvelussa asiakas näkee voimassa olevat tiedonluovutuskiellot sekä voi lisätä ja poistaa kieltoja.

Oikeus siirtää tiedot järjestelmästä toiseen

Oikeus ei sovellu kyseessä oleviin käsittelytoimiin, koska henkilötietoja ei käsitellä suostumuksen tai sopimuksen perusteella

Oikeus tietojen poistamiseen

Oikeus ei sovellu kyseessä oleviin käsittelytoimiin, koska henkilötietoja ei käsitellä suostumuksen eikä sopimuksen perusteella.

Oma asiointi -palvelussa voi kuitenkin poistaa vapaaehtoisesti ilmoitetut sähköiset yhteystiedot (henkilöasiakas ja organisaation puolesta-asioija).

12.5.2025 TRAFICOM/205069/00.02.08/2025

Tietojen käsittelyn peruste ja tarkoitus

Liikenne- ja viestintävirasto käsittelee postilain perusteella perillesaamattomia kirjelähetyksiä (Postilaki 415/2011 luku 10).

Tietosisältö

Käsiteltävä tietoaineisto

Kirjelähetyksen lähettäjän/vastaanottajan/tiedustelijan:

• Etunimet
• Sukunimi
• Postiosoite
• Postinumero
• Postitoimipaikka
• Maa
• Puhelinnumero
• Sähköpostiosoite

Lähetyksen tiedot:

• Käsittelypvm
• Käsittelijä
• Asianumero
• Palautusperuste
• Seurantakoodi
• Sisältö
• Mitä sisällöstä poistettu
• Mitä sisällöstä takavarikoitu
• Liitetiedosto (esim. valokuva lähetyksestä)
• Postituspaikka
• Postituspäivämäärä
• Arvolaji
• Valuutta
• Rahasumma
• Vakuutusmäärä
• Ennakkomäärä
• Lisätietoja

Jälleenlähetyksen vastaanottajan tiedot:

• Etunimet
• Sukunimi
• Postiosoite
• Postinumero
• Postitoimipaikka
• Maa
• Puhelinnumero
• Sähköpostiosoite

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Rekisteriin tallennettavat tiedot saadaan lähettäjän/vastaanottajanperillesaamattomasta kirjelähetyksestä sekä seuraavista tietolähteistä:

• YTJ (PRH:n yritys- ja yhteisötietojärjestelmä)
• VTJ (VRK:n väestötietojärjestelmä)
• OTS (Postin osoitetietojärjestelmä)
• Numerotiedustelupalvelut
• Kirjelähetysten lähettäjien tai vastaanottajien omat verkkosivut

Henkilötietojen säilytysaika

10 vuotta

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Tietoja luovutetaan muille viranomaisille viranomaiskäyttöön laissa säädetyin edellytyksin taikka mikäli tietojen saantioikeudesta on erikseen säädetty.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Tietoja ei siirretä EU/ETA-valtioiden ulkopuolelle.

Automaattinen päätöksenteko ja profilointi

Tietojen käsittely ei sisällä automaattista päätöksentekoa tai profilointia.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyn oikeus saada pääsy omiin tietoihin voidaan toteuttaa vain silloin, kun rekisteröity voidaan annetuista vastauksista tunnistaa yksiselitteisesti.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyn oikeus tietojen oikaisuun voidaan toteuttaa vain silloin, kun rekisteröity voidaan annetuista vastauksista tunnistaa yksiselitteisesti.

Vastustamisoikeus

Tilanteissa, joissa henkilötietojen käsittely perustuu yleiseen etuun, rekisterinpitäjän julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä.

Jos rekisteröity käyttää vastustamisoikeuttaan, on rekisterinpitäjän lopetettava henkilötietojen käsittely, ellei rekisterinpitäjä voi osoittaa, että käsittelyyn on tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet ja vapaudet tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus vastustaa käsittelyä ilman eri perusteluja, jos tietoja käsitellään suoramarkkinointia varten.

Tilanteissa, joissa tietoja käsitellään tilastollisia tarkoituksia tai tutkimustarkoituksia varten, rekisteröity voi vastustaa tietojen käsittelyä henkilökohtaiseen tilanteeseensa liittyvällä perusteella, jolloin rekisterinpitäjän on lopetettava tietojen käsittely, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Tietojen rajoittamista koskeva vaatimus voidaan käsitellä, mikäli rekisteröity voidaan tunnistaa annetuista vastauksista yksiselitteisesti.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

7.6.2023 TRAFICOM/552377/00.04.00.03/2025

Tietojen käsittelyn peruste ja tarkoitus

Henkilötietoja käytetään sähköisen viestinnän palveluista annetun lain (917/2014, myöhemmin TYK) määräämien Liikenne- ja viestintäviraston hallintotehtävien hoitamiseen.

Tämän rekisterin käyttö koskee seuraavia toimia:

• Radiolupien myöntäminen ja ylläpito (TYK 40 § ja 45 §)
• Radioviestinnän pätevyystutkintotietojen ylläpito ja todistusten myöntäminen (TYK 265 § ja 266 §)
• Verkko- ja ohjelmistolupien myöntäminen ja ylläpito (TYK 9 §, 25 § ja 36 §)
• Radiohäiriöiden selvittäminen ja taajuuksien käytön valvonta (TYK 328 §)
• Radiohallinnollisten maksujen laskutus (TYK 285 - 288 §)

Tietosisältö

Käsiteltävä tietoaineisto

Rekisteri sisältää radioluvan haltijoiden, radiopätevyystutkintoihin osallistuneiden, radiopätevyys- ja kelpoisuustodistusten haltijoiden sekä maksullisia painotuotteita tai maksullisia palveluita tilanneiden henkilöiden seuraavat tiedot:

• Asiakasnumero
• Nimi
• Henkilötunnus
• Osoite
• Puhelinnumero
• Sähköpostiosoite
• Laskutustiedot

Radiopätevyys- ja kelpoisuustodistusten haltijoista lisäksi:

• Allekirjoitusnäyte
• Valokuva

Radioluvan haltijoista lisäksi:

• Radiolupien voimassaolotiedot
• Radiolupien tekniset tiedot sisältäen radiolähettimen sijaintitiedot

Toimiluvan haltijoista lisäksi:

• Toimilupatiedot

Rekisterissä voi olla alaikäisten henkilöiden sekä turvakiellossa olevien henkilöiden tietoja.

Rekisteri ei sisällä julkisuuslain nojalla salassapidettäviä henkilötietoja.

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Rekisterin tietolähteinä ovat asiakkailta saapuvat asiakirjat sekä Väestötietorekisterikeskuksen väestötietojärjestelmä.

Henkilötietojen säilytysaika

Tietojen säilytysajat perustuvat voimassa oleviin arkistoinnin ja tiedonohjaussuunnitelman periaatteisiin.

Tietoja säilytetään niin kauan kuin niitä Liikenne- ja viestintäviraston lakisääteisten hallintotehtävien hoitaminen vaatii.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Merenkulun radiolupiin ja pätevyystodistuksiin liittyviä tietoja luovutetaan Liikenne- ja viestintäviraston PURKKI järjestelmään viranomaiskäyttöön suojatun koneesta koneeseen (M2M) yhteyden välityksellä. Tietoja käytetään merenkulun radiopätevyystodistusten voimassaolon tarkistamista varten.

Hätälähettimiin (PLB ja EPIRB) liittyviä tietoja luovutetaan Merivartioston alueellisten meripelastuskeskusten viranomaiskäyttöön Liikenne- ja viestintäviraston palvelimella sijaitsevalla vahvaa tunnistautumista vaativalla suojatulla verkkosivulla. Tietoja käytetään meripelastustilanteissa selvitettäessä hätälähetysten lähdettä.

Laskuihin liittyviä henkilötietoja luovutetaan laskutuksen yhteydessä Valtion talous- ja henkilöstöhallinnon palvelukeskukselle (Palkeet) Kieku-järjestelmän laskutuksen asiakasrekisteriin suojatun koneesta koneeseen (M2M) yhteyden välityksellä. Tietoja käytetään laskutukseen liittyvissä tehtävissä, kuten laskujen lähettäminen ja perintätoimet.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Radioamatööritutkintoihin liittyvien tietojen osalta henkilörekisterin käsittelijänä toimii Suomen radioamatööriliitto ry, 0202266-8.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Tietoja ei luovuteta EU:n tai ETA:n ulkopuolelle.

Automaattinen päätöksenteko ja profilointi

Henkilötietojen käsittelyssä sovelletaan automaattista päätöksentekoa ainoastaan haettaessa heti voimaan tulevaa radiolupaa Liikenne- ja viestintäviraston sähköisessä radiolupapalvelussa. Muilta osin automaattista päätöksentekoa tai profilointia ei käytetä.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Vastustamisoikeus

Tilanteissa, joissa henkilötietojen käsittely perustuu yleiseen etuun, rekisterinpitäjän julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä.

Tapauksissa, joissa henkilötietoja käsitellään viranomaisen lakisääteisen velvoitteen suorittamiseksi ja jos rekisterinpitäjä voi osoittaa, että käsittelyyn on tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet, rekisteröidyllä ei ole oikeutta vastustaa tietojensa käsittelyä.

Rekisteröidyllä on oikeus vastustaa käsittelyä ilman eri perusteluja, jos tietoja käsitellään suoramarkkinointia varten.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Tilanteessa, joissa tietoja käsitellään tilastollisia- tai tutkimustarkoituksia vasten, rekisteröity voi vastustaa tietojen käsittelyä henkilö- kohtaiseen tilanteeseensa liittyvällä perusteella, jolloin rekisterinpitäjän on lopetettava tietojen käsittely, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Traficomissa henkilötietoja käsitellään useimmiten viranomaisen lakisääteisen tehtävän suorittamiseksi eikä rekisteröidyllä ole oikeutta tällaisissa tilanteissa saada tietojaan siirretyksi järjestelmästä toiseen.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

Traficomissa henkilötietoja käsitellään useimmiten viranomaisen lakisääteisen tehtävän suorittamiseksi eikä rekisteröidyllä ole oikeutta tällaisissa tilanteissa saada tietojaan poistetuksi.

Oikeus peruuttaa suostumus

Siltä osin, kun henkilötietoja käsitellään rekisteröidyn antaman suostumuksen perusteella, rekisteröity voi peruuttaa suostumuksensa milloin tahansa ilmoittamalla tästä rekisterinpitäjälle. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumuksen perusteella suoritetun käsittelyn lainmukaisuuteen.

1.9.2022 421113/00.04.00.03/2022

Tietojen käsittelyn peruste ja tarkoitus

Tietojenkäsittelyn tarkoituksena on televerkon numeroiden ja tunnusten myöntäminen ja ylläpito sekä numeroista ja tunnuksista laskuttaminen. Laskutusta varten tarvittavat tiedot siirretään Valtorin kautta Palkeisiin, joka tarkistaa aineiston. Rekisteri sisältää raportteja myönnetyistä numeroista ja käyttöoikeuksien haltijoista.

Tietojenkäsittelyn perusteena on Liikenne- ja viestintävirastolle säädetty lakisääteinen tehtävä (laki sähköisen viestinnän palveluista 304.1 §:n 3 kohta).

Tietosisältö

Käsiteltävä tietoaineisto

Asiakkaat (teleyritykset, palveluntarjoajat), jotka pääsääntöisesti yrityksiä, mutta myös yksityisten henkilöiden mahdollista hakea SMS- numeroiden käyttöoikeuksia.

Rekisterissä seuraavat tiedot: nimi, postitus- ja laskutusosoite, laskuviite (usein henkilön nimi), puhelinnumero, sähköpostiosoite, y- tunnus/henkilötunnus, yhteyshenkilö (yritykset).

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Asiakkaan tai asiakkaan edustajan (teleyritys, palveluntarjoaja) lähettämä hakemus, joka lähetetään sähköpostilla tai Traficomin nettisivuilla olevalla lomakkeella.

Henkilötietojen säilytysaika

Numerointihakemukset ja -päätökset: TIHAssa; säilytysaika 20 vuotta (TVNUM) ja 10 vuotta (SMS)

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Rekisteristä ei säännönmukaisia henkilötietojen luovutuksia.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Valtion talous- ja henkilöstöhallinnon palvelukeskus, 2272612-8

Valtion tieto- ja viestintätekniikkakeskus Valtori, 2574261-7

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Ei säännönmukaisia tietojen siirtoja EU:n tai ETA:n ulkopuolelle.

Automaattinen päätöksenteko ja profilointi

Tietoja ei käsitellä automaattisesti eikä profilointia tehdä.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Vastustamisoikeus

Tilanteissa, joissa henkilötietojen käsittely perustuu yleiseen etuun, rekisterinpitäjän julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä.

Jos rekisteröity käyttää vastustamisoikeuttaan, on rekisterinpitäjän lopetettava henkilötietojen käsittely, ellei rekisterinpitäjä voi osoittaa, että käsittelyyn on tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet ja vapaudet tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus vastustaa käsittelyä ilman eri perusteluja, jos tietoja käsitellään suoramarkkinointia varten.

Tilanteissa, joissa tietoja käsitellään tilastollisia tarkoituksia tai tutkimustarkoituksia varten, rekisteröity voi vastustaa tietojen käsittelyä henkilökohtaiseen tilanteeseensa liittyvällä perusteella, jolloin rekisterinpitäjän on lopetettava tietojen käsittely, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

Oikeus peruuttaa suostumus

Siltä osin, kun henkilötietoja käsitellään rekisteröidyn antaman suostumuksen perusteella, rekisteröity voi peruuttaa suostumuksensa milloin tahansa ilmoittamalla tästä rekisterinpitäjälle. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumuksen perusteella suoritetun käsittelyn lainmukaisuuteen.

1.7.2021 TRAFICOM/325886/00.04.00.03/2021

Tietojen käsittelyn peruste ja tarkoitus

Verkkoinfrastruktuurin yhteisrakentamisesta ja -käytöstä annetun lain (276/2016) (jäljempänä yhteisrakentamislaki 5 §:ssä säädetään keskitetystä tietopisteestä eli verkkotietopisteestä. Yhteisrakentamislain mukaan Traficom ylläpitää verkkotietopiste.fi -palvelua ja Verkkotietopisteen rekisteriä yhteisrakentamisen ja -käytön helpottamiseksi ja edistämiseksi sekä Euroopan Unionista tulevien velvollisuuksien täyttämiseksi.

Sähköisen viestinnän palveluista annetun lain (917/2014) (jäljempänä viestintäpalvelulaki) 229 §:n 5 mom. säädetään valtion viranomaisten, kunnallisten viranomaisten ja valtion liikelaitoksien velvollisuudesta toimittaa etukäteen saataville ehdot mahdollisuudesta sijoittaa pienalueen langattomana liityntäpisteenä toimiva matkaviestinverkon tukiasema kiinteistölle, rakennukseen tai rakennelmaan. Kyseiset ehdot on asetettava saataville yhteisrakentamis- lain mukaisessa keskitetyssä tietopisteessä eli Verkkotietopisteessä.

Kiinteän laajakaistan rakentamisen tuesta annetun lain (1262/2020) 4 a §:n mukaan Liikenne- ja viestintäviraston tulee kartoittaa tukikelvottomat alueet, joiden selvittämisen yhtenä osana toimijat ilmoittavat liityntäpistetietonsa Verkkotietopisteeseen.

Energiaviraston määräyksen 3019/002/2021 mukaisesti jakeluverkonhaltijoiden on toimitettava määräyksen mukaiset tiedot Energiaviraston ilmoittamalla tavalla. Vuodesta 2022 alkaen kehittämissuunnitelmien tiedot on kerätty uuteen VERTTI valvontatietojärjestelmään sekä kartta toiminnan laatuvaatimukset täyttävistä alueista on toimitettu Verkkotietopisteeseen.

Traficom käsittelee rekisterissä olevia tietoja yleisen tietosuoja-asetuksen (EU) 2016/679 6 artiklan 1 kohdan c alakohdan perusteella lakisääteisen velvoitteen noudattamiseksi.

Tietosisältö

Käsiteltävä tietoaineisto

Verkkotietopisterekisteri

Verkkotietopisterekisteri sisältää luonnollisen henkilöiden osalta tiedot:

• etunimi
• sukunimi
• yhteystiedot (puhelinnumero ja sähköpostiosoite)

Verkkotietopisterekisteri sisältää oikeushenkilöiden (yritykset ja organisaatiot) osalta tiedot:

• nimi
• y-tunnus
• yhteystiedot (postiosoite, puhelinnumero ja sähköpostiosoite)
• vastuuhenkilötiedot (etunimi, sukunimi, puhelinnumero ja sähköpostiosoite)
• vastuuhenkilön henkilötunnus

Verkkotietopisteen arkisto (lokirekisteri)

Verkkotietopisteen arkisto eli lokirekisteri sisältää luonnollisten henkilöiden osalta tiedot:

• etunimi
• sukunimi
• henkilötunnus

Verkkotietopisteen arkisto eli lokirekisteri sisältää oikeushenkilöiden (yritykset ja organisaatiot) osalta tiedot:

• nimi
• yhteystiedot (sähköpostiosoite)

Verkkotietopisteen asiakaspalveluun tulevat yhteydenotot

• nimi
• yhteystiedot (postiosoite, puhelinnumero, sähköpostiosoite)
• mahdolliset muut puhelun tai sähköpostin yhteydessä jaetut henkilötiedoiksi luokiteltavat tiedot kuten organisaatio, jota henkilö edustaa

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Tiedot saadaan suoraan luonnollisilta henkilöiltä itseltään henkilön ottaessa yhteyttä asiakaspalveluun taikka Verkkotietopisteeseen kirjauduttaessa Suomi.fi -tunnistautumista käyttäen riippumatta siitä kirjaudutaanko rekisteriin omissa nimissä vai oikeushenkilön edustajana ja nämä tiedot tallentuvat lokirekisteriin.

Oikeushenkilöiden osalta tietoja saadaan myös oikeushenkilöiden nimeämien käyttäjien/edustajien toimittaessa Verkkotietopisteeseen sovellettavien säädösten edellyttämät tiedot.

Henkilötietojen säilytysaika

Sekä verkkotietopisterekisterin että lokirekisterin tiedot säilytetään 5 vuotta viraston tiedonohjaussuunnitelman mukaisesti.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Verkkotietopisterekisteriin tietoja syöttäneistä tahoista luovutetaan henkilötietoina oikeushenkilöiden ilmoittama yhteystieto (sähköposti ja muut vapaaehtoiset yhteystiedot) ainoastaan yhteisrakentamislain 3 §:n, 4 §:n ja 7 §:n mukaisten yhteydenottojen ja pyyntöjen välittämiseksi. Henkilötiedon luovuttamisesta ilmoitetaan rekisteröidylle Verkkotietopistettä koskevassa käyttöohjeessa. Muilta osin henkilötietoja ei luovuteta. Rekisteriin sovelletaan viranomaisen toiminnan julkisuudesta annettua lakia (621/1999) (jäljempänä julkisuuslaki).

Lokirekisteriin sovelletaan julkisuuslakia sillä rajoituksella, että rekisteristä ei luovuteta henkilötietoja muille kuin tiedon kohteelle itselleen (peruste salassa pidettävyydelle julkisuuslain 24 §:n 7 kohta).

Henkilötietojen käsittely rekisterinpitäjän lukuun

Verkkotietopisterekisterin ja lokirekisterin tietoja luovutetaan rekisterin ylläpitoa ja järjestelmäkehitystä sekä asiakaspalvelua varten ja niitä käsittelee Sitowise Oy (y-tunnus 2335445-0), Suomen Erillisverkot Oy (1552436-8) Johtotieto Oy (0875145-8) sekä Repoflare Oy (3496739-1) Traficomin ja Sitowise Oy:n sekä Suomen Erillisverkot Oy:n välisen sopimuksen mukaisesti rekisterinpitäjän toimeksiannosta.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU/ETA -valtioiden ulkopuolelle.

Automaattinen päätöksenteko ja profilointi

Tietoja ei käytetä profilointiin eikä henkilötietojen käsittelyyn liity automaattista päätöksentekoa.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Vastustamisoikeus

Tilanteissa, joissa henkilötietojen käsittely perustuu yleiseen etuun, rekisterinpitäjän julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä.

Jos rekisteröity käyttää vastustamisoikeuttaan, on rekisterinpitäjän lopetettava henkilötietojen käsittely, ellei rekisterinpitäjä voi osoittaa, että käsittelyyn on tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet ja vapaudet tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus vastustaa käsittelyä ilman eri perusteluja, jos tietoja käsitellään suoramarkkinointia varten.

Tilanteissa, joissa tietoja käsitellään tilastollisia tarkoituksia tai tutkimustarkoituksia varten, rekisteröity voi vastustaa tietojen käsittelyä henkilökohtaiseen tilanteeseensa liittyvällä perusteella, jolloin rekisterinpitäjän on lopetettava tietojen käsittely, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

Oikeus peruuttaa suostumus

Siltä osin, kun henkilötietoja käsitellään rekisteröidyn antaman suostumuksen perusteella, rekisteröity voi peruuttaa suostumuksensa milloin tahansa ilmoittamalla tästä rekisterinpitäjälle. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumuksen perusteella suoritetun käsittelyn lainmukaisuuteen.

9.1.2025

Grounds for and purpose of the data processing

The data is processed for the purpose of carrying out the controller’s statutory duties. According to section 304 of the Act on Electronic Communications Services (917/2014), Traficom acts as the competent authority referred to in Article 13 of Regulation (EU) 2022/868 of the European Parliament and of the Council on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act). The duties of the competent authority include receiving notifications from data intermediation services providers, maintaining a register of data intermediation services providers and monitoring the activities of data intermediation services providers.

Data content

The data undergoing processing

Information provided by data intermediation services providers in notifications:

1. the name of the data intermediation services provider
2. the data intermediation services provider’s legal status, form, ownership structure, relevant subsidiaries and registration number
3. the address of the data intermediation services provider’s main establishment and, where applicable, of any secondary branch or that of the legal representative
4. a public website
5. the data intermediation services provider’s contact persons and contact details
6. a description of the data intermediation service the data inter- mediation services provider intends to provide, and an indication of the categories listed in Article 10 of the Data Governance Act under which such data intermediation service falls
7. the date for starting the activity
8. name and contact details of the person who submitted the notification.

Sources of the processed data (where the data is received from)

The data is received from data intermediation services providers that submit notifications for data intermediation services.

Storage period of personal data 

The data are stored for as long as is necessary for carrying out the controller’s statutory duties or for 10 years from the end of data intermediation services activities.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data can only be disclosed in accordance with the obligations and re- strictions set out in currently valid legislation or based on the consent of the data subject. Data is not disclosed for direct marketing pur- poses. The data are official documents as referred to in the Act on the Openness of Government Activities (621/1999), access to which can be granted in accordance with the conditions laid down in sections 13 and 16 of said Act, unless they are secret pursuant to said Act or other legislation.

The data are disclosed to the European Commission. The Commission maintains a register of all data intermediation services providers that provide services within the European Union and updates it regularly. The information referred to in points 1, 2, 3, 4, 6 and 7 above must be published in the public national register of recognised data altruism organisations. In addition to this, the Commission and the competent authorities for data intermediation services of other Member States can be provided with data that they need to carry out their duties in accordance with the Data Governance Act.

Processing of personal data on behalf of the controller

No data processing operations have been outsourced to a data processor.

Transfer of personal data to third countries outside the EU/EEA

Traficom will not transfer the personal data to third countries outside the EU/EEA.

Automated decisionmaking and profiling

Data is not used for profiling and the processing of personal data is not subject to automated decision-making.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

TRAFICOM/616755/00.04.00.03/2023

Tietojen käsittelyn peruste ja tarkoitus

Liikenne- ja viestintävirasto Traficomin tehtävänä on valvoa Digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2022/2065.

Traficom toimii digipalveluasetuksen 49 artiklassa tarkoitettuna digitaalisten palvelujen koordinaattorina verkon välityspalvelujen valvonnasta annetun lain (18/2024) 1 §:n mukaisesti ja käsittelee henkilötietoja rekisterinpitäjän lakisääteisten tehtävien suorittamiseen.

Kansallisena toimivaltaisena koordinaattoriviranomaisena Traficom valvoo digipalveluasetuksen mukaisten Suomeen sijoittautuneiden palveluntarjoajien toimintaa niiden tarjotessa verkon välityspalveluja ja käsittelee välityspalvelujen käyttäjien yhteydenottoja ja valituksia. Digipalveluasetuksen mukaisia verkon välityspalveluja ovat asetuksen 3 artiklan mukaisesti seuraavat tietoyhteiskunnan palvelut: pelkkä siirtotoiminta, välimuistiin tallentaminen, säilytyspalvelut ja verkkoalustapalvelut.

Lisäksi Traficom käsittelee henkilötietoja digipalveluasetuksen 85 artiklan ja komission täytäntöönpanoasetuksen (EU) 2024/607 mukaisesti perustamassa AGORA-tietojenvaihtojärjestelmässä jäsenvaltioiden koordinaattoreiden, komission ja Euroopan digitaalisten palvelujen lautakunnan sekä muiden kansallisten toimivaltaisten viranomaistenväliseen viestintään digipalveluasetuksen mukaisen valvonnan, tutkinnan, täytäntöönpanon valvonnan ja seurannan yhteydessä. Osittain Traficom toimii yhteisrekisterinpitäjänä komission täytäntöönpanoasetuksen (EU)2024/607 liitteen 1 mukaisesti.

Lisäksi Traficom on myös rekisterinpitäjä komission delegoidulla asetuksella (EU) 2025/2050 perustamassa digipalveluasetukseen liittyvässä dataportaalissa, siltä osin kuin Traficom käsittelee henkilötietoja digipalveluasetuksen 40 artiklan mukaisen hyväksyttyjen tutkijoiden tiedonsaantiprosessin hallinnoimiseksi. Dataportaalin tarkoituksena on tutkijoiden, palveluntarjoajien ja digitaalisten palvelujen koordinaattoreiden tiedonsaantiprosessin hallinnointi.

Tietosisältö

Käsiteltävä tietoaineisto

Traficom käsittelee henkilötietoja, joita sisältyy digipalvelusasetuksen mukaisen valvonnan, tutkinnan, täytäntöönpanon valvonnan ja seurannan yhteydessä saataviin asiakirjoihin. Tällaisia tietoja ovat henkilön tunnistetiedot, yhteystiedot, asiaan osallisuutta koskevat tiedot, käsiteltävään asiaan liittyvät tiedot ja muut tiedot, joita pidetään tarpeellisina asetuksen (EU) 2022/2065 mukaista valvontaa, tutkintaa, täytäntöönpanon valvontaa ja seurantaa varten tietosuojasääntelyn mukaisen minimointiperiaatteen mukaisesti.

Lisäksi Traficom käsittelee niiden henkilöiden tietoja, joilla on dataportaalissa tili tai joiden henkilötiedot löytyvät dataportaalista tai sisältyvät muuhun komission delegoidun asetuksen (EU) 2025/2050 mukaiseen tietojenvaihtoon tiedonsaantiprosessin yhteydessä. Käsiteltäviä henkilötietoja ovat henkilöllisyystiedot (kuten nimi ja käyttäjätunnus), yhteystiedot (kuten osoite, sähköpostiosoite) sekä tutkimusorganisaatioon kuulumista osoittavaan dokumentaatioon sisältyvät henkilötiedot ja muut sellaiset henkilötiedot, joita pidetään tarpeellisina tiedonsaantiprosessiin osallistumisen kannalta tietosuojasääntelyn mukaisen minimointiperiaatteen mukaisesti.

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Tietoja voidaan saada henkilöltä itseltään, palveluntarjoajilta, toisilta viranomaisilta tai julkisista lähteistä. Henkilötietoja kerätään myös asiakkaille tarjottavan sähköisen lomakkeen kautta. Lisäksi tietoja voidaan saada edellä mainituista AGORA-tietojenvaihtojärjestelmästä ja dataportaalista.

Henkilötietojen säilytysaika

Tietoja säilytetään niin kauan kuin se on tarpeen rekisterinpitäjän laissa säädettyjen tehtävien hoitamiseksi ja Traficomin tiedonohjaussuunnitelman mukaisesti.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Henkilötietoja voidaan luovuttaa ainoastaan voimassa olevan lainsäädännön velvoittamissa ja sallimissa rajoissa tai rekisteröidyn suostumuksella. Tietoja ei luovuteta suoramarkkinointitarkoituksiin. Henkilötietoja sisältävät asiakirjat ovat viranomaisen toiminnan julkisuudesta annetun lain (JulkL, 621/1999) tarkoittamia viranomaisen asiakirjoja, joita luovutetaan pyydettäessä julkisuuslain edellytysten mukaisesti, elleivät ne ole salassa pidettäviä JulkL:n tai muun lainsäädännön nojalla.

Tietoja voidaan luovuttaa komission ylläpitämään AGORA-tietojenvaihtojärjestelmään. Komissiolle ja muiden jäsenvaltioiden koordinaattori- ja muille toimivaltaisille viranomaisille voidaan luovuttaa tiedot, joita nämä tarvitsevat digipalveluasetuksen mukaisten tehtäviensä suorittamiseksi.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Tietojen käsittelyyn liittyviä käsittelytoimia ei ole ulkoistettu henkilötietojen käsittelijöille muutoin kuin komission käsittelytoimien osalta. Komissio toimii henkilötietojen käsittelijänä komission täytäntöönpanoasetuksen (EU) 2024/607 liitteen 2 mukaisesti.

Lisäksi komissio toimii digipalvelusäädökseen liittyvässä dataportaalissa käsiteltävien henkilötietojen käsittelijänä ja sen vastuut portaalissa toteutettavien tietojenkäsittelytoimien toteuttajana vahvistetaan komission delegoidun asetuksen (EU) 2025/2050 liitteessä 1.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Traficom ei siirrä henkilötietoja kolmansiin maihin EU:n/ETA:n ulko- puolelle eikä tietoihin ole pääsyä tällaisesta maasta.

Automaattinen päätöksenteko ja profilointi

Tietoja ei käytetä profilointiin eikä henkilötietojen käsittelytoimiin liity automaattista päätöksentekoa.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Vastustamisoikeus

Tilanteissa, joissa henkilötietojen käsittely perustuu yleiseen etuun, rekisterinpitäjän julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä.

Jos rekisteröity käyttää vastustamisoikeuttaan, on rekisterinpitäjän lopetettava henkilötietojen käsittely, ellei rekisterinpitäjä voi osoittaa, että käsittelyyn on tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet ja vapaudet tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus vastustaa käsittelyä ilman eri perusteluja, jos tietoja käsitellään suoramarkkinointia varten.

Tilanteessa, joissa tietoja käsitellään tilastollisia- tai tutkimustarkoituksia vasten, rekisteröity voi vastustaa tietojen käsittelyä henkilökohtaiseen tilanteeseensa liittyvällä perusteella, jolloin rekisterinpitäjän on lopetettava tietojen käsittely, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.

Tässä tapauksessa Traficomissa henkilötietoja käsitellään viranomaisen lakisääteisen tehtävän suorittamiseksi eikä rekisteröidyllä ole oikeutta näissä tilanteissa saada tietojaan siirretyksi järjestelmästä toiseen, ellei oikeudesta ole erikseen laissa säädetty.

Oikeus tietojen poistamiseen

Niissä tilanteissa, joissa henkilötietojen käsittely perustuu muuhun oikeusperusteeseen kuin lakisääteisen velvoitteen noudattamiseen, rekisteröidyllä on oikeus pyytää poistamaan henkilötietonsa. Pyydetyt tiedot poistetaan, ellei rekisterinpitäjällä ole lainmukaista perustetta kieltäytyä poistamasta tietoja, kuten lakisääteinen velvollisuus säilyttää tietoja.

Tässä tapauksessa Traficomissa henkilötietoja käsitellään viranomaisen lakisääteisen tehtävän suorittamiseksi eikä rekisteröidyllä ole oikeutta näissä tilanteissa saada tietojaan poistetuksi.

Oikeus peruuttaa suostumus

Siltä osin, kun henkilötietoja käsitellään rekisteröidyn antaman suostumuksen perusteella, rekisteröity voi peruuttaa suostumuksensa milloin tahansa ilmoittamalla tästä rekisterinpitäjälle. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumuksen perusteella suoritetun käsittelyn lainmukaisuuteen.

29.10.2025 TRAFICOM/517033/00.04.00.03/2025

Tietojen käsittelyn peruste ja tarkoitus

Tietoja käsitellään rekisterinpitäjän laissa säädetyn tehtävän hoitamiseksi. Sähköisen viestinnän palveluista annetun lain (917/2014) 304 §:n mukaan Traficom toimii eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/868 (datanhallinta-asetus) 23 artiklassa tarkoitettuna toimivaltaisena viranomaisena. Toimivaltainen viranomainen muun ohella ottaa vastaan data-altruismipohjaisten organisaatioiden rekisteröitymisiä, julkaisee ja ylläpitää rekisteriä tunnustetuista data-altruismipohjaisista organisaatioista sekä valvoo niiden toimintaa.

Tietosisältö

Käsiteltävä tietoaineisto

Data-altruismipohjaisen organisaation rekisteröitymisen yhteydessä antamat tiedot:

• yhteisön nimi
• yhteisön oikeudellinen asema ja muoto sekä rekisterinumero
• tarvittaessa yhteisön yhtiöjärjestys
• yhteisön tulolähteet
• yhteisön mahdollisen päätoimipaikan osoite ja mahdollisen sivutoimipaikan tai laillisen edustajan osoite
• julkinen verkkosivusto
• yhteisön yhteyshenkilöt ja yhteystiedot
• yleisen edun mukaiset tavoitteet, joita yhteisö aikoo edistää kerätessään dataa
• sen datan luonne, jota yhteisö aikoo valvoa tai käsitellä, ja henkilötietojen osalta maininta henkilötietoryhmistä
• muut mahdolliset asiakirjat
• rekisteröintilomakkeen täyttäjän nimi ja yhteystiedot

Käsiteltävän tietoaineiston tietolähteet (mistä tiedot saadaan)

Tiedot saadaan data-altruismipohjaiseksi organisaatioksi rekisteröityvältä.

Henkilötietojen säilytysaika

Tietoja säilytetään niin kauan kuin se on tarpeen rekisterinpitäjän laissa säädettyjen tehtävien hoitamiseksi tai 10 vuotta data-altruismipohjaisen toiminnan päättymisen jälkeen.

Tietojen käsittely

Henkilötietojen vastaanottajat ja vastaanottajaryhmät (Mihin tietoja luovutetaan)

Tietoja voidaan luovuttaa ainoastaan voimassa olevan lainsäädännön velvoittamissa ja sallimissa rajoissa tai rekisteröidyn suostumuksella. Tietoja ei luovuteta suoramarkkinointitarkoituksiin. Tiedot ovat viranomaisen toiminnan julkisuudesta annetun lain (JulkL, 621/1999) tarkoittamia viranomaisen asiakirjoja, joita luovutetaan pyydettäessä JulkL:n 13 §:n ja 16 §:n edellytysten mukaisesti, elleivät ne ole salassa pidettäviä JulkL:n tai muun lainsäädännön nojalla.

Traficomin on toimivaltaisena viranomaisena ilmoitettava komissiolle kaikista rekisteröinneistä. Komissio lisää ne tunnustettujen data-altruismipohjaisten organisaatioiden julkiseen unionin rekisteriin.

Edellä 1, 2, 6, 7 ja 8 kohdassa tarkoitetut tiedot on julkaistava tunnustettujen data-altruismipohjaisten organisaatioiden julkisessa kansallisessa rekisterissä.

Henkilötietojen käsittely rekisterinpitäjän lukuun

Tietojen käsittelyyn liittyviä käsittelytoimia ei ole ulkoistettu henkilötietojen käsittelijälle.

Henkilötietojen siirtäminen kolmansiin maihin EU:n/ETA:n ulkopuolelle

Traficom ei siirrä henkilötietoja kolmansiin maihin EU:n/ETA:n ulko- puolelle.

Automaattinen päätöksenteko ja profilointi

Tietoja ei käytetä profilointiin eikä henkilötietojen käsittelytoimiin liity automaattista päätöksentekoa.

Henkilötietojen käsittelyyn liittyvät oikeudet

Oikeuksien käyttämisestä

Voit käyttää oikeuksiasi toimittamalla sitä koskevan pyynnön Traficomille sähköpostitse tai postitse. Yhteystiedot löytyvät tietosuojaselosteen kohdasta "Rekisterinpitäjän yhteystiedot".

Valitusoikeus valvontaviranomaiselle

Mikäli katsot henkilötietojesi käsittelyn olevan ristiriidassa lainsäädännön kanssa, voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
tietosuoja@om.fi
p. 029 566 6700

Oikeudet

Oikeus saada pääsy omiin tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Oikeus rajoittaa tietojen käsittelyä

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

• rekisteröity kiistää henkilötietojen paikkansapitävyyden
• henkilötietojen käsittely on lainvastaista, mutta rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
• rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

TRAFICOM/616742/00.04.00.03/2023

Grounds for and purpose of the data processing

Traficom uses the personal data in the stakeholder register to carry out its tasks related to accessibility laid down in the Act on Electronic Communications Services (917/2014).

The personal data is used for communication between Traficom and the stakeholders, sharing up-to-date information as well as sending the newsletter. 

The basis for the personal data processing is the controller’s performance of a task carried out in the public interest. It is the duty of authorities to produce and share information. As such, the grounds for the processing are public interest based on the controller’s obligation to provide information about current events in the transport and communications sectors, which are part of its field of competence. Furthermore, provisions on Traficom’s duties and special tasks are laid down in the Act on Electronic Communications Services.

The basis for the personal data processing is the controller’s performance of a task carried out in the public interest (Article 6(1)(e) of the General Data Protection Regulation (2016/679) and section 4 of the Data Protection Act (1050/2018)).

Data content

The data undergoing processing

We process the name and contact details of members of the stakeholder groups (name, organisation, email address and title).

Sources of the processed data (where the data is received from)

Data is primarily received from the members of the stakeholder group themselves or representatives of the stakeholder groups (e.g. other people appointed by the contact person). Data on newsletter subscribers (email address) is obtained from the newsletter service.

Storage period of personal data 

Personal data is stored as long as it is necessary to carry out the statutory tasks or until the data subject asks to have his or her data removed from the group.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

As a rule, personal data is not disclosed to third parties. As a public authority, Traficom’s activities are subject to the Act on the Openness of Government Activities (621/1999).

Processing of personal data on behalf of the controller

The personal data is only processed by Traficom.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

Traficom does not use automated decision-making or profiling in this context.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

At Traficom, personal data is most often processed for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to data portability, unless separately provided by law.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

2.2.2023

Grounds for and purpose of the data processing

The Finnish Transport and Communications Agency Traficom processes personal data to process the notifications required under the Act on the Provision of Digital Services (306/2019), the Act on Electronic Communications Services (917/2014) and the Act on Accessibility Requirements for Certain Products (102/2023). The processing of personal data is necessary for compliance with a legal obligation (Article 6(1)(c) of the General Data Protection Regulation (EU) 2016/679, ‘GDPR’).

According to section 10e of the Act on the Provision of Digital Services and section 194g of the Act on Electronic Communications Services (917/2014), a service provider who derogates from accessibility requirements shall notify the supervisory authority of the deviations.

According to section 10g of the Act on the Provision of Digital Services and section 194e of the Act on Electronic Communications Services, a service provider shall notify the supervisory authority of deficiencies and the related corrective action if a service does not comply with accessibility requirements.

According to section 8 of the Act on Accessibility Requirements for Certain Products, an economic operator who derogates from accessibility requirements shall notify the market surveillance authority of the deviations.

The purpose of collecting personal data is to ensure that the notifications submitted to Traficom are appropriate and that the accessibility requirements for digital services and products can be monitored in the manner required in the above-mentioned legislation.

Data content

The data undergoing processing

Under section 10 of the Act on the Provision of Digital Services, service providers and product manufacturers, importers and distributors have a legal obligation to notify the supervisory authority if a service or a product does not meet the accessibility requirements or if the operator relies on the grounds for derogation. The individuals from whom personal data is collected do not constitute a specific, uniform group or category.

The data collected from individuals includes: the contact person’s name and email address. The data is of a contact information nature. The data is used for the purpose of reaching and identifying the individual in situations where it is necessary to contact the person who has acted on behalf of an organisation.

Sources of the processed data (where the data is received from)

The processed personal data is collected with an electronic form for deficiency and deviation notifications. The form is available on the websites saavutettavuusvaatimukset.fi and traficom.fi.

Storage period of personal data 

Personal data is stored in compliance with the storage period provisions of the Archives Act (831/1994), Traficom’s filing plan and the regulations of the National Archives Service.

The personal data is stored for 5 years.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

The data may only be disclosed as allowed and required by the law.

According to section 1 of the Act on the Openness of Government Activities (621/1999), official documents shall be in the public domain, unless specifically provided otherwise.

Under section 9 of the Act, everyone has the right of access to an official document in the public domain.

Deficiency and deviation notifications submitted to Traficom are documents in the public domain insofar as they do not contain non-disclosable information as referred to in section 24 of the Act.

Documents that contain personal data and are in the public domain can be disclosed on the basis of a request for access to the party requesting access.

Transfer of personal data to third countries outside the EU/EEA

Personal data is not transferred to third countries outside the EU/EEA.

Automated decisionmaking and profiling

The processing of personal data does not involve automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

22.5.2025 TRAFICOM/293929/00.04.00.03/2025

Grounds for and purpose of the data processing

The Finnish Transport and Communications Agency Traficom serves as the supervisory authority referred to in the Act on the Provision of Digital Services (306/2019, hereinafter the Digital Services Act).

The Finnish Transport and Communications Agency Traficom handles personal data to process the complaints on web accessibility and requests for clarification laid down in section 11 of the Digital Services Act. The processing of personal data is necessary to comply with a legal obligation (Article 6(1)(c) of the General Data Protection Regulation (EU) 2016/679).

The purpose of collecting personal data is to ensure the delivery of the necessary requests for supplementing information to secure the processing of complaints and requests for clarification. In addition, the purpose of collecting personal data is to ensure that the notification of not admitting the complaint for examination as referred to in section 53 b of the Administrative Procedure Act can be delivered to the person who submitted the complaint.

Data content

The data undergoing processing

Under section 11 of the Digital Services Act, everyone has the right to submit a complaint on web accessibility or a request for clarification. The persons from whom personal data is collected do not form a specific uniform set or group.

The data collected from these persons are: name, email, street address, post code, town/city and telephone number. The nature of the information is contact details. The information is used to get in touch with the person, if necessary.

A complaint on web accessibility or a request for clarification can also be submitted anonymously.

Sources of the processed data (where the data is received from)

The personal data to be processed are collected from the person submitting the complaint on web accessibility or the request for clarification with the Complaint on web accessibility and request for clarification form, which is electronically available at saavutettavuusvaatimukset.fi.

Storage period of personal data 

Personal data is stored according to provisions on storage periods in the Archives Act (831/1994), in Traficom's archive formation plan and in the regulations of the National Archives Service.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

The data can be disclosed only within the limits permitted and obligated by legislation. Under section 1 of the Act on the Openness of Government Activities (621/1999), official documents are in the public domain unless specifically provided otherwise.

Under section 9 of the Act, everyone has the right of access to an official document in the public domain.

The complaints on web accessibility and requests for information received by Traficom are documents in the public domain to the extent that they do not contain the secret information referred to in section 24 of the Act on the Openness of Government Activities.

Based on a request for information, public documents containing personal data can be disclosed to a person who has submitted such a request.

Transfer of personal data to third countries outside the EU/EEA

Personal data are not transferred to third countries outside the EU/EEA.

Automated decisionmaking and profiling

The processing of personal data does not include automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

The data subject has the right to object to the processing without separate justifications if the data are processed for the purposes of direct marketing.

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

23.12.2024 TRAFICOM/708374/00.04.00.03/2024

Grounds for and purpose of the data processing

Under section 10 of the Act on the Provision of Digital Services (306/2019, hereinafter the Digital Services Act), everyone has the right to send feedback to the service providers’ electronic contact address indicated in the accessibility statement regarding the deviations from accessibility requirements they have observed in the digital service or request specifications for the justifications for a disproportionate burden.

The Finnish Transport and Communications Agency Traficom handles personal data to process the accessibility feedback laid down in section 10 of the Digital Services Act. The processing of personal data is necessary to comply with a legal obligation (Article 6(1)(c) of the General Data Protection Regulation (EU) 2016/679).

The purpose of collecting personal data is to ensure that Traficom will be able to send an electronic acknowledgement of receipt for accessibility feedback and respond to the feedback as required by the Digital Services Act.

Data content

The data undergoing processing

Under section 10 of the Digital Services Act, everyone has the right to give accessibility feedback. The persons from whom personal data is collected do not form a specific uniform set or group.

The data collected from these persons are: name, email, street address, post code, town/city and telephone number. The nature of the information is contact details. The information is used to get in touch with the person.

Accessibility feedback can also be left anonymously.

Sources of the processed data (where the data is received from)

The personal data processed is collected with an electronic form from the person providing the accessibility feedback. The form is available at saavutettavuusvaatimukset.fi.

Storage period of personal data 

Personal data is stored according to provisions on storage periods in the Archives Act (831/1994), in Traficom’s archive formation plan and in the regulations of the National Archives Service.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

The data can be disclosed only within the limits permitted and obligated by legislation. Under section 1 of the Act on the Openness of Government Activities (621/1999), official documents are in the public domain unless specifically provided otherwise.

Under section 9 of the Act, everyone has the right of access to an official document in the public domain.

Accessibility feedback submitted to Traficom and the responses given to the feedback received are in the public domain to the extent that they do not contain the secret information referred to in section 24 of the Act.

Based on a request for information, public documents containing personal data can be disclosed to a person who has submitted such a request.

Transfer of personal data to third countries outside the EU/EEA

Personal data are not transferred to third countries outside the EU/EEA.

Automated decisionmaking and profiling

The processing of personal data does not include automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

23.12.2024 TRAFICOM/708335/00.04.00.03/2024 

Grounds for and purpose of the data processing

The processing of personal data is based on the performance of the controller's statutory tasks. According to section 2, subsection 1, paragraph 2 of the Act on the Finnish Transport and Communications Agency (935/2018) and section 3 of the Aviation Act (864/2014), Traficom is the competent authority for aviation oversight.

The information obtained through notifications is used to detect disruptions caused by aviation (e.g. noise, use of the area, damage caused), to identify aviation activities requiring intervention by the authorities and to oversee aviation activities in general.

Data content

The data undergoing processing

The register contains the following information:

• The name (mandatory), telephone number, and e-mail address of the notifier
• The location, date, time, and description (all mandatory) of the event
• The registration number of the aircraft, other markings or symbols of the aircraft, the aircraft type (mandatory)
• Additional information, if any
• Attachments, if any

Sources of the processed data (where the data is received from)

In order to carry out its tasks, Traficom receives data from data subjects themselves.

Storage period of personal data 

Stored permanently.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data is not regularly disclosed.

Data is disclosed to those requesting it in accordance with the Act on the Openness of Government Activities. The data and documents are public, unless specifically prescribed as confidential by law.

Processing of personal data on behalf of the controller

Personal data is processed by Traficom and the processing has not been transferred by contract to other parties.

Transfer of personal data to third countries outside the EU/EEA

Traficom has the right to disclose information in the register to foreign authorities or for official functions if the disclosure is provided for in law, European Community law or through international agreement binding on Finland. If personal data is transferred outside the European Economic Area, the conditions of Chapter V of the European Union’s General Data Protection Regulation must be met.

Automated decisionmaking and profiling

Traficom does not use automatic decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject shall have the right to know whether Traficom is processing personal data concerning him/her or not, as well as to access personal data concerning him/her that is being processed by Traficom.

Right to rectification 

The data subject shall have the right to demand that Traficom rectify inaccurate personal data concerning the data subject or supplement incomplete personal data.

Right to object 

The legal basis for the processing of personal data is the performance of a statutory task.

Right to have data transferred between systems 

The legal basis for the processing of personal data is the performance of a statutory obligation, in which case this right does not apply to Traficom.

Right to removal of information 

The legal basis for the processing of personal data is the performance of a statutory obligation, in which case this right does not apply to Traficom.

Grounds for and purpose of the data processing

Traficom processes the data stored in the register on the basis of Article 6(1)(c) of the General Data Protection Regulation (EU) 2016/679 in order to comply with a legal obligation. Special categories of personal data and personal data relating to criminal convictions and offences are processed by Traficom on the basis of section 6, subsection 1, paragraph 2 of the Data Protection Act (1050/2018), meaning that the processing is provided by law or derives directly from a statutory duty set out for Traficom by law. 

Section 101 of the Aviation Act (864/2014) lays down provisions on background checks in aviation. 

In order to check a person’s background, a security clearance vetting is requested. According to the Act, the airport operator applies for security clearance vetting on persons referred to in section 19, subsection 1, paragraph 7 and section 21, subsection 1, paragraph 4a of the Security Clearance Act (726/2014). Regardless of secrecy regulations, the airport operator must provide Traficom with any such information discovered in a personnel security clearance vetting or integrity monitoring carried out in accordance with section 51 of the Security Clearance Act that is necessary for assessing the granting of a permit or approval that requires compliance with the requirements related to background checks. 

According to section 3 of the Aviation Act, Traficom acts as Finland’s competent national aviation authority and is responsible for issuing permits and approvals for tasks that require compliance with the requirements related to background checks. However, the airport operator is responsible for granting access permits referred to in section 102 and airport identification cards referred to in section 103 of the Aviation Act. 

Under section 181 of the Aviation Act, Traficom may process data that is necessary for granting access permits or airport identification cards when a revision of a decision made by the airport operator is claimed from Traficom.

Data content

The data undergoing processing

The data undergoing processing The background check register contains data on:

• persons who work in tasks related to aviation security checks, access control or other security control measures outside a security restricted area in an airport or who work in tasks where they can independently access air cargo, air mail, air carrier mail and air carrier materials or in-flight supplies or airport supplies after they have been subject to security control measures
• persons who are responsible for aviation security checks, access control or other security control measures or implement them in a security restricted area in an airport or otherwise have independent access to security restricted areas in the airport in their tasks
• regulated agents, known consignors and regulated suppliers.

Data that may be recorded of natural persons:

• first names and last name
• date of birth or personal identity code
• nationality
• contact information
• employer and work task
• information contained in a written notice issued of a personnel security clearance vetting or integrity monitoring related to
  • criminal records
  • the register of fines
  • credit records and the enforcement register
  • a criminal matter pending pre-trial investigation, consideration of charges or court proceedings
  • a security clearance vetting interview
  • information provided by the National Bureau of Investigation related to the prevention or disclosure of crime
  • information that the subject of the vetting has resided abroad for an uninterrupted period of more than five years during the ten years preceding the security clearance.

Data that may be recorded of legal persons:

• name, auxiliary business name and Business ID
• domicile
• contact information
• information on the security manager.

Sources of the processed data (where the data is received from)

In order to carry out its duties, Traficom receives data from Finavia (Business ID: 2302570-2). Furthermore, Traficom may request data from the data subjects themselves and their employers, if necessary.

Storage period of personal data 

The information in the register is stored permanently with the exception of written notices regarding the security clearance vetting and integrity monitoring concerning a natural person. These documents are kept for five years after the calendar year when the final decision was given.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Regular disclosures. Traficom may disclose data to the subject of a background check, the applying company and Finavia within the limits of the law.

Data may also be disclosed to other parties within the limits of the law.

Transfer of personal data to third countries outside the EU/EEA

Traficom does not transfer personal data outside the EU/EEA.

Automated decisionmaking and profiling

Traficom does not use automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

5.4.2024 TRAFICOM/77830/00.04.00.03/2023

Grounds for and purpose of the data processing

According to section 304, subsection 14 of the Act on Electronic Communications Services (917/2014), Traficom acts as a national cybersecurity certification authority in accordance with Regulation (EU) 2019/881 of the European Parliament and of the Council on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act).

As regards operators based in Finland, Traficom shall supervise compliance with obligations arising from the Cybersecurity Act (EU) 2019/881 and compliance with cybersecurity certification schemes drawn up in accordance with the Cybersecurity Act.

In order to carry out its statutory duties, Traficom collects personal data and contact details that are necessary for its supervisory tasks.

The basis for the personal data processing is compliance with a legal obligation to which the controller is subject (Article 6(1)(c) of the General Data Protection Regulation).

Data content

The data undergoing processing

Traficom processes the names and contact details for the contact persons of the supervised parties and, if necessary, the names and contact details of other personnel (for example organisation, email, telephone number) and, if necessary, data describing the person’s position, duties or qualifications (for example title, role, education).

As regards complaints in relation to certificates or certifications, the contact details for the complainant are processed as necessary during the processing of the complaint and for informing the complainant of the progress of the matter.

In addition, Traficom processes contact details that are needed for interacting with different stakeholders and contact details obtained through contacts from different sources.

Sources of the processed data (where the data is received from)

Data can be obtained from the person themselves, from the person's organisation, from a party subject to the supervision, from another authority or from public sources. Personal data can also be collected through electronic forms offered to customers.

Storage period of personal data 

Data is stored as long as it is necessary to carry out the statutory tasks and in accordance with Traficom's data management plan.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Personal data can only be disclosed in accordance with the obligations and restrictions set out in currently valid legislation or with the consent of the data subject.

The data is not disclosed for direct marketing purposes. Documents containing personal data are official documents within the meaning of the Act on the Openness of Government Activities (621/1999), which are released upon request in accordance with the requirements of the Act, unless they cannot be kept secret under the Act or other legislation.

Processing of personal data on behalf of the controller

Processing activities related to data processing have not been outsourced to personal data processors.

Transfer of personal data to third countries outside the EU/EEA

Traficom does not transfer personal data to third countries outside the EU/EEA and there is no access to the data from such a country.

Automated decisionmaking and profiling

The data is not used for profiling and the processing of personal data does not involve automatic decision-making.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data. In this case, personal data is processed at Traficom for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to erasure of their data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

19.11.2024 TRAFICOM/655279/00.04.00.03/2024

Grounds for and purpose of the data processing

According to section 304, subsection 14 of the Act on Electronic Communications Services (917/2014), Traficom acts as a national cybersecurity certification authority in accordance with Regulation (EU) 2019/881 of the European Parliament and of the Council on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act). The national cybersecurity certification authority’s contact form can be used to present questions, give feedback or ask for advice regarding EU cybersecurity certification schemes.

The personal data on the form is used for processing the matter reported on the form and for informing the sender of the form about the progress of the matter. The basis for the personal data processing is the performance of a task carried out in the public interest (Article 6(1)(e) of the General Data Protection Regulation).

Data content

The data undergoing processing

Traficom processes the contact details of the sender of the form, such as first name, last name and email address and, if necessary, phone number. For corporate customers, also the name of the organisation is collected.

Sources of the processed data (where the data is received from)

The information to be processed is obtained from the sender of the form themselves.

Storage period of personal data 

Data is stored as long as it is necessary to carry out a task of public interest in accordance with the processing, but not for longer than 5 years from the moment that the data was saved.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Personal data can only be disclosed in accordance with the obligations and restrictions set out in currently valid legislation or with the consent of the data subject.

The data is not disclosed for direct marketing purposes.

Processing of personal data on behalf of the controller

Processing activities related to data processing have not been outsourced to personal data processors.

Transfer of personal data to third countries outside the EU/EEA

Traficom does not transfer personal data to third countries outside the EU/EEA and there is no access to the data from such a country.

Automated decisionmaking and profiling

The data is not used for profiling and the processing of personal data does not involve automatic decision-making.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

19.11.2024 TRAFICOM/655288/00.04.00.03/2024

Grounds for and purpose of the data processing

National Cyber Security Centre Finland’s extranet solution serves the needs of stakeholder communication. Extranets are used to support efficient and reliable exchange of information between internal users and stakeholders’ designated end users. Extranets are closed forums for exchanging information and the purpose of the possible processing of personal data is to ensure the sharing of information regarding current information security matters. The extranet solution that is taken into use in 2025 will replace the previous outdated extranet solution.

Traficom processes personal data provided by the stakeholder’s contact persons insofar as they have been received. The basis for the personal data processing is the controller’s performance of tasks carried out in the public interest (Article 6(1)(e) of the EU General Data Protection Regulation). The duties of Traficom are, among others, to disseminate information on information security matters and on the functioning of communications networks and services (section 304, subsection 1, paragraph 8 of the Act on Electronic Communications Services).

Data content

The data undergoing processing

We process the data of those who have logged in as extranet users. The users are Traficom’s own employees who handle cooperation in accordance with their job description and contact persons who have been selected by stakeholder collaboration partners. We process the name and contact details of data subjects, such as organisation, e-mail address or telephone number.

Sources of the processed data (where the data is received from)

The data is received primarily from the stakeholders’ representatives and contact persons and through their system logins (for example the company’s contact person designates the users for their own company). Only name, e-mail address, telephone number and organisation is mandatory information.

Storage period of personal data 

Personal data is stored for as long as the group exists or until the data subject or the contact person of the organisation that the data subject represents asks to have the data removed from the group.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data can only be disclosed in accordance with the obligations and restrictions set out in currently valid legislation.

The data is not disclosed for direct marketing purposes.

Processing of personal data on behalf of the controller

The personal data is processed only by Traficom.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

The processing of personal data does not involve automated decision making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

7.1.2025 TRAFICOM/44993/00.04.00.03/2025

Grounds for and purpose of the data processing

The basis for the personal data processing is the controller’s performance of a task carried out in the public interest (Article 6(1)(e) of the General Data Protection Regulation (2016/679) and section 4 of the Data Protection Act (1050/2018)).

In accordance with Section 3 of the Act on the Finnish Transport and Communications Agency (935/2018), the task of the National Cyber Security Centre Finland at the Finnish Transport and Communications Agency is to maintain the situational picture of national information security. Pursuant to section 304(1)(7) of the Act on Electronic Communications Services (917/2014), the Finnish Transport and Communications Agency's task is to collect information on data security breaches and threats to online services, communication services, value-added services and information systems, as well as failure and disruption situations of communication networks and communication services. For these purposes, the National Cyber Security Centre Finland's data breach notification form collects information about data security breaches described by the notifiers. In order to implement this collection, it is necessary to process the personal data described in this privacy statement.

Data content

The data undergoing processing

The data processed are the information provided by the person filling out the notification form regarding the reported data security breach. This information may include personal information. Registered persons are the notifier and the persons whose information is entered into the form.

The personal data processed are the data of persons related to the data security breach communicated to the controller or included in the open fields of the form and in the attached files, such as:

• Contact information, such as name, e-mail, phone number, address, role in the organisation and other stated contact information
• Information about the violation and related personal information, such as user account and login information and profile pictures of social media or other online environments, or information about the existence of such an ID; financial, bank or payment information, device information such as IMEI code; information about the filing of a report of an offence and related information, such as information about the person who made the report of an offence, information about the police department that received the report and the time of filing; information about any other persons mentioned in the information security breach notification, as well as electronic messages and message forwarding information
• Technical data related to the notifier, such as IP address, browser information and browser version
• Other, including special categories, information about the data subject that may emerge from the description of the data breach, or personal identity code (for example, in phishing situations) and information derived from the personal identity code, such as age and gender
• Information on whether the notifier gives consent to provide information to another authority.

The possible processing of special categories of personal data groups is based on Article 9, Section 2, Subsection (g) and possibly Subsection (e) of the General Data Protection Regulation (EU). Possible processing of the personal identity code takes place on the basis of section 29 subsection 1 of the Data Protection Act.

Sources of the processed data (where the data is received from)

The information to be processed is obtained from the person making the notification. The information is given on a form that is filled out on the website of the National Cyber Security Centre Finland or by sending the information by e-mail to the CERT e-mail box. Information can also be obtained from the exchange of messages between the controller and the person filling out the notification form or other contact person related to the data security breach situation.

Storage period of personal data 

Personal data will be stored as long as processing it is necessary to fulfil the purposes described in this data protection statement, however for a maximum of ten years from the end of the calendar year during which the data was obtained (Act on Electronic Communications Services Section 316 Subsection 4).

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data breach information, including personal data, can be exchanged confidentially with other authorities relevant to the breach when required or permitted by law. The person who fills out the form is asked if they consent to the transfer of information to another authority.

The data is not disclosed for direct marketing purposes.

Processing of personal data on behalf of the controller

There are no separate processors, i.e. the personal data is not processed on behalf of the controller.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

Automatic decision-making or profiling is not used.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

7.3.2024 TRAFICOM/105033/00.04.00.03/2024

Grounds for and purpose of the data processing

The National Coordination Centre (NCC-FI) at the National Cyber Security Centre Finland (NCSC-FI) at Traficom brings together and develops the national competence community. The purpose of the community is to bring together key actors from the public, private and third sectors and to develop and support cooperation between these actors to enable and enhance cybersecurity research, development and innovation.

In addition, the NCC-FI maintains, for Finnish actors, a membership list of those members of the national competence community that wish to join the EU-level Cybersecurity Competence Community. The information of such members is transferred to the European Cybersecurity Atlas, a digital information repository and networking platform maintained by the European Commission. Its purpose is to strengthen the European cybersecurity competence ecosystem, promote cooperation and information exchange, and support the development of research, policy and funding at EU level.

The basis for the personal data processing is the controller’s performance of its statutory duties (Article 6(1)(c) of the EU’s General Data Protection Regulation). The NCC-FI at Traficom performs the statutory tasks laid down in Article 7 of Regulation (EU) 2021/887 establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres, including:

• promoting and disseminating the relevant outcomes of the work of the Network, the Community and the Competence Centre at national, regional or local level
• assessing requests by entities established in the same Member State as the national coordination centre to become part of the Community.

Separate application forms exist for national membership and EU-level membership, and at both levels the information necessary for membership management is collected. EU-level membership requires national membership, and the EU-level processing also uses the basic information collected at national level insofar as it corresponds to the information requested in the national application form.

The NCC-FI at Traficom processes the personal data of representatives of stakeholders included in the competence community membership list, insofar as a person is a representative of a stakeholder of Traficom. The purpose of this processing at national level is membership management and maintenance within the national network, as well as communication and cooperation with representatives of various stakeholders.

Forms of cooperation include working groups established and events organised by Traficom and other communications, for which Traficom maintains contact and other information on stakeholders. Cooperation also includes the transmission of information regarding EU funding calls, in particular to promote pan-European consortium and project partner cooperation.

For EU-level membership, the purpose of processing is to assess whether a member fulfils the eligibility criteria and to forward the requests of eligible members to join the European Cybersecurity Atlas. The assessment of eligibility is governed by Article 8 of Regulation (EU) 2021/887.

The categories of data collected at national and EU level are described in this privacy statement.

Data content

The data undergoing processing

Traficom processes the following information concerning stakeholder representatives.

Personal data processed at national level: 

• Identification data: name and title
• Contact details: an individual’s email address, mobile telephone number, name of the organisation
• Data collected on the organisation in connection with the notification: Business ID, main establishment, website address, type of organisation, field of activity or area of specialisation

Personal data processed at EU level:

• Identification data: name, personal identity code and title
• Contact details: an individual's email address, mobile phone num-ber, name of the organisation
• Data collected on the organisation in connection with the no-tification: Business ID, function or department, country, street ad-dress, city, information on the head office and its location, website address, phone number, email address, type of organisation
• When the user authenticates through the Suomi.fi e-Identification service maintained by the Digital and Population Data Services Agen-cy (DVV), certain information is transferred to the form, including the personal identity code, which is processed by the system.

Sources of the processed data (where the data is received from)

The data is obtained from the data subject or from the organisation represented by the data subject. The information is provided to Traficom primarily via an electronically submitted form. For EU-level membership, completing and submitting the form requires strong electronic identification by the applicant.

For the Suomi.fi services maintained by DVV, Traficom receives information through DVV. The privacy statements for DVV’s Suomi.fi e-Identification service are available at: https://www.suomi.fi

Storage period of personal data 

The data is retained for as long as Traficom maintains the competence community and retention is necessary for achieving the objectives of the competence community.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data can only be disclosed in accordance with the obligations and restrictions set out in currently valid legislation.

For EU-level membership requests, the EU-level data categories listed above are disclosed to the European Cybersecurity Industrial, Technology and Research Competence Centre (ECCC). The ECCC privacy statements are available at: https://cybersecurity-centre.europa.eu/index_en

The data is not disclosed for direct marketing purposes.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

The personal data processing does not involve automated decision- making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

28.11.2025 TRAFICOM/168812/00.04.00.03/2026

Grounds for and purpose of the data processing

The basis for the personal data processing is compliance with a legal obligation to which the controller is subject (Article 6(1)(c) of the General Data Protection Regulation (EU) 2016/679, ‘GDPR’).

Under section 11 of the Cybersecurity Act (124/2025), an entity shall report a significant incident to the supervisory authority without delay. Supervisory authorities under section 26 of the Cybersecurity Act and section 18h of the Information Management Act (906/2019) are the Finnish Transport and Communications Agency, the Energy Authority, the Finnish Safety and Chemicals Agency, National Supervisory Authority for Welfare and Health, the Centre for Economic Development of Transport and the Environment for South Savo, the Finnish Food Authority and the Finnish Medicines Agency. A significant incident means an incident that has caused or is capable of causing severe operational disruption of services or significant financial losses for the entity concerned and an incident that has affected or is capable of affecting other natural or legal persons by causing considerable material or non-material damage. An early warning must be submitted within 24 hours and an incident notification within 72 hours of detecting a significant incident. The early warning must include information on the following aspects: (1) the detection of a significant incident, (2) whether the significant incident is suspected of being caused by crime or other unlawful or malicious acts, (3) the likelihood of a cross-border impact and information about forecasting cross-border impacts. The follow-up notification must include the following information: (1) assessment of the nature, severity and impact of the incident, (2) technical indicators of compromise, if available, (3) any updates to information included in the early warning.

According to section 12 of the Cybersecurity Act, an entity must, upon request by the supervisory authority, provide additional information or an intermediate report on status updates concerning the significant incident and progress in handling the incident.

According to section 13 of the Cybersecurity Act, an entity must provide the supervisory authority with a final report on the significant incident within one month of the incident notification or, in the case of a long-term incident, within one month of handling the significant incident. The final report must include the following: (1) a detailed description of the incident, including its severity and impact, (2) the type of threat or root cause that is likely to have triggered the incident, (3) applied and ongoing mitigation measures, and (4) the cross-borderimpact of the incident, if any. As regards public administration entities, provisions on the obligation to notify significant incidents are included in section 18d of the Information Management Act.

According to section 15, subsection 1 of the Cybersecurity Act, an entity may submit to the supervisory authority notifications about incidents, cyber threats and near misses other than those referred to in section 11 on a voluntary basis. According to section 15, subsection 2 of the Cybersecurity Act, a supervisory authority must inform the single point of contact referred to in section 18 of notifications of incidents, cyber threats and near misses submitted pursuant to this section. As regards public administration entities, provisions on voluntary notifications are included in section 18f of the Information Management Act.

According to section 17 of the Cybersecurity Act, a supervisory authority must submit the notifications and reports referred to in sections 11–13 and 15 to the CSIRT without delay. If a significant incident has an impact on another European Union Member State, the single point of contact must inform the European Union Agency for Cybersecurity (ENISA) and the affected Member States without undue delay. Upon request, the single point of contact must also submit the notifications and reports referred to in sections 11–13 to the single point of contact of the affected European Union Member State. For this purpose, the single point of contact is allowed to release information about the significant incident to ENISA and the single points of contact in other European Union Member States. As regards public administration entities, see section 18h of the Information Management Act.

According to section 18 of the Cybersecurity Act, the National Cyber Security Centre Finland (NCSC-FI) at the Finnish Transport and Communications Agency acts as the single point of contact referred to in Article 8(3) of the NIS 2 Directive. The task of the single point of contact is to promote cooperation and coordination among supervisory authorities in the performance of their tasks in accordance with the Act. The single point of contact shall submit to ENISA every three months a summary report, including anonymised and aggregated data on significant incidents, incidents, cyber threats and near misses notified in accordance with sections 11–13 and 15. For this purpose, the single point of contact has the right to obtain anonymised and aggregated data from a supervisory authority. As regards public administration entities, see section 18h of the Information Management Act.

For these purposes, the Finnish Transport and Communications Agency’s NIS 2 notification application is used to collect data on significant incident notifications (mandatory notification) and voluntary notifications made by entities. In order to implement this data collection, it is necessary to process the personal data described in this privacy statement.

Data content

The data undergoing processing

The register processes the information provided by an entity regarding the notified cybersecurity incident. This information may include personal data. Data subjects include the notifier and the persons whose information is entered into the form.

The personal data to be processed are the data of persons related to the information security violation communicated to the controller or included in the open fields of the form and in the attached files, such as:

• Contact information, such as name, email, telephone number, address, role in the organisation and other contact details provided
• Information about the incident and any related personal data
• Technical data related to the notifier, such as IP address, browser information and browser version
• Any other, including special, information about the data subject that may be provided in the description of the cybersecurity incident, or a personal identity code (e.g. in phishing cases) and information that can be derived from the personal identity code, such as age and sex.

The possible processing of special categories of personal data is based on Article 9(2)(g) and possibly Article 9(2)(e) the EU GDPR. Possible processing of the personal identity code is based on section 29, subsection 1 of the Data Protection Act.

Sources of the processed data (where the data is received from)

The data to be processed is obtained from the person submitting the notification. The data are provided via a form filled in on the NCSC-FI website. Data can also be obtained from the exchange of messages between the controller and the person filling in the notification form or other contact person in connection with the incident.

Storage period of personal data 

Personal data will be stored as long as it is necessary to process the data for the purposes described in this privacy statement, however not for longer than six years from the end of the calendar year during which the data was obtained.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Information on incidents, including personal data, is transmitted via the application to the authority supervising the entity in question, to the CSIRT and the single point of contact. 

The data is not disclosed for direct marketing purposes.

Processing of personal data on behalf of the controller

There are no separate processors, i.e. the personal data is not processed on behalf of the controller.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

Automatic decision-making or profiling is not used.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

Because processing is based on compliance with a legal obligation, data subjects do not have the right to object to the processing.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

7.4.2025 TRAFICOM/671811/00.04.00.03/2024

Grounds for and purpose of the data processing

Personal data is processed based on Article 6(1)(c) of the EU General Data Protection Regulation (compliance with a legal obligation to which the controller is subject). Traficom’s legal task is based on the supervisory authority’s obligation to maintain a list of entities in the sector they supervise referred to in Article 27(2) of the NIS 2 Directive (EU 2022/2555), in section 41 of the Cybersecurity Act and in section 18 a of the Information Management Act.

In accordance with the requirements in the NIS 2 Directive, the Cybersecurity Act (124/2025) and the Information Management Act (906/2019), contact details of entities subject to the legislation will be collected in the list of NIS2 entities from the following sectors supervised by Traficom:

• Transport
• Manufacturing (transport and vehicles) 
• Space
• Postal and courier services
• Public administration 
• Research organisations
• Digital infrastructure entities 
• Digital service providers
• Managed ICT service providers and managed security services

The purpose of the data collection is to improve national and international situational awareness and cooperation and to achieve better reaction capabilities for the supervisory authority and the national CSIRT.

Data content

The data undergoing processing

The dataset includes the entities’ contact details in accordance with the requirements of the Directive and the Act, such as address details, telephone numbers, email addresses, public IP ranges, sector details (such as information about the sector and about the countries where the entity is carrying out activities as well as information on whether or not the entity is an essential entity), and information on participation in a voluntary cybersecurity information-sharing arrangement. In some cases, the email address and/or telephone number may be the entity representative’s personal address or number.

Sources of the processed data (where the data is received from)

Data is primarily collected from the entities themselves with an electronic online form in accordance with section 41 of the Cybersecurity Act and section 18 a of the Information Management Act. Data can also be obtained from the exchange of messages between the controller and the person filling in the notification form or other contact person.

Storage period of personal data 

Traficom stores personal data as long as it is necessary to carry out the legal obligation. The data is deleted within five years from the end of the calendar year during which the entity has been deleted from the list of entities.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

In accordance with Article 3 and Article 27 of the NIS 2 Directive and section 41 of the Cybersecurity Act, as the supervisory authority, Traficom is obligated to share relevant information from the registry of entities with the Finnish Transport and Communications Agency single point of contact who is primarily responsible for submitting the relevant information to the European Commission, the NIS Cooperation Group and the European Union Agency for Cybersecurity ENISA. The CSIRT unit has the right to obtain information about the list of entities from the supervisory authority. In addition, when it comes to public authority cooperation indicated in section 45 of the Cybersecurity Act, it is possible to share information among other supervisory authorities indicated in the Cybersecurity Act.

Processing of personal data on behalf of the controller

Personal data is not processed on behalf of the controller by other parties.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

Data is not processed automatically and no profiling is done.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

This right does not apply to the processing operations in question because the personal data is processed based on a legal obligation.

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

This right does not usually apply to the processing operations in question because the personal data is processed for compliance with a legal obligation.

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

This right does not usually apply to the processing operations in question because the personal data is processed for compliance with a legal obligation.

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

This right does not usually apply to the processing operations in question because the personal data is processed for compliance with a legal obligation.

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

8.4.2025 TRAFICOM/195893/00.04.00.03/2025

Grounds for and purpose of the data processing

The Finnish Transport and Communications Agency (Traficom) processes personal data in connection with matters concerning passengers’ rights in the EU to comply with its legal obligations.

Passengers’  rights in the EU are laid down in the following EU Regulations:

• EU Regulation on air passenger rights (Regulation (EC) No 261/2004 of the European Parliament and of the Council of 11 February 2004 establishing common rules on compensation and assistance to passengers in the event of denied boarding and of cancellation or long delay of flights, and repealing Regulation (EEC) No 295/91)
• EU Regulation on the rights of disabled persons and persons with reduced mobility when travelling by air (Regulation (EC) No 1107/2006 of the European Parliament and of the Council of 5 July 2006 concerning the rights of disabled persons and persons with reduced mobility when travelling by air)
• EU Regulation on rail passenger rights and obligations (Regulation (EC) No 1371/2007 of the European Parliament and of the Council of 23 October 2007 on rail passengers’ rights and obligations. As of 7 June 2023, the following regulation will be applied: Regulation (EU) 2021/782 of the European Parliament and of the Council of 29 April 2021 on rail passengers’ rights and obligations. However, Article 6(4) of the Regulation will be applied as of 7 June 2025.)
• EU Regulation on the rights of passengers when travelling by sea and inland waterway (Regulation (EU) No 1177/2010 of the European Parliament and of the Council of 24 November 2010 concerning the rights of passengers when travelling by sea and inland waterway and amending Regulation (EC) No 2006/2004)
• EU Regulation on the rights of passengers in bus and coach transport (Regulation (EU) No 181/2011 of the European Parliament and of the Council of 16 February 2011 concerning the rights of passengers in bus and coach transport and amending Regulation (EC) No 2006/2004)

The legal basis for the processing of personal data in connection with matters concerning passengers’ rights is Article 6(1)(c) of the EU General Data Protection Regulation (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC ). This means that processing personal data is necessary to comply with the legal obligation of the controller. The legal basis of processing special categories of personal data is section 6, subsection 1, paragraph 2 of the Data Protection Act (1050/2018).

Traficom’s authority and tasks in matters concerning EU passenger rights are laid down in section 186 of the Act on Transport Services (320/2017).

Traficom has the statutory task of generally supervising compliance with regulations concerning EU passenger rights in respect of the rights of business travellers, disabled passengers and passengers with reduced mobility. Traficom has the statutory competence to give a recommended decision on complaints that concern the rights of passengers who are not consumers and the rights of disabled passengers and passengers with reduced mobility and have been filed under the EU regulations concerning the rights of passengers.

As part of its tasks, Traficom also provides general advice on matters concerning EU passenger rights.

Data content

The data undergoing processing

Traficom processes the personal data of people in the following groups of natural persons in connection with processing matters concerning EU passenger rights

Passengers

• Business travellers
• Disabled persons and persons with reduced mobility
• Consumers (the processing is primarily connected to transferring documents to the competent authority)

Other natural persons

• Agents or assistants or their representatives Guardians
• Representatives of legal persons
• Personal data primarily processed in connection with matters concerning passenger rights

The following personal data is processed for natural persons who have contacted the authority:

• name
• contact information
• information related to health or disability
• other special personal data
• other personal data mentioned or discovered in connection with the matter (other personal data, such as service language, signature, bank details or personal data on the passenger provided by the transport operator)
• other personal data may also contain personal identity codes and e.g. other personal data contained in the travel documents or other identification
• the person’s message or complaint and other personal data provided by the data subject in connection with the matter

The following personal data is processed for the representatives of legal persons:

• the name of the person who provided the response on behalf of the legal person
• name of the company, auxiliary business name as well as business ID and domicile
• workplace address, postal code and country
• work telephone number
• work email
• service language
• information on the managing director, general partners and ownership
• information on the persons responsible for the rest of the corporation as well as identification and contact information of the responsible persons
• other personal data included in the response provided by the legal person (e.g. the signature of the person who provided the response)

Sources of the processed data (where the data is received from)

Traficom receives information for monitoring passenger rights and processing individual complaints from general contacts, enquiries and complaints by individuals. The information is usually provided to Traficom via email. Traficom may also receive information from other authorities in Finland, EU member states, countries in the EEA and Switzerland or the European Commission. Legal persons (e.g. transport operators) also provide Traficom with information. Traficom may also obtain information from the news and social media and other public data sources.

Storage period of personal data 

Personal data is stored for as long as necessary in order to complete statutory tasks connected to passenger rights.

Documents are stored in compliance with legislation on archives and instructions issued by the National Archives of Finland and the Agency’s filing plan verified based on them.

General messages and enquiries by business travellers and consumers and the related Traficom responses will be deleted when five years have passed since the receipt of the original message. However, if messages concerning a certain topic are connected to a complaint or supervisory matter that comes pending later, the data is stored permanently.

Personal data related to the passenger rights of disabled persons or persons with reduced mobility are usually stored permanently.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

The following parties may receive personal data:

• Finnish authorities (Finnish Competition and Consumer Authority: the Consumer Ombudsman, consumer advisory services and the European Consumer Centre as well as the Consumer Disputes Board as well as the Non-Discrimination Ombudsman and any other Finnish authorities)
• National enforcement bodies responsible for EU passenger rights in EU member states, EEA countries and Switzerland
• Transport operators (railway companies, shipping companies, air carriers or coach services)
• Railway station operators, airport operators, bus terminal and port terminal operators
• Travel agents and ticket vendors in certain special circumstances

Transfer of personal data to third countries outside the EU/EEA

Traficom has the right to disclose information to foreign authorities in situations related to EU passenger rights or for official duties, if the disclosure has basis in law, European Union legislation or obligations based on international treaties binding Finland. If personal data is transferred outside the EU/EEA, the prerequisites specified in Chapter V of the EU General Data Protection Regulation must be met. The authority receiving the data may disclose the data further when the same prerequisites are met.

Personal data may have to be transferred to third countries outside the EU/EEA during the processing of the matter.

Passengers are primarily advised to initiate their own matters by contacting a certain body responsible for enforcing EU passenger rights regulations in Switzerland. Based on a legal obligation, Traficom will, however, transfer documents to the Swiss National Enforcement Body (NEB) if requested by the person filing the complaint.

When processing individual matters, personal data may have to be transferred outside the EU/EEA to a third country (e.g. requests for information to carriers other than Community carriers) for which the European Commission has not adopted an adequacy decision. In this event, the transfer of personal data may have to be carried out based on grounds for derogation within the General Data Protection Regulation, meaning that the personal data protection does not correspond to the level of protection awarded to personal data within EU member states or the EEA. The need for personal data transfers is assessed separately in each case.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

TRAFICOM/275984/00.04.00.03/2022 15.11.2022

Grounds for and purpose of the data processing

Personal data is used to carry out the administrative tasks of the Finnish Transport and Communications Agency imposed by the Act on Electronic Communications Services (917/2014, later TYK), the Act on Strong Electronic Identification and Electronic Trust Services (617/2009) and the Finnish Transport and Communications Agency’s Regulation regarding disturbances in telecommunications services (66 A/2019 M).

The use of this register applies to the following activities:

• Collection of market data (Section 315 of the TYK and Act on Strong Electronic Identification and Electronic Trust Services, Section 42a(2) and 43).
• Data collection on disturbances in telecommunications services and information security failures (Regulation 66 A/2019 M).

Data content

The data undergoing processing

The register contains the following information for telecommunications operators, companies, cooperatives and identification service providers:

• Company name
• Company business ID
• Address of company
• Unique identifier of the contact person
• Name of contact person
• Telephone number of the contact person
• Email address of the contact person
• Role assigned to the contact person in the register (Suomi.fi Authorization)
• Other e-mail, such as registry office’s e-mail

Sources of the processed data (where the data is received from)

The register's information source is the information provided by the customers and the Suomi.fi identification and authorization of the Digital and Population Data Services Agency.

Storage period of personal data 

The data storage periods are based on the principles of the valid archiving and data control plan. The information is stored as long as it is required to carry out the statutory administrative tasks of the Finnish Transport and Communications Agency.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Personal data will not be disclosed to third parties.

Processing of personal data on behalf of the controller

The personal data is not processed on behalf of the controller.

Transfer of personal data to third countries outside the EU/EEA

No data is transferred outside the EU or EEA.

Automated decisionmaking and profiling

Automatic decision-making or profiling is not used.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. The data subject can also update his/her email address and phone number themselves as a logged-in user of the service.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

At Traficom, personal data is most often processed for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to data portability, unless separately provided by law.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Personal data is processed at Traficom for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to removal of their data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

12.4.2023 TRAFICOM/108561/00.04.00.03/2023

Grounds for and purpose of the data processing

A company engaged in general telecommunications, pay-television service operations, broad- casting operations, on-demand programme service operations and the provision of a videosharing platform service must submit a notification to Traficom before starting operations. The obligation to notify is prescribed in Section 4 of the Act on Electronic Communications Services (917/2014).

According to Section 5 of the Act, the Finnish Transport and Communications Agency maintains a public list of notifications referred to in Section 4.

According to Section 4 of the Postal Act (415/2011), a company engaged in postal operations must notify Traficom before starting operations.

According to Section 5 of the Act, the Finnish Transport and Communications Agency maintains a public list of notifications referred to in Section 4.

Data content

The data undergoing processing

The data material to be processed contains information about telecommunications, broadcasting operations, pay television services, on- demand program services, video sharing platform services and companies that have submitted a postal operation notification.

Operators that have submitted a telecommunications notification

Collected personal data

• name of the appointed and secondary contact person in the enterprise or organisation carrying out the operations
• telephone number of the appointed and secondary contact person in the enterprise or organisation carrying out the operations
• email address of the appointed and secondary contact person in the enterprise or organisation carrying out the operations

Other information to be attached to personal data:

• name of the operator
• business identity code or registration number of the enterprise or organisation carrying out the operations
• postal address of the operator
• telephone number of the operator
• email address of the operator
• home page address
• address of the possible main establishment of the operator
• description of the provided or planned service
• geographical operating area of the operator
• information on whether activities are carried out in the whole- sale and/or retail market
• estimate of the date on which the operations will commence
• end date of operations

Companies that submitted a broadcasting, pay television service, on-demand program service and video sharing platform service notification

Collected personal data

• name of the contact person in the enterprise or organisation carrying out the operations
• telephone number of the contact person in the enterprise or organisation carrying out the operations
• email address of the contact person in the enterprise or organisation carrying out the operations

Other information to be attached to personal data

• name of the operator
• business identity code or registration number of the enterprise or organisation carrying out the operations
• postal address of the operator
• telephone number of the operator
• email address of the operator
• description of the corporate structure of the enterprise carrying out the operations
• description of the provided or planned programmes and videos
• geographical operating area of the operator
• estimate of the date on which the operations will commence
• information on the basis of which Finnish jurisdiction can be defined
• 15) a broadcasting notification, notification of video-on-demand services and pay-television service notification must also include an account of premises where the recordings required by the Act on the Exercise of Freedom of Expression in Mass Media (460/2003) are available for viewing or listening.

Companies that submitted a postal activity notification:

Collected personal data

• Name of contact person
• Email address of the contact person
• Phone number of the contact person
• Name of contact person related to electronic notification
• Mobile phone number related to electronic notification
• Email address related to electronic notification 

Other information to be attached to personal data:

• Company name
• Business ID of the enterprise or association
• Postal address of the company
• Telephone number of the company
• E-mail of the company
• Description of the postal operations to be carried out
• Target group of the service
• Geographical operating area of the enterprise
• Estimate of the date on which the operations will commence
• Consent to electronic notification

Sources of the processed data (where the data is received from)

The information is obtained from a company entered in the notice of activity register or from a registered person. Electronic forms on Traficom's website are used to collect data.

The information is also checked from the YTJ (Business and Entity Information System) information service of the Finnish Patent and Registration Office.

Storage period of personal data 

Personal data will be stored as long as the notifying company is engaged in activities subject to notification.

Personal data is stored for five years after the company has notified Traficom of the termination of operations or when Traficom has removed the company from the register on other grounds.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Traficom publishes information on its website about the name of the company that made the telecommunications and on-demand program service notification.

Traficom publishes on its website information about the name of the company that submitted the postal activity notification and the geo- graphic operations area that the company has reported.

Pursuant to Section 5 of the Act on Electronic Communications Services, Traficom hands over telecommunications notifications to the Body of European Regulators for Electronic Communications. Other- wise, there will be no regular disclosure from the register.

Traficom discloses public information about the companies that submitted a broadcasting, pay television service, on-demand program service and video sharing platform service notification to the MAVISE database maintained by the European Audiovisual Observatory. Personal information will not be disclosed.

In other respects, the Act on the Openness of Government Activities, Data Protection Regulation and the Data Protection Act apply to the disclosure of personal data.

Processing of personal data on behalf of the controller

The personal data is not processed on behalf of the controller.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

Data is not processed automatically and no profiling is done.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

1.2.2024 TRAFICOM/40159/00.04.00.03/2024

Grounds for and purpose of the data processing

Based on section 216 of the Act on Transport Services (320/2017), the Finnish Transport and Communications Agency Traficom maintains a Transport Register in electronic form, containing data on vehicles, for example. As part of maintaining the Transport Register, holders of inspection permit as defined in the Act on the inspection of vehicles (957/2013) who carry out periodic inspections of vehicles shall in connection with roadworthiness tests collect data as defined in section 152 a of the Vehicles Act (82/2021).

In accordance with section 152 a of the Vehicles Act, real-world representative data as defined in Regulation (EU) 2019/631 of the European Parliament and of the Council setting CO2 emission performance standards for new passenger cars and for new light commercial vehicles, Commission Implementing Regulations (EU) No 1014/2010, (EU) No 293/2012, (EU) 2017/1152 and (EU) 2021/392 repealing Commission Implementing Regulation (EU) 2017/1153 is collected in connection with periodic roadworthiness tests. The real-world repesentative data together with the vehicle identification number (VIN) is collected for new passenger cars and new light commercial vehicles registered from 1 January 2021 which are equipped with on-board fuel and/or energy consumption monitoring devices in accordance with Article 4 a of Regulation (EU) 2017/1151.

The Finnish Transport and Communications Agency Traficom reports the data to the European Environment Agency. The Finnish Transport and Communications Agency Traficom does not use the VINs and real-world representative data for purposes other than those defined in Article 12 of Regulation (EU) 2019/631. Otherwise, the Finnish Transport and Communications Agency Traficom may use the data to carry out its statutory duties.

Data content

The data undergoing processing

The VIN, system unique identifier, make, year of entry into service and consumption data are collected in connection with roadworthiness testing as real-world representative data in accordance with the Commission Implementing Regulation (EU) 2021/392.

Data is collected in connection with roadworthiness tests for a maximum period of 15 years from the date on which the data on the vehicle in question was first reported to the European Environment Agency.

Sources of the processed data (where the data is received from)

Data is collected in connection with roadworthiness testing at an inspection station, and it is submitted to the Finnish Transport and Communications Agency Traficom using an electronic interface or via message connection.

Storage period of personal data 

In accordance with Commission Implementing Regulation (EU) 2021/392, the European Environment Agency stores the VINs for a period of 20 years from the date when they were first entered to the central database of the European Environment Agency.

The VINs and real-world data may only be retained by the bodies and establishments responsible for roadworthiness tests until the in- formation has been submitted to the European Environment Agency.

The Finnish Transport and Communications Agency Traficom will retain the information until it is reported to the European Environment Agency annually by 1 April. After this, the Finnish Transport and Communications Agency Traficom is required to delete all submitted data from its database.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

The Finnish Transport and Communications Agency Traficom submits the data to the European Environment Agency annually by 1 April regarding the previous calendar year. In addition, data is submitted individually to a party who has filed an explicit request for it. The data is never submitted as a dataset.

Processing of personal data on behalf of the controller

No other parties process data on behalf of the Finnish Transport and Communications Agency Traficom.

Transfer of personal data to third countries outside the EU/EEA

The data is not transferred outside the EU/EEA.

Automated decisionmaking and profiling

The data will not be processed automatically and no profiling will be conducted.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data content is classified as the technical information of a vehicle. It is not covered by right of access.

Right to rectification 

The data collected cannot be erased or rectified because no such personal information is collected that would enable unambiguous identification of the data subject.

The data subject’s right of access can be realised only if the data subject can be unambiguously identified from the provided responses.

Right to object 

The data subject may object to the collection of the information at the inspection site in connection with the roadworthiness test. The information is processed in order to comply with a legal obligation, and the data subject does not have the right to object to the processing of the information.

Right to data portability

The legal basis for the processing of personal data is compliance with a legal obligation, in which case the data subject does not have the right to transfer the information from one system to another.

Right to erasure 

For the Transport Register, the legal basis for the processing of personal data is compliance with a legal obligation, and this right is not applied at the Finnish Transport and Communications Agency Traficom.

Right to withdraw consent

The right is not applicable to these processing procedures, because the personal information is not processed based on the basis of the consent of the data subject (Article 6(1)(a) of the data protection regulation).

11.8.2023 TRAFICOM/348813/00.04.00.03/2023

Grounds for and purpose of the data processing

Personal data is processed to perform the statutory duties of a public authority. The personal data contained in this register is processed to perform the duties specified in section 2, subsection 1, paragraph 2 of the Act on the Finnish Transport and Communications Agency (935/2018). Customers can contact the Agency's service provider via customer contact forms for matters concerning driving licences and road transport personal licences to enquire about driving examinations, driving licences, personal licences for road transport and professional qualifications. To ensure the quality of customer service and protect customers’ personal data, it is necessary to verify the customer’s identity.

Data content

The data undergoing processing

Customer’s name and personal identity code, name and personal identity code of a person using the service on behalf of another person or organisation, email address, telephone number, name of the holder of a parking card for people with reduced mobility and a description of the matter. Recordings of calls also involve the processing of a person’s voice.

Sources of the processed data (where the data is received from)

The data is received from the customer by means of strong identification (name and personal identity code) and from the data given by the customer. In call recordings, the data is received from the person in question.

Storage period of personal data 

Personal data collected from contact forms is stored temporarily in the data log of the VISA platform for 1 month and in ServiceNow tickets for 5 years. Call recordings are stored for 2 years.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

As a rule, collected data is not disclosed. However, personal data may be disclosed to certain authorities (e.g. Finnish Tax Administration) based on the law.

Processing of personal data on behalf of the controller

The data is processed by the personnel of the Finnish Transport and Communications Agency’s service provider Ajovarma Oy (1033613-0).

On behalf of the system provider, the data is processed by the following:

• Elisa Corporation (business ID: 0116510-6)
• Government ICT Centre Valtori (business ID: 2574261-7) Tietoevry Corporation (business ID: 0101138-5)
• Pinja Group Ltd (business ID: 2277884-1)
• Codecontrol Oy (business ID: 2645169-4) 
• Digia Finland Ltd (business ID: 1091248-4)
• ProToppex Oy (business ID: 1003566-1)
• ManpowerGroup Ltd (business ID: 1091032-3)

Transfer of personal data to third countries outside the EU/EEA

Data is not transferred outside the EU/EEA.

Automated decisionmaking and profiling

Data processing does not involve automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

1.3.2023 TRAFICOM/ 81499/00.04.00.03/2023

Grounds for and purpose of the data processing

The processing of personal information is based on the GDPR (EU) 2016/679 Article 6(1)(e) and the Data Protection Act Section 4(1)(2) specifying it, according to which the processing of personal information is in accordance with the law when it is necessary and proportionate for the performance of a task carried out in the public interest by the public authority. Personal data is processed to perform the statutory duties of a public authority.

Recording camera surveillance in theory test rooms is used to investigate and prevent cases of cheating. Recording camera surveillance is carried out to prevent, investigate and prove crimes, offences and other misconduct. Camera surveillance is also carried out to ensure the safety of employees and other persons and to prevent and investigate situations that endanger safety. The recordings may be used, if necessary, to assert, establish or defend legal claims or to ensure other legal protection.

Data content

The data undergoing processing

The camera surveillance register stores information about people who are taking a theory test for a driving examination. The data content consists of events recorded by the camera, which, in addition to the recorded image, include information about the time of the recording (time and date). The camera system does not record sound.

Sources of the processed data (where the data is received from)

Ajovarma carries out the camera surveillance as Traficom’s service provider. If necessary, camera recordings will be provided to Traficom in case of suspected cheating. Camera surveillance is only performed in separate theory test rooms while the candidate is participating in a theory test. Customers are informed of recording camera surveillance with signs at Ajovarma service points.

Storage period of personal data 

The records of the camera surveillance shall be retained for a period of 30 days. The length of the storage period is intended to ensure that any deviations recorded by the camera surveillance system can be detected and investigated. The camera surveillance system deletes the recordings automatically when the storage period ends. 

The recordings are used in Traficom to investigate cheating cases. The recordings can also be delivered to a criminal investigation authority, in which case they are kept for the period of the detection process, preliminary investigation and the possible court hearing. The length of the legal process also includes appeal periods.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

In cases of suspected crime, data may be disclosed to the preliminary investigation authority if necessary in accordance with Finnish legislation.

Processing of personal data on behalf of the controller

Ajovarma Oy, Business identification code 1033613-0

Transfer of personal data to third countries outside the EU/EEA

Personal data is not transferred outside the EU/EEA.

Automated decisionmaking and profiling

The processing of personal data does not involve automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. Camera recordings are not handed over directly to individuals themselves (camera recordings are confidential because they include information about the test questions, Act on the Openness of Government Activities (621/1999) Section 24(1)(22)

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

This right does not apply to the processing operations in question because personal data is not processed on the basis of consent or agreement.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

28.2.2024 TRAFICOM/10887/00.04.00.03/2024

Grounds for and purpose of the data processing

The 5G Momentum ecosystem established in 2018 is a cooperation network aimed at 5G operators and service providers. The purpose of the network is to promote the development and deployment of 5G services, promote new services and innovations based on 5G technology through trials, identify challenges related to the 5G operating environment and make Finnish 5G expertise visible.

The 5G Momentum ecosystem is an open forum for information exchange, and personal data is processed in the context of the network for the purpose of sharing information about 5G and news about other new technologies related to it. Personal data is processed in connection with the sending of the 5G Momentum newsletter, invitations to group events, surveys on topical matters or information on topical matters related to 5G to members of the network.

The basis for the personal data processing is the controller’s performance of a task carried out in the public interest. It is the duty of authorities to produce and share information. As such, the grounds for the processing are public interest based on the controller’s obligation to provide information about current events in the transport and communications sectors, which are part of its field of competence. Furthermore, the Act on Electronic Communications Services lays down provisions on Traficom’s duties and special tasks.

The basis for the personal data processing is the controller’s performance of a task carried out in the public interest (Article 6(1)(e) of the General Data Protection Regulation (2016/679) and section 4 of the Data Protection Act (1050/2018)).

Data content

The data undergoing processing

We process the names and contact details (such as organisation, email address or phone number) of persons who are part of stakeholders and, if necessary, data describing the person’s position or duties (such as title or role).

Sources of the processed data (where the data is received from)

Data is received primarily from persons themselves when they join the distribution list or from the representatives of stakeholders (as a result of a company’s contact person naming participants, for example). The only mandatory information that must be provided when joining the distribution list is an email address and organisation.

Storage period of personal data 

Personal data related to stakeholder events is stored for the purpose of processing only for as long as processing is necessary. Traficom deletes outdated data. Personal data is stored for as long as the group exists.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

As a rule, personal data is not disclosed to third parties. As a public authority, Traficom’s activities are subject to the Act on the Openness of Government Activities (621/1999).

Processing of personal data on behalf of the controller

The personal data is processed only by Traficom.

Transfer of personal data to third countries outside the EU/EEA

The data will not be transferred outside the EU/EEA.

Automated decisionmaking and profiling

Traficom does not use automated decision-making or profiling in this context.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

At Traficom, personal data is most often processed for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to data portability, unless separately provided by law.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

25.1.2023

Grounds for and purpose of the data processing

The aid granted by Traficom in accordance with the Act on Broadband Construction Aid (1262/2020) is a government grant financed by the EU Recovery and Resilience Facility (RRF). Traficom must report the information in accordance with Section 12 of the Act on the Management, Supervision and Inspection of the European Recovery and Resilience Support Instrument (537/2022) to the RRP system maintained by the State Treasury for centralized national monitoring and control of the implementation of the recovery and resilience plan. The information that must be reported is stipulated in Article 22(2)(d)(i-iv) of Regulation (EU) 2021/241 of the European Parliament and of the Council establishing the Recovery and Resilience Support Instrument.

Traficom processes the beneficiary's personal data in order to fulfil its obligations to protect the financial interests of the European Union. The processing of personal data is in accordance with the EU General Data Protection Regulation (EU 2016/679), Article 6(1)(c, e), i.e. the processing is necessary to comply with the controller's statutory obligations and to fulfil the controller's public authority.

Data content

The data undergoing processing

Traficom must process and report the actual owners and beneficiaries of the beneficiary who received the broadband aid. This means one or more natural persons owned or controlled by a legal entity (company, association, foundation). The name and date of birth of the person/persons must be stated as the owner and beneficiary information of the applicant.

Additionally, as other personal data, Traficom collects the beneficiary’s telephone number and email address for the necessary contact in the aid process.

Sources of the processed data (where the data is received from)

The information is obtained from the beneficiary.

Additionally, Traficom can verify the information from the trade register maintained by the Finnish Patent and Registration Office.

Storage period of personal data 

Data will be stored until the end of 2032 in accordance with Section 18 of the Act on the Management, Supervision and Inspection of the European Union's Recovery and Resilience Support Instrument (537/2022).

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data can only be disclosed in accordance with the obligations and re- strictions set out in legislation or with the consent of the registered person. As a public authority, Traficom’s activities are subject to the Act on the Openness of Government Activities (621/1999).

The State Treasury hands over the personal data reported to the RRP system by Traficom to the European Commission and the Ministry of Finance and supervisory authorities upon request pursuant to Sections 13 and 14 of the Act on the Management, Supervision and Inspection of the European Union's Recovery and Resilience Support Instrument. The processing of data with regard to the RRP system is described in the privacy notice of the State Treasury's RRP system: Privacy Statement: Implementation of the EU Recovery and Resilience Support Instrument Plan (RRP) (in Finnish).

Processing of personal data on behalf of the controller

The personal data is processed only by Traficom.

Transfer of personal data to third countries outside the EU/EEA

Data is not transferred outside the EU or the EEA

Automated decisionmaking and profiling

Data is not processed automatically and no profiling is done.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

7.2.2024

Grounds for and purpose of the data processing

The processing of personal data is necessary for compliance with a legal obligation to which the controller is subject (point (c) of Article 6(1) of the General Data Protection Regulation) and for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller (point (e) of Article 6(1) of the General Data Protection Regulation).

The personal data are used for the performance of the Finnish Transport and Communications Agency’s official duties related to licence and supervision matters as laid down in the Act on Earth Stations and Certain Radars (96/2023, hereinafter also referred to as the ‘Earth Stations Act’).

• This register is used for the following tasks:
• processing of notifications submitted by authorities (section 3 of the Earth Stations Act)
• issuing, processing and maintenance of licences and carrying out reliability evaluations (sections 4–8 of the Earth Stations Act)
• supervision, including reception and processing of information and incident notifications submitted by operators, exercise of the right to access and review data and exchange of information between authorities (sections 9–17 of the Earth Stations Act)
• invoicing (section 18 of the Earth Stations Act).

Data content

The data undergoing processing

The register contains personal data relevant to licence and supervision matters related to earth station and radar operations.

The register contains the following information on operators as referred to in the Earth Stations Act and their representatives, the members and deputy members of their board of directors or supervisory board, their CEO and the CEO’s deputy, their active partners, their other members of top management, their owners and their contact persons

• client number, licence number
• name
• business ID / date of birth / personal identity code / nationality
• address
• postal code, city, country
• telephone number
• email address
• invoicing information.

Location of the earth station or radar

As regards reliability evaluations, the following information on the persons being evaluated as referred to in section 5 of the Earth Stations Act:

• bankruptcy information (section 1 of the Act on the Bankruptcy and Restructuring Register 137/2004)
• business prohibition information (section 21 of the Act on Business Prohibitions 1059/1985)
• criminal record information (section 2 of the Criminal Records Act 770/1993)
• fines register information (section 46 of the Act on the Enforce- ment of a Fine 672/2002)
• attachment information (section 24 of the Enforcement Code 705/2007)
• other relevant extracts, certificates and information as regards the above (section 5(4) of the Earth Stations Act)
• information on the person’s manifest unfitness to engage in earth station or radar operations in a manner compliant with national security, Finland’s international obligations or foreign and security policy (section 5(2)(2) of the Earth Stations Act).

Information on operators’ notifications to the authorities and licences 

Information on operators’ clients

• clients and client groups, including name and any identifying information and any changes in client relationships. 

Other information related to electronic communications and supervision:

• traffic data, location data and messages
• information concerning the information system or telecommunications arrangement being inspected.

Other personal data: Personal data (such as a person’s name, contact information) may be included in the following notifications: annual reports, submitted information on changes that may be relevant to eligibility for a licence or the terms of a licence and incident notifications.

Sources of the processed data (where the data is received from)

The data sources of the register are documents received from clients and other authorities. Relevant data are also obtained from the Ministry of Defence, the Ministry for Foreign Affairs, the Ministry of Transport and Communications, the Finnish Security and Intelligence Service, the Finnish Defence Forces, the Legal Register Centre and National Enforcement Authority Finland. Furthermore, data may be collected from the Finnish Patent and Registration Office’s Business Information System and Finnish Register of Associations.

Traficom may also receive and acquire data in connection with carrying out supervision tasks.

Storage period of personal data 

The data retention periods are based on currently valid archiving and information management plan principles. 

The data are retained for as long as they are needed for carrying out the Finnish Transport and Communications Agency’s statutory administrative tasks.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Confidentiality regulations or other restrictions on the disclosure of information notwithstanding, the Finnish Transport and Communications Agency, the Ministry of Defence, the Ministry for Foreign Affairs, the Ministry of Transport and Communications, the Finnish Security and Intelligence Service and the Finnish Defence Forces have the right to disclose documents that they have obtained or drawn up in connection with carrying out their statutory duties and disclose confidential information to each other if doing so is necessary for the performance of their statutory duties.

Furthermore, in connection with reliability evaluations, personal data may be disclosed to the Legal Register Centre, National Enforcement Authority Finland and other competent authorities for the purpose of obtaining the necessary register extracts and documents.

Personal data related to invoices are disclosed during invoicing to the invoicing customer register of the Finnish Government Shared Services Centre for Finance and HR’s (Palkeet) Kieku system using a secure machine-to-machine (M2M) connection.

The data are used for tasks related to invoicing, such as the sending of invoices and collection proceedings.

Processing of personal data on behalf of the controller

No processing of personal data on behalf of the controller.

Transfer of personal data to third countries outside the EU/EEA

No data is disclosed outside the EU or EEA.

Automated decisionmaking and profiling

The personal data processing does not involve automated decision- making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

At Traficom, personal data are most often processed for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to data portability, unless separately provided by law.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

At Traficom, personal data are most often processed for the purpose of carrying out the statutory tasks of an authority, in which case the data subject does not have the right to erasure.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

1.1.2024 TRAFICOM/83427/00.04.00.03/2024

Grounds for and purpose of the data processing

The processing of personal data is based on the fulfilment of the controller's statutory duties.

Personal data is used to manage the administrative tasks of the Finnish Transport and Communications Agency prescribed by the Act on Transport Services (320/2017) and the Finnish Transport and Communications Agency's regulation for Demand and supply data for passenger transport services and price data for taxi services (TRAFICOM/420990/03.04.03.00/2020).

The use of this register applies to the following activities:

Act on Transport Services section 152 subsection 7: The Finnish Transport and Communications Agency must monitor the general price development of taxi transport services in different regions. License holders and brokerage service providers engaged in passenger transport have the obligation, without prejudice to business secrets, to periodically submit information on the actual prices of the taxi services they offer or broker to the Finnish Transport and Communications Agency in order to carry out the monitoring tasks referred to in this subsection and subsections 4 and 5. The Finnish Transport and Communications Agency issues more detailed regulations on the price information to be delivered, the delivery methods and the delivery times of the information.

Act on Transport Services section 179 subsection 1: The Finnish Transport and Communications Agency shall monitor the demand for and supply of mobility services and coordinate their development. Additionally, the Finnish Transport and Communications Agency evaluates the state and functionality of the transport system, assesses the effects of this law and reports on them regularly.

Act on Transport Services section 233 subsection 1, chapters 1 and 2: The Finnish Transport and Communications Agency maintains data for its duties stipulated in the law:

• supply and demand of transport markets and mobility services and their development
• transport volumes of different modes of transport and other indicators.

The Finnish Transport and Communications Agency can publish information based on the data in this register, from which individual actors cannot be identified.

Data content

The data undergoing processing

The register contains the following information about taxi transport license holders (hereinafter referred to as taxi companies) and providers of taxi transport brokerage services (hereinafter referred to as dispatch centres):

Monthly monitoring of dispatch centres and large taxi companies (the turnover of taxi operations in the previous year is at least 7.5 million euros):

• Business ID of the taxi company
• Name of the taxi company
• Registration number of the vehicle that undertook the journey
• Taxi journey time of order
• Taxi journey departure time
• Taxi journey arrival time
• Taxi journey response time
• Taxi journey duration
• Advance order of a taxi journey (yes/no)
• Taxi journey start location
• Journey distance
• Taxi journey order type
• Accessibility requirement of a taxi journey (yes/no)
• Additional information about a taxi journey
• Total price of a taxi journey
• Basic price of a taxi journey
• Payment method

Annual monitoring of taxi companies:

• The notifier's name and personal identity code data are processed through the Suomi.fi identification of the Digital and Population Data Services Agency. The information is stored in case of misuse and failure, and is not used for any other purpose.
• The notifier's e-mail address information is used for automatic acknowledgement of receipt. Providing information is voluntary for the notifier and the information is not stored in the system.
• The notifier's mobile phone number information is used for automatic acknowledgement of receipt. Providing information is voluntary for the notifier and the information is not stored in the system.
• Company business ID
• Company name
• Total number of taxi journeys
• Number of KELA and social welfare and health care rides
• Number of taxi journeys requiring accessible equipment
• Professional mileage
• Taxi vehicles in use: The registration numbers of the vehicles used in taxi transport by the taxi company during the review year are reported individually.
• umber of accessible fleet
• Typical starting municipalities of taxi journeys
• Total turnover
• Taxi transport turnover
• Ordering methods
• Additional services and their pricing of special groups
• Number of taxi drivers and forms of employment
• Address for a price list published in an electronic service 

Annual monitoring of a dispatch centre:

• Company business ID
• Company name
• Turnover
• Number of dispatched taxi journeys
• Unrealised municipality-specific journeys

Uutiskirjeet.traficom.fi newsletter service is used to send email requests for information on the annual monitoring of taxi companies.

Uutiskirjeet.traficom.fi uses technical cookies to ensure the service functions properly.

Sources of the processed data (where the data is received from)

The register's information source is the information provided by the customers and the Suomi.fi identification and authorization of the Digital and Population Data Services Agency.

Information is retrieved from the following sources:

• The Business Information System (YTJ)
• Vehicle information system (ATJ)
• Transport Register (LILJA)

Storage period of personal data 

The data storage periods are based on the principles of the valid archiving and data control plan. The information is stored as long as it is required to carry out the statutory administrative tasks of the Finnish Transport and Communications Agency. Personal data is stored for a maximum of five years. Aforementioned applies to uutiskirjeet.traficom.fi service too.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Notwithstanding the duty of non-disclosure, Traficom has the right to disclose information it has obtained to another authority if the information is essential in order for this authority to perform its statutory duties.

Personal data is not disclosed for any other purpose in accordance with the rules.

Processing of personal data on behalf of the controller

Liana Technologies (Koodiviidakko Oy, business ID 1939962-1) serves as the processor of the personal data for uutiskirjeet.traficom.fi service. The email information requests for the annual monitoring of taxi companies is the only part of Traficom's taxi market monitoring where the personal data is processed on behalf of the controller.

Transfer of personal data to third countries outside the EU/EEA

Personal data is not transferred outside the EU/EEA.

Automated decisionmaking and profiling

Data processing does not involve automated decision-making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. The data subject’s right to access their own personal data can be exercised only if the data subject can be unambiguously identified based on the given responses.

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. The data subject’s right to access their own personal data can be exercised only if the data subject can be unambiguously identified based on the given responses.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

The demand to restrict the processing of data can be processed if the data subject can be unambiguously identified based on the given responses.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data. 

The demand to erase personal data can be processed if the data subject can be unambiguously identified based on the given responses.

18.3.2024 TRAFICOM/368205/00.04.00.03/2023

Grounds for and purpose of the data processing

The register has been established for the purpose of storing contact details related to navigational warnings for potential future contact and for the purposes of safety investigation.

Pursuant to Section 24 of the Maritime Rescue Act (1145/2001), Traficom is responsible for safety-related navigational warnings and notices. The processing of personal data related to navigational warnings is based on Article 6(1)(e) of the General Data Protection Regulation, according to which processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

Data content

The data undergoing processing

The name and contact details of the person reporting information that may compromise maritime safety. The data are stored for potential future contact and for the purposes of safety investigation.

Sources of the processed data (where data are received from)

The data is obtained directly from the person reporting information that may compromise maritime safety. The data may be received, inter alia, by telephone, via voice communications conducted through the maritime VHF system, by email, in DSC messages, or through other communication channels.

Storage period of personal data

Personal data are retained for no longer than is necessary for the purposes of clarifying the situation related to the navigational warning, however for a minimum period of 90 days.

Data processing

Recipients and categories of recipients of personal data (to whom personal data are disclosed)

Personal data are available to Traficom and to processors acting on its behalf for the duration of the processing. Personal data are not routinely disclosed to third parties.

Upon a separate request, data are disclosed to other authorities and operators with the right to use the data. The disclosed data are used for purposes such as safety investigation and court proceedings.

Processing of personal data on behalf of the controller

Processor of personal data: 

Fintraffic Vessel Traffic Services Ltd (2945246-5) 
Palkkatilanportti 1, FI-00240 Helsinki, Finland

Transfer of personal data to third countries outside the EU/EEA

Personal data are not transferred outside the European Union (EU) or the European Economic Area (EEA).

Automated decision-making and profiling

The personal data processing does not involve automated decision-making or profiling. 

Rights related to the processing of personal data

About exercising rights

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority

If you believe that your personal data are being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection ombudsman
PO Box 800, FI-00531 Helsinki, Finland
tietosuoja(at)om.fi
tel. +358 29 566 6700

Right of access to personal data

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning the data subject is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate or incorrect personal data.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, data subjects have the right to object to the processing of personal data concerning them.

If data subjects use their right to object, the controller must stop the processing of their personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If the personal data are processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds.

In situations where personal data are processed for statistical or research purposes, data subjects may object to the processing on grounds relating to their particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing

The data subject has the right to obtain from the controller restriction of processing if:

• the data subject contests the accuracy of the personal data

• the processing is unlawful, but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

TRAFICOM/197739/00.04.00.03/2025

Grounds for and purpose of the data processing

The register has been established for managing the maritime distress and safety radio service appropriately as well as investigating events concerning maritime accidents and dangerous situations after the fact. 

The processing of personal data is based on section 24 of the Maritime Search and Rescue Act (1145/2001), Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation, GDPR) as well as the Data Protection Act (1050/2018).

Data content

The data undergoing processing

Personal data related to the reports in the service (the names and contact details of the persons involved in the event being reported, as well as descriptions related to the event).

Personal data received in voice traffic via the marine VHF system as well as in DSC messages (such as the identifying information of the vessel, the location, the name of the person who reported information on risks to navigation, the name of the person in distress, the name of the person transmitting the emergency message, information describing the state of health of the person in distress). The information is transmitted to maritime search and rescue authorities as well as the rescue department in connection with the events. The information is saved for safety investigation and court proceedings.

Sources of the processed data (where data are received from)

As a rule, the initial information comes from the person in distress, the person who reported the emergency or the user of the safety radio service. The information may come by telephone or marine VHF radio or via a technical system interface. 

The reports are generated due to the statutory duty of the controller.

Storage period of personal data

The personal data are stored as long as necessary to take care of the rescue activities appropriately and investigate the events involved in the accident or dangerous situation and the related search and rescue measures; however, for a minimum of 90 days.

Data processing

Recipients and categories of recipients of personal data (to whom personal data are disclosed)

The data are disclosed to the authorities and operators participating in maritime rescue.

Upon a separate request, data are disclosed to other authorities and operators with the right to use the data. The disclosed data are used for purposes such as accident investigation and court proceedings.

Processing of personal data on behalf of the controller

Processor of personal data: Fintraffic Vessel Traffic Services Ltd (2945246-5) Palkkatilanportti 1, FI-00240 Helsinki, Finland

Transfer of personal data to third countries outside the EU/EEA

Data can be transferred outside the EU, if parties outside the EU are linked to the event related to the data.

Automated decision-making and profiling

The personal data processing does not involve automated decision-making or profiling. 

Rights related to the processing of personal data

About exercising rights

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority

If you believe that your personal data are being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection supervisory authority
PO Box 800, FI-00531 Helsinki, Finland
tietosuoja(at)om.fi
tel. +358 29 566 6700

Right of access to personal data

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning the data subject is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate or incorrect personal data.

Right to restriction of processing

The data subject has the right to obtain from the controller restriction of processing if:

• the data subject contests the accuracy of the personal data

• the processing is unlawful, but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

TRAFICOM/340920/00.04.00.03/2023

Grounds for and purpose of the data processing

The purpose of the theory test data form is to collect the information for the completion of the pilot theory test and PEC theory test.

The data is only used to record the results of the person who took the test and to inform the person of the result.

The basis for the personal data processing is the controller’s performance of a task carried out in the public interest (Article 6(1)(e) of the General Data Protection Regulation (2016/679) and section 4 of the Data Protection Act (1050/2018)). Under section 20 of the Act on the Openness of Government Activities (621/1999), the authorities have the duty to produce and disseminate information. As such, the grounds for the processing are public interest based on the controller’s obligation to provide information about current events in the transport and communications sectors, which are part of its field of competence.

Section 1 of the Act on the Transport and Communications Agency (935/2018) requires Traficom to operate in a customer-oriented manner, drawing on multisectoral expertise.

The pilot theory test and the PEC theory test are based on the requirements of the Pilotage act (561/2023) in section 36 Written part of the pilot examination and section 45 Written part of the PEC examination.

Data content

The data undergoing processing

The purpose of the theory test form is to collect information on the persons taking the theory test and the completion of the test.

The Webropol questionnaire collects information about the name, date of birth and e-mail address of the participants for the purpose of authenticating the person and providing a response.

Webropol uses necessary cookies for the functioning of its service platform and collects the data specified below using them. These cookies are connected to the functionality and quality control of the service.

Webropol uses cookies to collect e.g. the following information:

• Operating system
• browser version
• IP address
• browser add-ons
• number of times the survey has been opened in the space of one week
• page download time
• incomplete responses.

Sources of the processed data (where the data is received from)

The data source is a questionnaire on the Webropol platform. The link to the questionnaire is shared via email.

Storage period of personal data 

Any personal data entered will not be stored after 2025. Webropol will store data collected through cookies for 14 days.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Personal data is stored on the Webropol Oy (business ID FI17739602) service platform. Webropol Oy and Traficom have an agreement on processing personal data.

Processing of personal data on behalf of the controller

Webropol Oy (Business ID: FI17739602) processes the personal data and Telia Cygate Oy (Business ID 0752421-0) and Qumio Oy (Business ID 2466203-3) process the data as its subcontractors.

Webropol may not transfer personal data to third parties, except to subcontractors agreed upon by the Agency and Webropol. The following subcontractors may act as processors in accordance with the definition in the data protection regulation when serving as Webropol subcontractors to ensure and improve the development, usability and reliability of the system: Telia Cygate Oy (business ID 0752421-0) and Qumio Oy (business ID 2466203-3).

Transfer of personal data to third countries outside the EU/EEA

Personal data is not transferred outside the EU/EEA.

Automated decisionmaking and profiling

The processing of personal data does not involve automated decision- making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

TRAFICOM/589429/00.04.00.03/2024

Grounds for and purpose of the data processing

According to section 20 of the Act on the Openness of Government Activities (621/1999), the authorities shall promote the openness of their activities and, where necessary for this purpose, produce guides, statistics and other publications, as well as information materials on their services and practices, as well as on the social conditions and developments in their field of competence. As such, the grounds for the processing are public interest based on the controller’s obligation to provide information about current events in the transport and communications sectors, which are part of its field of competence.

Websites are a key communications channel for Traficom, and the agency maintains several websites focusing on different topics. Traficom.fi, kyberturvallisuuskeskus.fi and other sites in the same system with them are hosted on a server located in the agency’s own data centre.

Information is also relayed via videos embedded on the websites. These videos are shared via a service provided by Dream Broker Oy (2092227-2), and the videos are hosted on Dream Broker Oy’s server in Finland. Viewer statistics are collected on the videos: the number of viewers per video and how much of each video is viewed (at 25% intervals).

Data content

The data undergoing processing

The data undergoing processing consists of each data subject’s:

• IP address
• video viewing quality as selected by the user, if the user changes the default setting.

Sources of the processed data (where the data is received from)

The personal data concerning videos are received directly from the data subjects.

Storage period of personal data 

IP addresses are stored on Dream Broker Oy’s server for two (2) years. The video viewing quality cookie selected by the user is session- specific and only stored on the viewer’s device.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Personal data are stored on Dream Broker Oy’s (2092227-2) server.

Processing of personal data on behalf of the controller

Dream Broker Oy (2092227-2) processes personal data on behalf of the controller. Dream Broker Oy and Traficom have an agreement on processing personal data. 

The data are not disclosed to third parties.

Transfer of personal data to third countries outside the EU/EEA

Personal data are not transferred outside the EU/EEA.

Automated decisionmaking and profiling

The personal data processing does not involve automated decision- making or profiling.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain from the controller confirmation as to whether or not personal data concerning him or her is being processed. If processing takes place, the data subject has the right to access the personal data. 

The only personal data collected in connection with videos is the data subject’s IP address.

Right to rectification 

The data subject has the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or he

The only personal data collected in connection with videos is the data subject’s IP address.

Right to object 

In situations where the processing of personal data is based on public interest, the exercise of official authority vested in the controller or the legitimate interest of the controller or a third party, the data subject has the right to object to the processing of personal data concerning him or her.

If a data subject uses his or her right to object, the controller must stop the processing of the personal data, unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or for the establishment, exercise or defence of legal claims.

If personal data is processed for direct marketing purposes, the data subject has the right to object to the processing without any specific grounds. 

In situations where personal data is processed for statistical or research purposes, the data subject may object to the processing on grounds relating to his or her particular situation, in response to which the controller must stop processing the data subject’s data, unless the processing is necessary for performing a task carried out for reasons of public interest. 

The only personal data collected in connection with videos is the data subject’s IP address.

Right to restriction of processing 

The data subject has the right to obtain from the controller restriction of processing if:

• the accuracy of the personal data is contested by the data subject

• the processing is unlawful but the data subject opposes the erasure of the personal data and requests the restriction of their use instead

• the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims

• the data subject has objected to the processing of the personal data pending the verification of whether the legitimate grounds of the controller override those of the data subject.

The only personal data collected in connection with videos is the data subject’s IP address.

Right to data portability

The data subject has the right to receive the personal data concerning him or her, which he or she has provided to the controller, in a structured, commonly used and machine-readable format and the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where the processing is based on consent or on a contract and the processing is carried out by automated means.

The only personal data collected in connection with videos is the data subject’s IP address.

Right to erasure 

In situations where the legal basis for the processing of personal data is something other than compliance with a legal obligation, public interest or the exercise of official authority vested in the controller, the data subject has the right to obtain from the controller the erasure of personal data concerning him or her. The requested data will be erased unless the controller has a legal basis for refusing to erase the data, such as a legal obligation to retain the data.

The only personal data collected in connection with videos is the data subject’s IP address.

Right to withdraw consent

Insofar as personal data is processed on the basis of the consent of the data subject, the data subject may withdraw his or her consent at any time by notifying the controller of the withdrawal. Withdrawing consent will not affect the lawfulness of processing carried out on the basis of the consent of the data subject before its withdrawal.

8.10.2022 TRAFICOM/583117/00.04.00.03/2022

Grounds for and purpose of the data processing

Act on the Finnish Transport and Communications Agency (935/2018), Act on Transport Services (320/2017) 

Management of data on Traficom’s partners and partnership agreements/operating licences that fall within the area of authority of the agency. These data are needed by operative systems for access rights, reporting and charging and by business operations for communication with partners.

Data content

The data undergoing processing

The register contains the following data on companies and organisations:

• names and addresses
• business locations
• persons responsible
• agreements.

Sources of the processed data (where the data is received from)

Applications, notifications or agreements/licences of agreement partners.

Storage period of personal data 

Personal data is retained until the company deletes or changes information on persons responsible.

Data processing

Recipients and categories of recipients of personal data (to whom personal data is disclosed)

Data on organisation partners are only processed by employees of Traficom, and data on partner companies are only disclosed to the partner companies themselves.

Processing of personal data on behalf of the controller

No processing on behalf of the controller takes place.

Transfer of personal data to third countries outside the EU/EEA

When the partner company is based outside of the EU, data that the company itself has previously provided are disclosed to the company for the purpose of assessing the need to update the data.

Automated decisionmaking and profiling

No automated decision-making or profiling takes place.

Rights related to the processing of personal data 

About exercising rights 

You can exercise your rights by submitting a request to Traficom by email or post. The controller’s contact details are listed in this privacy statement under the section ‘Controller’s contact details’. 

The right to lodge a complaint with the supervisory authority 

If you believe that your personal data is being processed in violation of legislation, you may lodge a complaint with the Office of the Data Protection Ombudsman.

Office of the Data Protection Ombudsman
PO Box 800, FI-00531 Helsinki
tietosuoja(at)om.fi
tel. +358 29 566 6700

Rights

Right of access

The data subject has the right to obtain confirmation on whether or not Traficom is processing personal data concerning them and to obtain access to the personal data concerning them that Traficom is processing.

Right to rectification 

The data subject has the right to obtain from Traficom the rectification of inaccurate personal data concerning them or have incomplete personal data completed.

TRAFICOM/534584/00.04.00.03/2025