GDPR ja eprivacy mitä siis nyt pitäisi tehdä? Laura Tarhonen Privacy Manager Sanoma Oyj 8.6.2017 IAB Tietosuojaseminaari Kuvat: unsplash.com / esimerkkisivustot ja palvelut
2
Seitsemän asiaa, jotka voit jo tehdä! 1. Kartoita tietojen käsittelysi laatu ja laajuus 2. Läpinäkyvyys: päivitä tietosuojalauseke, tarkista kaikki informointikanavat 3. Käy läpi suostumusten / kieltojen muotoilut sekä lupienhallinta 4. Varmista että pystyt vastaamaan kuluttaja-asiakaan kysymyksiin / pyyntöihin 5. Uusi sopimukset alihankkijoiden (henkilötietojen käsittelijöiden) kanssa 6. Huolehdi tietoturvasta ja määrittele henkilötietojen tietoturvaloukkaukseen prosessi 7. Dokumentoi kaikki mitä teet! Seuraa: 1) eprivacy asetuksen valmistelua mihin suuntaan mennään? 2) Tietosuoja-asetuksen tulkintoja / viranomaisohjeita / alan liikehdintää 3
Henkilötiedot mainonnassa Anonyymi tieto Henkilötieto Sessio eväste Epäsuoraa tunnistettavissa oleva tieto Evästeprofiili, jossa pysyvä tunniste Evästeprofiili, jossa pysyvä tunniste läpi järjestelmien Evästeprofiili, jossa IP-osoite Pseudonymisoitu tieto Suoraa tunnistava tieto Sensitiivinen tieto Arkaluonteinen tieto Nimi Email-osoite Puhelinnumero Tarkka sijainti Lasten tiedot Segmentti, joka liittyy esim. sairauteen tai seksuaaliseen suuntautumiseen 4
Läpinäkyvyys Tarkista että kaikki vaaditut tiedot kerrotaan tietosuojalausekkeessa Muista selkokielisyys Informoi käyttäjiä aktiivisesti tietosuojakäytännöistä: Kun palvelua käytetään Kun käytännöt muuttuu 5
Suostumukset / opt-out Mihin suostumuksen tyypillisesti tarvitsee? - Email-markkinointi - Tarkan sijaintitiedon käsittely - Datan käyttö toissijaisiin käyttötarkoituksiin kuten mainonnan kohdentaminen Millainen suostumuksen tulee olla? - Yksilöity ja vapaa tahdonilmaisu - Erillään muista luvista tai ehdoista - Yhtä helppo perua kuin antaa 6
Käyttäjän oikeudet 1. Pääsy tietoihin 2. Tietojen oikaisu 3. Oikeus poistoon 4. Oikeus käsittelyn rajoittamiseen 5. Oikeus siirtää tiedot järjestelmästä toiseen 6. Vastustamisoikeus 7. Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi Toteutus automaattinen / manuaalisesti / molemmat Käyttäjien käytöksen ohjaaminen Huom! Asiakkaan tunnistaminen 7
Roolit ja sopimukset Tiedon kohde: Käyttäjä, kuluttaja, työntekijä, b2b kontakti Määrittelee henkilötietojen käsittelyn käyttötarkoitukset Kauppa Optimo Ensisijainen vastuu käsittelystä Rekisterinpitäjä Noudattavat rekisterinpitäjän ohjeita Säilö Suoria velvollisuuksia tietosuoja-asetuksesta Sakot voivat kohdistua myös käsittelijään! Epäsuorat vastuut prosessointisopimuksista HUOM! Jos käsittelijä käsittelee henkilötietoja omiin käyttötarkoituksiinsa tulee käsittelijästä rekisterinpitäjä - Mikä on käsittelyn peruste? Suostumus / oikeutettu etu? - Onko luovutuksesta sovittu alkuperäisen rekisteripitäjän kanssa? 8
Roolit ja sopimukset Käsittelyn peruste (sopimus, suostumus, oikeutettu etu) Sopimus tietojenkäsittelystä - Miten ja mihin tarkoitukseen käsitellään - Tietoturva / ilmoitukset / auditointi - Poistaminen - Siirrot - Alihankkijoiden käyttö - Vastuut Vähintään vastaavat vaatimukset tietosuojan osalta kuin rekisterinpitäjä / käsittelijä sopimuksessa 9
Osoitusvelvollisuus edellyttää kokonaisvaltaista lähestymistapaa tietosuojaan Lainsäädännön noudattamisen osoittaminen edellyttää DOKUMENTOINTIA Tietosuojavastaavan nimeäminen Vaikutustenarvioinnit Seloste käsittelytoimista Tietojen käsittelysopimukset Käytännesäännöt, sertifiointimekanismit Sisäiset / ulkoiset ohjeistukset Onko data keskeisessä osassa liiketoimintaa? Jonkun tulee vastata tietosuojasta Korkean riskin tilanteet 1) Kevyt arviointi: aiheutuuko käsittelystä merkittäviä riskejä 2) Jos aiheutuu täysi vaikutustenarviointi Missä järjestelmissä on ja mitä dataa? Rekisteriselosteet hyvä pohja! Hallintajärjestelmä voi auttaa pitämään alihankkijat järjestyksessä Tällä hetkellä ei vielä oikein saatavilla mutta esim. Tietoturva sertifikaatteja kannattaa harkita Varmista että muutkin kuin sinä osaavat noudattaa tietosuojaperiaatteitanne 10 23 March 2017 IAB Tietosuojaseminaari 8.6.20217
Miten eprivacy voi muuttaa edellä mainittua? Tietosuoja-asetus säätelee henkilötietojen käsittelyä Siellä määritellään mm. henkilötiedon käsite ja vaatimukset suostumuksen keräämiseen Jos kyseessä on henkilötieto (esim. IP-osoite on osa profiilia tai evästetunnisteet ovat pysyviä läpi järjestelmien) tietosuoja-asetus soveltuu joka tapauksessa eprivacy asetus tulee sääntelemään käyttäjien profilointia / seuraamista verkkopalveluissa (trackays) ja tietojen keräämistä evästeillä* eprivacy voi vaikuttaa siihen: 1. mitä oikeusperustaa voi käyttää datan keräämiseen evästeillä* 2. kuka suostumuksen voi pyytää (alusta/selain/palvelu vai kaikki) * Teknologia neutraali: sis. myös muut vastaavat tekniikat: mobile id:t, local storage, cache, fingerprinttaus 11
12
Kysymyksiä kommentteja? Kiitos! We use data to serve customers better! Laura Tarhonen laura.tarhonen@sanoma.com