Saako lahjoittajaa kiittää?

Samankaltaiset tiedostot
Tietoturva yhdistyksessä

Elina Koivumäki: Miten ottaa tietosuoja huomioon somessa. Don t Mess With My Data! by Lexia /

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuojaseloste 1 (6)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Informaatiovelvoite ja tietosuojaperiaate

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Rekisteriseloste, Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Salon kaupunki , 1820/ /2018

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Salon kaupunki , 1820/ /2018

Tietosuojaseloste Espoon kaupunki

Salon kaupunki / /2018

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tietosuojaseloste 1 (5) Laadittu: nina.gronmark(at)espoo.fi. anna.autio(at)espoo.fi. Juho Nurmi, tietosuojavastaava

Vaikutustenarviointi GDPR:n mukaan

Salon kaupunki / /2018

Tietosuojaseloste Espoon kaupunki

Organisaatioluvan hakeminen

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Usein kysyttyjä kysymyksiä tietosuojasta

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Tietosuojaseloste 1 (5) Hyväksytty tietosuoja-asetuksen toimeenpanoprojektissa Tuula Antola, elinkeinojohtaja

Tietosuojaseloste Espoon kaupunki

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia


Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5)

OUKA/10235/ /2017

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

EU:N YLEISEN TIETOSUOJA-ASETUKSEN 14 ARTIKLAN TARKOITTAMA TIEDOTE HENKILÖTIETOJEN

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Tietosuojaseloste 1 (6)

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojaseloste 1 (6)

PINTAVA OY ASIAKASREKISTERIN TIETOSUOJASELOSTE

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Tietosuojaseloste Community

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojaseloste / Tapahtumatukiselvitys

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Tietosuojaseloste 1 (5)

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Tietosuojaseloste Espoon kaupunki

TIETOSUOJASELOSTE. Wessmanninkatu 2, Äänekoski , raija.tuhkanen[at]aanekoski.fi

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

Tietosuojaseloste Kuopion kaupungin palautepalvelujärjestelmä

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste Espoon kaupunki

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuojaseloste Espoon kaupunki

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

Rekisteriseloste Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Kotkan kaupunki, elinvoimalautakunta. vs. kehitysjohtaja Toni Vanhala.

TIETOSUOJAILMOITUS DIDIVE-HANKE

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

(a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojaseloste 1 (5)

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Transkriptio:

Elina Koivumäki / Lexperience: Saako lahjoittajaa kiittää? Asiaa EU:n uudesta tietosuoja-asetuksesta VaLa 24.4.2017 / Twitter: @ElinaKoivumaki Elina Koivumäki OTK Helsingin yliopisto 2000 asianajoalalla 3/2000 9/2016 yrittäjä / Lexperience myynnin, markkinoinnin ja asiakaskokemuksen juridiikka tietosuoja, sopimukset, palveluiden käyttöehdot, markkinointija viestintäaineistot, sosiaalinen media, tekijänoikeudet, verkkokauppa juridiikka kouluttaja, puhuja, moderaattori hallitus- ja advisory board paikkoja Markkinointijuridiikka-teossarja, artikkeleita säännöllisesti Juridiikkaa ja asiakaskokemusta blogi, You Tube -kanava Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 2 1

Esityksen sisältö taustaa uudesta lainsäädännöstä perusteet henkilötietojen käsittelylle mitä tietoja saa jatkossa kerätä yhteisöjen ylläpitämiin asiakas-, jäsen- ja suoramarkkinointirekistereihin? miten henkilötietojen käsittelystä tulee informoida + luvat ja kiellot? internetin ja sovellusten käytöstä kertyvien digitietojen käsittely? mitä uusia sisäisiä dokumentteja yhteisöissä on laadittava? Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 3 Taustaa uudesta lainsäädännöstä 2

Taustaa Suomessa tietosuojan päälaki v. 2001 voimaan astunut henkilötietolaki v. 1995 annettu EU:n tietosuojadirektiivi Euroopan parlamentin ja neuvoston direktiivi 95/46/EY annettu 24.10.1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31995l0046:fi:html ns. minimidirektiivi = EU:n jäsenvaltiot ovat voineet kansallisesti täydentää ja täsmentää sen pohjalta säädettiin Suomen nykyinen henkilötietolaki asetus: http://eur-lex.europa.eu/legalcontent/fi/txt/html/?uri=celex:32016r0679&qid=1465327846907&from=fi Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 5 Uuden EU-sääntelyn tavoite EU:n komission ehdotus 25.1.2012 Nykyisen tietosuojakehyksen tavoitteet ja periaatteet ovat edelleen pätevät. Sen avulla ei kuitenkaan ole pystytty estämään henkilötietojen suojan täytäntöönpanon hajanaisuutta eri puolilla unionia eikä myöskään oikeudellista epävarmuutta tai sitä laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy huomattavia riskejä. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 6 3

Uuden sääntelyn tavoite EU:n komission ehdotus 25.1.2012 Tämän vuoksi on aika laatia EU:lle vahvempi ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, niin että digitaalitalous voi kehittyä koko sisämarkkinoiden alueella ja yksilöt voivat valvoa omia tietojaan. Näin myös vahvistetaan oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen talouden toimijoiden ja viranomaisten kannalta. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 7 Tietosuoja-asetuksen soveltamisala edelleen sekä automatisoitu että kortistoksi tarkoitettu manuaalinen käsittely ei sovelleta henkilötietojen käsittelyyn, jota suorittaa luonnollinen henkilö yksinomaan henkilökohtaisen tai kotitalouttaan koskevan toimintansa yhteydessä Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 8 4

Miksi osa asioista on vielä avoinna? tietosuoja-asetus astui voimaan 25.5.2016, mutta nyt on käynnissä 2 vuoden kestoinen siirtymäaika kaikkien noudatettava säännöksiä täysimääräisesti 25.5.2018 alkaen tietosuoja-asetus sisältää monia artikloja, missä todetaan: siirretään komissiolle valta antaa 92 artiklan mukaisesti delegoituja säädöksiä jäsenvaltiot voivat määritellä tarkemmin käynnistetään tietosuoja-asetuksen mukainen tietosuojaneuvosto tietosuojaviranomaisista tulee antamaan neuvoja ja tulkintaohjeita korvaa nykyisen ns. WP29 työryhmän Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 9 Miksi osa asioista on vielä avoinna? Suomessa Oikeusministeriön alainen työryhmä perkaa kotimaista lainsäädäntöä mikä kumotaan, mikä pidetään, mitä muutetaan http://oikeusministerio.fi/fi/index/valmisteilla/lakihankkeet/informaatiooikeus/henkilotietojensuojakansallisenlainsaadannontarkistaminen_0.html työryhmän saatava ehdotuksensa valmiiksi 31.5.2017 mennessä tässä vaiheessa siksi mahdotonta ottaa vielä varmuudella kantaa kaikkiin tietosuoja-asetuksen uusiin säännöksiin ja niiden tulkintaan viime kädessä EU-tuomioistuimet antavat tulkintalinjat tulevissa tuomioissaan Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 10 5

Perusteet henkilötietojen käsittelylle Käsittelyn lainmukaisuus (6 art) käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 12 6

Suostumus (7 art) mikä tahansa vapaasti annettu erityinen, informoitu ja nimenomainen henkilön tahdon kuvastava ilmaisu, annettu joko lausunnon muodossa tai muun selkeän vahvistavan toimenpiteen keinoin suostumus voidaan antaa yhteen tai useampaan erityiseen henkilötietojen käyttötarkoitukseen ei upotusta ehtojen sisään jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä peruutettavissa yhtä helpolla tavalla Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 13 Tarve sopimuksen täytäntöön panemiseksi (6 art) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä esim. sopimus kuukausilahjoittajaksi ryhtymisestä Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 14 7

Oikeutettu etu (6 art) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 15 Oikeutettu etu (6 art) asetuksen perusteluteksti (resitaali 47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 16 8

Mitä tietoja saa jatkossa kerätä yhteisöjen ylläpitämiin asiakas-, jäsenja suoramarkkinointirekistereihin? Mikä on henkilötietoa? (art 4) kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 18 9

Mitä on henkilötietojen pseudonymisointi? (art 4) henkilötietojen käsitteleminen siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu asetuksessa määritellään nimenomaan sitä, mitä pseudonymisointi on eikä sitä, mitä pseudonyymi tieto on Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 19 Mitä on henkilötietojen pseudonymisointi? (art 4) pseudonymisointia käytännössä esim. tiettyyn henkilöön yhdistettävissä olevat henkilötiedot korvataan esimerkiksi numero- / kirjaintunnisteilla tai muutetaan sellaiseen muotoon, ettei henkilö ole enää tunnistettavissa ilman lisätietoja tunnistamisen mahdollistavat lisätiedot säilytetään erillään muusta tiedosta ja varmistetaan teknisesti ja hallinnollisesti, ettei tietoja yhdistetä esim: suojataan asiakasrekisteri niin, että korvataan tai poistetaan sieltä suorat tunnisteet sekä sellaiset tunnisteet, jotka on helppo yhdistää tiettyyn henkilöön + siirretään poistetut tiedot toiseen järjestelmään, jonne voidaan määritellä tiukemmat pääsyoikeudet ja korkeampi tietoturva = pienennetään tietovuotoriskien tasoa Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 20 10

Nykylaki: eri rekisterityypit (B-to-C ja B-to-B) B-to-C = Business to Consumer / B-to-B = Business to Business Pysyvä suoramarkkinointirekisteri (B-to-C) Rekisterinpitäjä Potentiaaliset asiakkaat Asiakkaat Kampanjarekisteri (B-to-C) B-to-B suoramarkkinointirekisteri Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 21 Nykylaki: asiakasrekisteri (B-to-C ja B-to-B) olemassa olevista asiakkaista yhteisö saa kerätä vain sellaisia tietoja, jotka ovat tietojen käyttötarkoituksen kannalta tarpeellisia henkilötietolaissa ei luetella, mitä tietoja asiakkaista saa kerätä TSV: edes rekisteröidyn suostumuksella ei saa käsitellä tarpeettomia tietoja asiakkaat ja muut, joilla on asiallinen yhteys yhteisön toimintaan = laajempi kuin ostava asiakas, myös esim. maksuttomaan sähköiseen palveluun liittyneet Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 22 11

Nykylaki: Pysyvä suoramarkkinointirekisteri (B-to-C) potentiaalisten kuluttaja-asiakkaiden henkilötiedot pitkäkestoista uusasiakashankintaa varten saa kerätä vain: nimi ja yhteystiedot ikä tai syntymävuosi, arvo tai ammatti sukupuoli ja äidinkieli yksi henkilöön liittyvä tunnistetieto esim. koulutustieto saa olla muuttuva ja eri tunnistetieto eri ihmisillä suoramarkkinointikiellot / -luvat Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 23 Nykylaki: kampanjarekisterit (B-to-C) potentiaalisten kuluttaja-asiakkaiden henkilötiedot ennakolta yksilöityyn ja lyhytaikaiseen markkinointitoimeen kestoa ei ole rajattu (jopa 2 v) kampanja voidaan toteuttaa useassa osassa rekisteri ei saa muodostua pysyväksi hävitettävä kampanjan jälkeen tietosisältöä ei ole rajoitettu, mutta se ei saa vaarantaa kuluttajan yksityisyyden suojaa kampanjan kannalta tarvittavat tiedot Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 24 12

Nykylaki: suoramarkkinointirekisteri B-to-B potentiaalisten yhteisöasiakkaiden yhteyshenkilöiden työtehtäviin ja asemaan liittyviä tietoja julkisista lähteistä B-to-B markkinointia varten sallittua kerätä esim. oman seudun potentiaalisten yhteisöasiakkaiden www-sivuilta yhteyshenkilöiden yhteystietoja myös puhelinluetteloista, internet-hakemistoista, kaupparekisteristä yms. saa kerätä potentiaalisten yhteisöasiakkaiden tietoja Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 25 Tietosuoja-asetus ja kerättävät tiedot henkilötietojen käsittelyä koskevat periaatteet (5 art) henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään ( tietojen minimointi ) henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä ( täsmällisyys ) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten ( säilytyksen rajoittaminen ) Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 26 13

Tietosuoja-asetus ja kerättävät tiedot erityisiä henkilötietoryhmiä koskeva käsittely (9 art) henkilötietolakia vastaavasti asetuksessa säädetään ns. arkaluonteisista tiedoista rotu tai etninen alkuperä poliittiset mielipiteet uskonnollinen tai filosofinen vakaumus ammattiliiton jäsenyys geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten terveyttä koskevat tiedot luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 27 Ei enää jaottelua asiakkaisiin ja muihin tietosuoja-asetuksessa ei sääntelyä erikseen asiakasrekistereistä ja potentiaalisten asiakkaiden suoramarkkinointirekistereistä yhdessäkään asetuksen artiklassa ei mainita sanaa asiakas asetuksen perustelutekstissä mainitaan kerran (resitaali 47): Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 28 14

Miten henkilötietojen käsittelystä tulee informoida + luvat ja kiellot? Läpinäkyvä informointi (12 art) rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle asetuksen edellyttämiä tietoja tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 30 15

Läpinäkyvä informointi (12 art) tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin rekisterinpitäjän on toimitettava rekisteröidylle tämän pyytämät tiedot ilman aiheetonta viivytystä ja joka tapauksessa 1 kk kuluessa pyynnön vastaanottamisesta määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 31 Läpinäkyvä informointi (12 art) tiedot ja toimenpiteet ovat maksuttomia jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä suorittamasta pyydettyä toimea rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 32 16

Kun tiedot kerätään rekisteröidyltä (art 13) kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot: a) rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot b) tapauksen mukaan tietosuojavastaavan yhteystiedot (U) c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste (U) d) rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan (U) e) henkilötietojen vastaanottajat tai vastaanottajaryhmät f) tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville U = uusi asia verrattuna Suomen nykylakiin Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 33 Kun tiedot kerätään rekisteröidyltä (art 13) lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: a) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit (U) b) rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista (U) tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen (U) c) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan (U) d) oikeus tehdä valitus valvontaviranomaiselle (U) e) onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset (U) f) automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 34 17

Kun tiedot kerätään muualta kuin rekisteröidyltä (14 art) kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot: a) rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot b) tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste d) kyseessä olevat henkilötietoryhmät e) mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät f) tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 35 Kun tiedot kerätään muualta kuin rekisteröidyltä (14 art) lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: a) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit b) rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan c) rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 36 18

Kun tiedot kerätään muualta kuin rekisteröidyltä (14 art) lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: d) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan e) oikeus tehdä valitus valvontaviranomaiselle f) mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä g) automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 37 Kun tiedot kerätään muualta kuin rekisteröidyltä (14 art) rekisterinpitäjän on toimitettava tiedot: a) kohtuullisen ajan kuluttua mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet b) jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran tai c) jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 38 19

Suoramarkkinoinnin kieltäminen (21 art) jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen merkintä rekisteriin, ei tietojen deletointi muuten ei pysty kunnioittamaan kieltoa viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, vastustusoikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 39 Internetin ja sovellusten käytöstä kertyvien digitietojen käsittely? 20

Taustakysymykset kertyykö yhteisöllemme tunnistettavissa olevaa tietoa verkkopalveluissamme asioineista = henkilötietoa tai pseudonymisoitua tietoa? onko meillä jokin tietosuoja-asetuksen 6 artiklassa listatuista käsittelyperusteista verkosta saatavalle tiedolle? käytännössä suostumus, oikeutettu etu tai tarve sopimuksen täytäntöön panemiseksi olemmeko informoineet rekisteröityjä siitä, että keräämme verkosta heitä koskevaa henkilötietoa? olemmeko informoineet rekisteröityjä siitä, että hyödynnämme tietoja markkinoinnissa + rekisteröidyn oikeudet? tietosuoja- ja evästeselosteet Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 41 Profilointi (22 art) automaattisen tietojenkäsittelyn avulla tehtävä tietojenkäsittely, jonka tarkoituksena on arvioida henkilöön liittyviä tiettyjä henkilökohtaisia ominaisuuksia analysoida tai ennustaa erityisesti henkilön suoritusta työssä, taloudellista tilannetta, sijaintia, terveydentilaa, henkilökohtaisia mieltymyksiä, kiinnostuksen kohteita luotettavuutta, käyttäytymistä sijaintia tai liikkeitä Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 42 21

Profilointi oikeus olla joutumatta profiloinnin kohteeksi informoitava näkyvästi ei yllä olevaa oikeutta, jos perustuu rekisteröidyn nimenomaiseen suostumukseen jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin relevanttia se, aiheutuuko profiloinnista oikeudellisia seuraamuksia tai vaikuttaako se muuten vastaavasti henkilön etuihin, oikeuksiin tai vapauksiin ei saa perustua kokonaan tai pääosin automaattiseen tietojenkäsittelyyn, oltava mukana ihmisen tekemää arviointia Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 43 Mitä dataa saa kerätä somen kautta? huomioi sekä soveltuvan lainsäädännön rajoitteet että käyttämäsi some-kanavan sopimusehdot Kauppalehti 7.11.2016 tietosuojalainsäädäntö on teknologianeutraalia, ei ota kantaa konkreettisesti siihen, mistä eri teknisistä alustoista ihmisten henkilötietoja saa kerätä Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 44 22

Esimerkki: Rovion tietosuojaseloste Ota huomioon, että tietyt Palveluiden ominaisuudet voivat yhdistää sinut käyttämillesi sosiaalisen median yhteisöpalvelusivustoille kerätäkseen sinusta lisätietoja. Tällaisissa tilanteissa Rovio voi kyetä keräämään tiettyä informaatiota sosiaalisessa mediassa käyttämästäsi profiilista, jos yhteisöpalvelu sallii tämän ja jos olet antanut yhteisöpalvelulle suostumuksesi tietojesi luovuttamiselle Roviolle. Tähän informaatioon voi lukeutua muun muassa, nimesi, profiilikuvasi, sukupuolesi, käyttäjätunnuksesi, sähköpostiosoitteesi, tieto kotimaastasi, kielesi, aikavyöhykkeesi, järjestösi ja linkit profiilisi sivuilla, yhteisöpalveluissa olevien "kaveriesi" nimet ja profiilikuvat sekä muut tiedot, jotka olet sisällyttänyt yhteisöpalvelun profiilisi. Rovio voi liittää ja/tai yhdistellä yhteisöpalveluista saamiaan tietoja muutoin keräämiinsä tietoihin sekä käyttää näitä tietoja yhdessä. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 45 Datan keruu somesta vaikka henkilötiedot löytyisivät verkosta ja olisivat teknisesti saatavilla, tulee rekisterinpitäjällä olla aina asetuksen mukainen oikeus kerätä ja käsitellä näitä tietoja (ja luovuttajalla oikeus luovuttaa) kytketäänkö kerättävä data tunnistettuun rekisteröityyn? palveluntarjoajan ymmärrys tietosuojasta? Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 46 23

Esimerkki: kuluttajien tietojen kerääminen Facebookista Facebook Privacy Policy informaatio kuluttajakäyttäjien suuntaan When you use third-party apps, websites or other services that use, or are integrated with, our Services, they may receive information about what you post or share. For example, when you play a game with your Facebook friends or use the Facebook Comment or Share button on a website, the game developer or website may get information about your activities in the game or receive a comment or link that you share from their website on Facebook. In addition, when you download or use such third-party services, they can access your Public Profile, which includes your username or user ID, your age range and country/language, your list of friends, as well as any information that you share with them. Information collected by these apps, websites or integrated services is subject to their own terms and policies. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 47 Esimerkki: kuluttajien tietojen kerääminen Facebookista Facebook Platform Policy sopimusehdot sovellusten julkaisijoille Provide a publicly available and easily accessible privacy policy that explains what data you are collecting and how you will use that data. You may use Account Information in accordance with your privacy policy and other Facebook policies. All other data may only be used outside your app after you have obtained explicit user consent. "Account Information" = nimi, sähköpostiosoite, sukupuoli, syntymäaika, nykyinen kaupunki sekä profiilikuvan URL Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 48 24

Informoi datan keruusta yritysten some-sivuilla näkee edelleen hyvin vähän informaatiota tiedonkeruusta jos kerätään somesta henkilötietoja, on siitä annettava informaatiota rekisteröidyille linkki yrityksen tietosuojaselosteeseen some-kanavan about tietokohtaan kaupallisten kampanjoiden osallistumisehtoihin informaatiota 7 Art: Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 49 Mitä uusia sisäisiä dokumentteja yhteisöissä on laadittava? 25

Seloste käsittelytoimista (art 30) selosteen laadintavelvollisuus ei koske yritystä tai järjestöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin ( arkaluontoiset tiedot ) tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 51 Seloste käsittelytoimista (art 30) jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista selosteen on käsitettävä kaikki seuraavat tiedot: 1) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot 2) käsittelyn tarkoitukset 3) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä 4) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 52 26

Seloste käsittelytoimista (art 30) selosteen on käsitettävä kaikki seuraavat tiedot: 5) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto 6) mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat 7) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 53 Seloste käsittelytoimista (art 30) kunkin henkilötietojen käsittelijän ja tarvittaessa henkilötietojen käsittelijän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot: a) henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot b) kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät c) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto d) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 54 27

Raportti vaikutustenarvioinnista (35 art) jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa: a) luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi; b) laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai c) yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 55 Raportti vaikutustenarvioinnista (35 art) arvioinnin on sisällettävä vähintään: a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden c) arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä ja d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 56 28

Sopimus käsittelijän kanssa (28 art) henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet Elina Koivumäki / Lexperience 2017 Twitter: @ElinaKoivumaki 57 KIITOS AJASTANNE! Elina Koivumäki yrittäjä, lakimies, tietokirjailija, bloggaaja, ammattipuhuja / Lexperience p. 040 555 35 79 elina@elinakoivumaki.com www.elinakoivumaki.com Twitter: https://twitter.com/elinakoivumaki LinkedIn: https://fi.linkedin.com/in/elinakoivu maki YouTube: Elina Koivumäki 29

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute