GDPR & Data Driven Business Jari Perko, ASML @asiakkuus
Yksityisyys on kul,uurista, alueellista ja yksilöllistä. Yksi yhteinen EU- normi on siten aina rikki. Varsinkin kun jäsenval=ot ovat tuoneet omia legoja ja duplojaan yhteiseen rakennussarjaan.
Digital Tipping Point Study 2016 (24 000 kulu8ajaa 12 maassa)
Monella yrityksellä on näin ollen edessään haastava luparuljanssi, kun lupa profiloin=in perustuvaan päätöksentekoon on saatava sekä uusilta e,ä vanhoilta asiakkailta eräs asianajotoimisto 11/2016
HTL/ASETUS henkilö=edon käsi,ely TYK/ePrivacy- asetusdram suoramarkkinoin= + evästeet Millä perusteella Betoa saa käsitellä? Käy8äjän oikeudet Betoihinsa B2C/B- Bedon myynb SuoramarkkinoinB lupa/kielto Cookie opt- in B2B emailmarkkinoinb MAC- osoite- heatmapit yms. NORMATIIVISET SOPIMUSELEMENTIT Google, Facebook, Apple, Amazon yms ESP:den yms. ehdot
HAHMOTA Cookie - sääntely GDPR Special vapaa standardit Tietoturva ROOLI? Päämies/alihankkija
Konepellin alainen maailma kartalle! Virrat, elinkaaret, muutokset ja Betosuoja- arvioinnit dokumentoitava
YKSILÖ VS. YLEISÖ Yrityksen henkilö/asiakasbedon käsi8elyssä ei pääosin ole seurata yksi8äistä henkilöä vrt. intrusion of privacy - aja8elu. è Kehitetään asiakkuuksien arvoa ja elinkaarta. è Aiemmin massana käsitellyn ryhmän jakamisesta pienempiin ryhmiin raja- arvojen ja ryhmäparametrien perusteella. Paremmat palvelut, paremmat sisällöt. Vaste tuntuu henkilökohtaiselta mu8a tuhansille tulee samaa (mu8a ei miljoonille).
DATA è henkilöbeto henkilö=eto è analyysi è mallinnus è mallin palautus dataan è hyödyntäminen poimintaperuste
Lenkki ohi? Laitetaanko joku hyvä veny2elymusa Spo8fysta soimaan? Ilman henkilöbetoja voidaan tehdä eri8äin iholle tulevia asioita - Taitolaji!
TILINPITO Pitääkö tehdä =etosuoja- arvioin=? K Tehdään PIA Ylläpito ja päivitys E Syntyy sil= accountablity- dokumentaa=o ARJEN ACCOUNTABILITY? Kevyt, ka8ava, skaalautuva myös scrumissa & leanissa
KERTAUS: Näistä pitää yrityksen aina löytää ja informoida henkilöbetojen käsi8elyperuste (6.1 art a- f- kohdat) SOPIMUS SUOSTUMUS OIKEUTETTU ETU LAKI YLEINEN ETU ELINTÄRKEÄ ETU
KORITTAMAAN SOPIMUS SUOSTUMUS OIKEUTETTU ETU Palvelusopimukset SisältöBlaukset KanBsohjelmat Appsit jne MarkkinoinBluvat UuBskirjeBlaukset Erillissuostumukset Vanha markkinoinb/ kampanjarekkari Fraud/Betoturva- käsi8ely B2B- databrokerit PÄIVITÄ JA MODERNISOI INFORMOINTI
Tarkkana suostumusfriikkien kanssa Companies can no longer rely on prior approaches or legal bases for data analybcs, arbficial intelligence, or machine learning. While consent remains a lawful basis under the GDPR, the definibon of consent is significantly restricted. [not true as such ]
MieB mihin ja miten kysyt suostumusta! [ sillä suostumuksen voi aina peruu8aa] 1 2 3
REKISTERÖIDYN OIKEUDET HENKILÖTIETOLAKI Informoin= Tarkastusoikeus Korjaaminen Kielto- oikeus TIETOSUOJA- ASETUS Informoin= - lisä8ävä uudet kohdat + läpinäkyvyy8ä Tarkastusoikeus (Right of Access) è Oikeus saada jäljennökset? Oikeus rajoi,aa konseptoinb? Datan siirre,ävyys haastava spesiaalitapaus! Oikaisu- oikeus Right to be forgo,en operabivinen relevanssi? Kielto- oikeus Oikeus kieltää suoramarkkinoinb (lähes enbsellään Vastustamisoikeus sekava Profiloin= oikeus vastustaa legal effect - päätöksiä
Älä ylenkatso asiakkaita jargonpilvellä jaamme kolmannen osapuolen kanssa joitakin 8etoja useimpien palveluiden tapaan. Nämä puolestaan jakavat kanssamme joitakin 8etoja 8lisi mahdollistamiseksi.
PROFILOINTI määritelmä on laaja 'profiling' means any form of automated processing of personal data consisbng of using those data to evaluate certain personal aspects relabng to a natural person, in parbcular to analyse or predict aspects concerning that natural person's performance at work, economic situabon, health, personal preferences, interests, reliability, behaviour, locabon or movements; è Iso osa modernista datan käsi8elystä on profiloinba Profiloinnille tulee olla joku asetuksen 6 arbklan perusperuste.
PROFILOINNISTA INFORMOINTI 13 art f- kohta 1 profiloinnin taustalla olevasta logiikasta 2 profiloinnin merkityksestä 3 profiloinnin seurauksista [tarkkaan o8aen sanamuodon mukaan ei koske sop/suost.perustaista profioinba reaalipolibikka: informoitava kaikesta profiloinnista] Käytännön toteutusta pohditaan vielä ankarasb
22 ar=kla Automa=soidut yksi,äispäätökset, profiloin= mukaan lue,una 1. Rekisteröidyllä on oikeus olla joutuma8a sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaanseen käsi8elyyn, kuten profiloinbin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaiku8aa häneen vastaavalla tavalla merki8äväsb. 2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös a) on väl8ämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten; b) on hyväksy8y rekisterinpitäjään sovelle8avassa unionin oikeudessa tai jäsenvalbon lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeute8ujen etujen suojaamiseksi; tai c) perustuu rekisteröidyn nimenomaiseen suostumukseen. 3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteute8ava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeute8ujen etujen suojaamiseksi; tämä koskee vähintään oikeu8a vaaba, e8ä Bedot käsi8elee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeu8a esi8ää kantansa ja riitau8aa päätös.
PROFILOINTIIN ei tarvitse suostumusta ei ole yleistä kielto- oikeu,a HUOM! Vain oikeus vastustaa profiloinba sisältävää automaansta legal effect/similar effect- pääätöstä SEURAA Mitä tapahtuu legal effect - tulkinnassa? Mitä tapahtuu vastustamisoikeusarbklan tulkinnassa? è GDPR:n online- idenbfier- tulkintoja ja eprivacy- asetuksen cookie- sääntelyä!
RIGHT OF ACCESS (tarkastusoikeus, 15.3 arbkla) Rekisterinpitäjän on toimite8ava jäljennös käsiteltävistä henkilöbedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esi8ää pyynnön sähköisesb, Bedot on toimite8ava yleisesb käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää. 15.3. arbkla KONSEPTOI & KORITA: 1 Tarjoa palvelullisesb itsepalvelussa perusbedot, Blaus/osto/käy8öhistoria + jotain muuta? 2 Mikä osa Bedoista manuaali/erillisblausprosessiin? 3 Mitä Betoa ei koskaan anneta?
WP 29 / EDPB:n tulkintaohjeet (=EU- riski) GDPR 20 art: the right to receive the personal data concerning him or her, which he or she has provided to a controller WP 29 Data Portability Guidelines 5.4.2017 laajensi tulkintaa isos=: should also include the personal data that are observed from the acbvibes of users such as raw data processed by a smart meter or other types of connected objects, acbvity logs, history of website usage or search acbvibes traffic data and locabon data. a transacbon history or access log technology [data] used to track browsing behaviour
ITSEPALVELU JA GDPR Integroi käy8äjän uudet oikeudet tu8uihin palveluihin ja näkymiin? Voiko esim. tarkastusoikeu8a ja datan siirre8ävyy8ä yhdistää palvelullisesb? Mitkä jä8ää manuaaliprosessiin? Mikä prosessi offline- segmenblle? Puolipakolla onlineen?
KIITOS! ~Data In, Delight Out Jari Perko, ASML, @asiakkuus