TALLINK SILJA. Pelisääntöjä

Samankaltaiset tiedostot
Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Informaatiovelvoite ja tietosuojaperiaate

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

INHUNT LAW OY:N TIETOSUOJAILMOITUS

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

EU:N TIETOSUOJA-ASETUKSET WALMU

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuojaseloste 1 (6)

Termit. Tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

LSPeL Porin toiminta-alueen kevätseminaari

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Salon kaupunki / /2018

Tietosuojaseloste 1 (5)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuojaseloste Espoon kaupunki

Salon kaupunki / /2018

Tietosuoja-asetus (GDPR)

Salon kaupunki , 1820/ /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Salon kaupunki , 1820/ /2018

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

UKTY ry:n asiakasrekisterin tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Rekisteriseloste, Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

TIETOSUOJAILMOITUS DIDIVE-HANKE

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Tietosuojailmoitus TIETOSUOJAILMOITUS TAPAHTUMAT. Rekisterinpitäjä. Yhteyshenkilö. Tietosuojavastaava

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Tietosuojaseloste 1 (5) Hyväksytty tietosuoja-asetuksen toimeenpanoprojektissa Tuula Antola, elinkeinojohtaja

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

Tietosuojaseloste Espoon kaupunki

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Tietosuojaseloste / Tapahtumatukiselvitys

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tiedollinen itsemääräämisoikeus ja MyData

GDPR. Timo Kokkonen Webinaari

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Tietosuojaseloste 1 (5) Laadittu: nina.gronmark(at)espoo.fi. anna.autio(at)espoo.fi. Juho Nurmi, tietosuojavastaava

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tämä seloste koskee henkilötietojen käsittelyä palvelussa Kauppakeskuksen asiakasrekisteri

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste Espoon kaupunki

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Tietosuojaseloste Espoon kaupunki


Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

OUKA/10235/ /2017

Tietoturva yhdistyksessä

Teknologia avusteiset palvelutverkostopalaveri

NORDIC SALES CREW OY:N TIETOSUOJATIEDOTE REKISTERINPITÄJÄNÄ. (päivitetty )

Tietosuojaseloste Espoon kaupunki

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Transkriptio:

TALLINK SILJA Pelisääntöjä TIETOSUOJA-ASETUS FOR DUMMIES 10 askeleen ohjelma Pia Pynnä, ASML Henkilöbrändin rakentamisen do s and don ts ja mitä juridiikka siihen lisää? Elina Koivumäki, Lexperience 83

TIETOSUOJA-ASETUS FOR DUMMIES 10 askeleen ohjelma Nykyisen henkilötietodirektiivin, johon meillä sovellettava henkilötietolaki perustuu, korvaava EU:n tietosuoja-asetus tuli voimaan keväällä 2016. Sovellettavaksi asetus tulee kahden vuoden siirtymäajan jälkeen eli 25.5.2018. Kun kyse on asetuksesta, tulee se sovellettavaksi kaikissa jäsenvaltioissa pääasiassa sellaisenaan. Direktiivin soveltaminenhan on ollut varsin kirjavaa eri jäsenmaissa, jos joku on ollut esimerkiksi sallittua meillä, ei ole voinut kovin suurella varmuudella väittää sen olevan sallittua myös vaikkapa Itävallassa tai Saksassa. Täysin aukotonta harmonisointi ei tule edelleenkään olemaan, mutta askel parempaan suuntaan kuitenkin. Tätä kirjoittaessa asetuksen soveltamiseen on netistä löytyvän laskurin mukaan vielä (tai enää) 533 päivää ja mitä vähemmän päiviä tuossa laskurissa on, sitä kiihtyvämmällä tahdilla asetus on puhuttanut ja hämmentänyt. Jokaisella tuntuu olevan asetuksen merkityksestä tai siihen liittyvistä tulkinnoista ja nyansseista oma näkemyksensä. Pakkaa hämmentää erityisesti se, että kyse on kovin yleisluontoisesta ja monin paikoin todella tulkinnanvaraisesta säädöspaketista, jonka artikloiden perustelut eli resitaalit ovat ihmeellisen ohuita. Asetuksen luonteesta johtuen sen tulkinta tulee olemaan pitkälti EU-lähtöistä, asetuksessa annetaan monissa kohdin EU:n tietosuojavaltuutettujen WP 29 -ryhmän pohjalle rakentuvalle uudelle European Data Protection Boardille (EDPB) oikeus antaa tarkempaa ohjausta eri asioista. WP 29:han on viime vuosina tuottanut erilaisia kannanottoja, joiden sisältö on ollut välillä melkoisen arvovärittynyttä. Seuraava ote WP29 eräästä dokumentista puhuu puolestaan: Oletetaan, että kuluttaja yrittää vastustaa mieliroskaruokaansa, koska hän on huolissaan liikalihavuudesta. Käy ilmi, että tiettyinä aikoina ja tietyissä paikoissa hän ei pysty siihen. Suurten tietomassojen avulla markkinoijat voivat saada selville täsmälleen, milloin ja miten heidän on lähestyttävä tätä kuluttajaa saavuttaakseen hänet, kun hän on haavoittuvimmillaan varsinkin nykyisessä maailmassa, jossa ollaan jatkuvasti näyttöruudun ääressä ja jossa tekniset laitteemmekin pystyvät pitämään myyntipuheen. Toivoa sopii, että asetusta koskevat tulkinnat tulevat olemaan vähemmän värittyneitä! Kansallisesti tietosuojavaltuutetulta ei ole tullut yleistason kommentteja kummempaa apua, mutta tätä kirjoittaessa TSV on juuri ilmoittanut julkaisevansa lähiaikoina ohjausaineistoa asetuksen edellyttämistä toimista. Käytäntö lopulta näyttää suuntaviivat toteutuksille, mutta sitä odotellessa tässä oma näkemykseni asetukseen liittyvästä kymmenestä asiasta, jotka olisi viimeistään tässä vaiheessa hyvä tietää. 1. Asetus koskettaa lähes kaikkia See no evil, hear no evil ei tässä tapauksessa auta, asetuksen piirissä kun ovat kaikki, jotka henkilötietoja käsittelevät ja tämä tarkoittaa lähes kaikkia niin yksityisellä kuin julkisella puolella. Henkilötiedon käsite on laaja henkilötietoja ovat kaikki ne tiedot, joista voi suoraan tai epäsuorasti johtaa tunnistettavissa oleva luonnollinen henkilö. Henkilötietoja on siis käytännössä mikä tahansa tietojoukko, joka voidaan yhdistää luonnolliseen henkilöön, esimerkiksi valokuva, nimi, sähköpostiosoite, luottokortin numero, some-päivitys, auton rekisterinumero, IP-osoite, paikkatiedot yms. Dynaamisen IP-osoitteen osalta saimme kesällä EU-tuomioistuimen päätöksen, jonka mukaan 84

tietyissä tilanteissa dynaaminenkin IP-osoite on katsottava henkilötiedoksi. Asetus ei sääntele evästeitä, EU-tason evästesääntelyn kohtalo punnitaan erikseen e-privacy direktiivin uusimisen yhteydessä. Henkilötiedon käsittely taas voi olla mitä vain lähtien tietojen keräämisestä, tallettamisesta, järjestämisestä, käyttämisestä, siirtämisestä, luovuttamisesta, säilyttämisestä, muuttamisesta, yhdistämisestä ja suojaamisesta aina poistamiseen ja tuhoamiseen asti. Kovin moni yritys nykyään ei voi siis sanoa olevansa soveltamisen ulottumattomissa, mutta läheskään kaikki eivät kuitenkaan tiedä esimerkiksi mitä tietoja rekistereistä löytyy tai miten ja mihin tarkoitukseen niitä käsitellään, säilytetään, ylläpidetään ja käsittelystä informoidaan. Nyt onkin viimeistään aika lähteä selvittämään itselleen missä mennään, sillä voi olla, että tuo reilu 500 päivää osoittautuu tässä asiassa yllättävän lyhyeksi ajaksi. 2. Paljon melua tyhjästä? Monessa yhteydessä on todettu, ettei asetus ole niin suuri mörkö kuin annetaan ymmärtää. Kaikki hype asetuksen ympärillä olisi vain paljon melua, jos ei nyt tyhjästä niin ainakin jostain ei niin mullistavasta jos henkilötietojen käsittely on henkilötietolain mukaista ja asetuksen vaatimuksiin on tutustuttu, voi nostaa jalat pöydälle, ottaa rennosti ja seurata muiden säntäilyä. Kuulostaa kivalta, mutta ei se taida ihan niin mennä. Asetuksessa on kyllä hyvin paljon samoja asioita kuin henkilötietolaissa, mutta tämän toteaminen on vain puolitotuus, sillä asetus sisältää myös monia uusia hankalasti tulkittavia ja sovellettavia velvollisuuksia ja oikeuksia. On vaikea kuvitella toimijaa, joka ei joutuisi jollain tasolla ottamaan asetuksen vaatimukset huomioon esimerkiksi IT-järjestelmissään, tietosuojaprosesseissaan ja alihankkijasuhteissaan. Käytännön tasolla ja kaikkien toimijoiden osalta ei välttämättä niin yksinkertainen tehtävä kuin juhlapuheissa annetaan ymmärtää. 3. Tietosuoja ei ole enää uskon asia, se pitää voida todistaa Asetus perustuu pitkälle niin sanottuun tilivelvollisuusajatteluun, mikä edellyttää riskilähtöistä tietosuojan suunnittelua ja kykyä myös todistaa tehdyt toimenpiteet. Asetuksessa vilahtelee käsitteet sisäänrakennettu ja oletusarvoinen tietosuoja, jotka yksinkertaistettuna tarkoittavat lähinnä sitä, että tietojen käsittelytavat ja prosessit, jotka vastaavat asetuksen vaatimuksia, määritetään ja kuvataan ja kaikessa tietojen käsittelyssä varmistetaan, että käsitellään vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja niin niiden määrän, laajuuden, säilytysajan kuin saatavilla olon suhteen. Pääsääntöisesti voi ajatella, että mitä tunnistetummassa muodossa tieto on, mitä yksilöivämpään käyttötarkoitukseen ja mitä pitkäaikaisempaan käyttöön sitä käsitellään, sitä suuremmat riskit ja sitä kautta suuremmat velvoitteet ja edellytetyt suojakeinot. Tietyissä korkeamman riskin käsittelytilanteissa kuten vaikka arkaluonteisten tietojen käsittely, tulee esimerkiksi pakolliseksi riskiarvion tekeminen suunniteltujen tietojen käsittelytoimien vaikutuksista henkilötietojen suojalle. Enää ei myöskään riitä, että noudattaa tietosuojakysymyksissä lakia, jatkossa on myös pystyttävä konkreettisesti osoittamaan miten tietosuoja on huomioitu toiminnan suunnittelussa ja toteutuksessa. Selkeästi kuvatuilla vastuilla ja ennalta määrätyillä henkilötietojen käsittelyn prosesseilla sekä eri tietosuojatoimintojen kattavalla dokumentoinnilla pääsee jo pitkälle. Dokumentoida voi esimerkiksi tietosuojaprosessit, tietojen käsittelyyn liittyvät järjestelyt, informointia koskevat ohjeistukset ja selosteet, henkilöstön koulutukset, riskiarvioinnit jne. 85

Isommissa yrityksissä jo näiden vaatimusten täyttäminen voi edellyttää käytännössä tietosuojavastaavan nimittämistä. Tietosuojavastaava on henkilö, jonka tehtävänä yrityksessä on tietosuojan toteutumisen varmistaminen ja valvonta. Asetuksen joissain aiemmissa versioissa tietosuojavastaava tuli nimittää isommissa kuin 250 hengen organisaatiossa, mutta nyt velvollisuus koskee niin rekisterinpitäjiä kuin tietojen käsittelijöitä, joilla liiketoiminnan keskeisenä osana on henkilötietojen laajamittainen, säännöllinen ja järjestelmällinen käsittely. Yrityksen on tällä hetkellä itse tehtävä tulkinta siitä, onko sen toiminnassa henkilötietojen käsittely tällä tavoin ydinliiketoimintaa. 4. Viranomaiselle valtava keppi Suurin mörkö monissa asetusta koskevissa puheissa on sen mahdollistamat sanktiot asetuksen vastaisesta toiminnasta ja asetuksesta onkin vaikea puhua mainitsematta niitä. Sanktiot on jaettu kahteen kategoriaan, ja ne voivat olla jopa 4 % yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa. Se, kumpaa kategoriaa noudatetaan, riippuu rikotusta artiklasta. Koska sanktiot ovat hallinnollisia, viranomainen voi määrätä ne suoraan ilman kulkemista oikeussalin kautta. Edellä käsitellyllä osoitusvelvollisuudella tullee olemaan oma roolinsa sanktioita ja niiden suuruutta määrättäessä. Porkkanana asetuksen noudattamiseen voisi nähdä sen, että enenevässä määrin hyvin hoidetut tietosuoja-asiat alkavat olla myös kilpailuetu. Tietosuoja ei nykyisin ole enää pienen piirin juttu. Media pitää huolen siitä, että asioista puhutaan jolloin mokat näkyvät ja kuuluvat pitkälle ilman sanktioitakin. 5. Käsittelyperusteet uusiksi Arviointi siitä, noudattaako tietojenkäsittely asetuksen vaatimuksia koskee myös ja erityisesti käsittelyn oikeusperusteita. Nykyään asiakasrekisterin tietojen käsittelyn oikeusperusteena on usein asiakassuhteeseen perustuva asiallinen yhteys, mutta asetuksesta tällaista perustetta ei löydy. Asetuksen myötä myös henkilötietolain mukainen rekisterijaottelu asiakas-, markkinointi- ja kampanjarekistereihin jää säädöstasolla pois. Kaikissa edellä mainituissa käsittelyn peruste täytyy löytyä jatkossa asetuksen kuudesta käsittelyperusteesta eli suostumuksesta, sopimuksesta, laista, rekisteröidyn suojaamisesta, julkisesta tehtävästä tai oikeutetusta edusta. Sopimuksen osalta arvioitavaksi tulee se, onko tietojen käsittely tarpeen sopimuksen täytäntöönpanemiseksi. Liian suppea tulkinta siitä, mitä sopimuksen perusteella tehtävään käsittelyyn voi kuulua hankaloittaisi monen yrityksen toimintaa kohtuuttomasti. Suostumuksen osalta taas on todennäköistä, että nykyisen lainsäädännön aikana kerättyjä suostumuksia ei tarvitse uusia, kunhan ne on annettu asetuksen tarkoittamalla tavalla vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti. Suotumusta ei voi esimerkiksi antaa valmiiksi rastitetulla ruudulla, ja se on oikeus peruuttaa milloin tahansa. Lisäksi yrityksen on pystyttävä osoittamaan, että suostumus on todella annettu. Oikeutettu etu taas on se peruste, johon esimerkiksi markkinointi, konsernin sisäinen käsittely sekä asiakkuus ja asiallinen yhteys todennäköisimmin tipahtavat. Käsittelyperusteena se edellyttää intressipunnintaa yrityksen ja rekisteröidyn intressien välillä sekä sitä, että rekisteröity voi kohtuudella odottaa tietojensa tällaista käsittelyä. Huomioida kannattaa se, että rekisteröidyllä on asetuksen mukaan oikeus vastustaa oikeutetun edun perusteella tehtävää tietojen käsittelyä mukaanlukien profilointi, mutta tietojen siirtooikeutta sitä vastoin ei tässä tapauksessa ole toisin kuin silloin, jos tietoja käsitellään sopimuksen tai suostumuksen perusteella. 86

6. Profiloida vaiko eikö profiloida? Pelkkä henkilötietojen kerääminen ei ole profilointia edes asetuksen uuden erittäin laajan määritelmän mukaan, mutta iso osa modernista palvelusta ja kohdentamisesta on. Monessa asetusta koskevassa kirjoituksessa on jostain syystä puhuttu profilointiin kohdistuvasta kielto-oikeudesta, vaikka mitään yleistä kielto-oikeutta asetuksessa ei anneta. Asetuksen mukaan rekisteröidyllä on kyllä oikeus olla joutumatta sellaisen automaattiseen käsittelyyn perustuvan päätöksen kohteeksi, jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen muuten merkittävästi. Lähtökohtaisesti kyse on kielto-oikeuden sijaan ennemmin oikeudesta valita muu kuin täysin automaattinen päätösprosessi asetuksen mainitsemissa tilanteissa. Eli silloin kun kyse on automaattiseen käsittelyyn perustuvasta päätöksestä ja tällä päätöksellä on kyseistä henkilöä koskevia oikeusvaikutuksia. Muu profilointi jää artiklan ulkopuolelle eikä edellä mainittuakaan sovelleta, jos profilointi on välttämätöntä sopimuksen täytäntöönpanemiseksi tai se perustuu suostumukseen. Vastustamisoikeudestakaan ei ole johdettavissa yleistä profiloinnin kielto-oikeutta, suoramarkkinointia koskevan profiloinnin vastustamisoikeus kylläkin. Voisikin sanoa, että arkaluonteisia tietoja lukuunottamatta profilointi on lähtökohtaisesti sallittu kunhan käsittelyperuste on olemassa, oli se sitten suostumus tai jokin muu. 7. Uudet ja vanhat oikeudet Yleisesti ottaen asetus sisältää joukon oikeuksia, jotka vastaavat käytännössä nykyisiä oikeus päästä tietoihin, oikaisuoikeus ja (suoramarkkinoinnin) vastustamisoikeus vastaavat tai ovat hyvin lähellä nykyisiä tarkastus-, kielto- ja oikaisuoikeuksia. Asetus ei ota kantaa eri kanavien käytön luvan- tai kiellonvaraisuuteen vaan keskittyy tiedon käsittelyn edellytyksiin. Mutta joukossa on myös upouusia eikä niin yksiselitteisesti ymmärrettäviä oikeuksia. Esimerkiksi oikeus tietojen siirtämiseen tarkoittaa sitä, että henkilöllä on oikeus saada sellaiset itseään koskevat ja itse toimittamansa tiedot, joiden käsittely on perustunut sopimukseen tai suostumukseen, koneellisesti luettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Vielä tässä vaiheessa on auki, mitä itse toimittamansa tiedot tarkoittaisivat esimerkiksi sähköyhtiön tai vähittäiskaupan asiakkaan osalta tai palveluiden käyttötietojen osalta. Uutena asetuksessa säädetään myös oikeudesta tulla unohdetuksi eli käytännössä oikeudesta saada tietonsa poistetuksi esimerkiksi silloin kun henkilötietojen käsittely on perustunut suostumukseen, joka nyt peruutetaan. Jos henkilötietojen käsittelylle on olemassa jokin muu laillinen peruste, velvollisuutta tietojen poistamiseen ei kuitenkaan ole. Tavanomaisissa asiakassuhteissa ja käsittelytilanteissa oikeus harvemmin syntyy, sillä tällöin yrityksellä yleensä on joku asetuksen tarkoittama käsittelyperuste. Jos velvollisuus tietojen poistamiseen kuitenkin syntyy, syntyy myös velvollisuus ilmoittaa tietojen poistamisesta kaikille niille tahoille, joille nämä tiedot on toimitettu tai julkistettu. Tietoturvaloukkauksista joiden osalta on olemassa riski siitä, että henkilön oikeuksia ja vapauksia rikotaan tai jotka todennäköisesti aiheuttavat suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, on ilmoitettava valvontaviranomaiselle tai rekisteröidylle itselleen 72 tunnin kuluessa siitä, kun se on tullut tietoon, oli kyse sitten arkipäivästä, viikonlopusta tai pyhäpäivästä. Yrityksissä on siis laadittava sisäiset toimintaohjeet ja -käytännöt ilmoitusvelvollisuuden toteuttamiseksi. Näiden ja muiden asetuksessa määriteltyjen oikeuksien toteuttaminen tulee joka tapauksessa vaatimaan yrityksissä muutoksia niin toimintatapoihin kuin tietojärjestelmiinkin. Kannattaa siis olla valmiina! 87

8. Informointi läpinäkyväksi Yritysten on jatkossa kerrottava nykyistä laajemmin, läpinäkyvämmin ja aikaisemmassa vaiheessa tietojen käsittelystä sekä silloin kun henkilötiedot kerätään rekisteröidyltä itseltään että silloin kun henkilötiedot kerätään muualta. Jatkossa onkin nykyisestä poiketen ilmoitettava esimerkiksi henkilötietojen säilytysaika ja sen perusteet, oikeutettu etu käsittelyperusteena, käyttäjien oikeudet sekä profilointi ja sen logiikat. Asetuksessa asetetaan myös velvollisuus tiedon antamiseen tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä. Käytännössä vaatimukset tarkoittavat esimerkiksi rekisteri- ja tietosuojaselosteiden päivittämistä sekä sen miettimistä, miten rekisteröityjen henkilöiden informoinnista käytännön tasolla jatkossa huolehditaan. 9. Ovatko sopimukset varmasti kunnossa? Jos yrityksen henkilötietojen käsittelyä tekee yrityksen lukuun joku muu taho kuten esimerkiksi mainostoimisto, pilvipalveluntarjoaja, sähköpostipalvelun tarjoaja tai analytiikkapalvelun tarjoaja, myös tämä alihankkija vastaa jatkossa suoraan sanktioiden uhalla asetuksen vaatimusten noudattamisesta. Asetus myös edellyttää näissä tilanteissa kirjallisen sopimuksen tekemistä tietyin sisällöllisin vaatimuksin kuten esimerkiksi osapuolten roolien ja vastuiden kirjaamista. Käytännössä yrityksissä on siis tunnistettava ulkoistustilanteet ja huolehdittava, että sopimukset ja käsittelyohjeistukset on laadittu asianmukaisesti ja vastuukysymykset otettu huomioon. Jos henkilötietoja ei käsitellä, sekin kannattaa kirjata sopimukseen. 10. Erityisasemassa lapset Toisin kuin monessa yhteydessä kerrotaan, asetus ei yleisesti säädä lapsen ikärajasta henkilötietojen käsittelyssä vaan siinä puhutaan tietoyhteiskunnan palveluiden tarjoamisesta lapselle kun käsittelyperusteena on suostumus. Asetuksen mukaan lapselle saa tarjota tietoyhteiskunnan palveluita vanhempien suostumuksella. Tietoyhteiskunnan palvelut ovat tällä hetkellä määritelty Suomessa tietoyhteiskuntakaaressa ja kyse on etänä, sähköisesti, pyynnöstä ja vastiketta vastaan tarjottavista palveluista. Ikäraja on jätetty kansallisesti päätettäväksi, mutta sen täytyy olla 13 16 vuoden välillä. Suostumukseksi ei välttämättä enää riitä pelkkä rasti ruutuun, vaan tulee ainakin arvioida etukäteen, millä keinoin voidaan luottaa siihen, että lupa on todella saatu vanhemmilta. Pia Pynnä Lakimies ASML 88

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute