\ Verkkokaupan tietosuoja. Sarja jatkuu. verkkokaupassa. Teksti: Markus Salminen Kuvitus: Maija Vuorela



Samankaltaiset tiedostot
Biopankkien toimintojen yhdistäminen. Lakiperusta

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN

Henkilötietojesi käsittelyn tarkoituksena on:

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

alueen turvallisuuden lisääminen; sekä

Tietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019

Lisäksi henkilötietoja käsitellään toimittajille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa.

Asiakastietokantaan saatetaan tallentaa seuraavia tietoja rekisteröidystä:

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Asiakkaan on hyväksyttävä tämän tietosuojaselosteen ehdot käyttääkseen Samppalinnan Kesäteatterin palveluita.

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Termit. Tietosuojaseloste

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus Yhteystiedot Puh: ,

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Eläketurvakeskuksen tietosuojapolitiikka

Politiikka: Tietosuoja Sivu 1/5

Tutkittavan informointi ja suostumus

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rekisteri- ja tietosuojaseloste

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

(a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.

REKISTERISELOSTE Henkilötietolaki (523/99) 10

UNITED BANKERS -KONSERNIN YHTIÖN MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

INVALIDILIITTO RY:N AVUSTAJAKOIRATOIMINNAN ASIAKASREKISTERI

\ Verkkokaupan tietosuoja. Sarja päättyy. verkkokaupassa. Teksti: Markus Salminen Kuvitus: Maija Vuorela

Asiakastietojärjestelmän tietosuojaseloste (Salok Osk jäsenliikkeet)

Koulutuskiertue

Rekisteri- ja tietosuojaseloste, Mökkivuokraajan käsikirja -palvelu

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

METANOIA INSITITUUTTI OY TIETOSUOJAREKISTERISELOSTE

MELTEX OY PLASTICSIN ASIAKAS- JA MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Salon kaupunki , 1820/ /2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rivarko Oy:n tietosuojakäytäntö Viimeksi päivitetty

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

ANNAsport Oy:n Asiakasrekisterin tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

ASIAKKAIDEN HENKILÖTIETOJEN KÄSITTELY KAUPUNGIN VUOKRATALOYHTIÖSSÄ. Lakimies Sanna Mäkilä, Helsingin kaupungin asunnot Oy

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Henkilötietojesi käsittelyn tarkoituksena on:

Joensuun kaupunki / seudullinen joukkoliikennejaosto Y-tunnus

Ravintola Kalatorin tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

REKISTERISELOSTE Henkilötietolaki (523/99) 10

EU:N TIETOSUOJA-ASETUKSET WALMU

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

LSPeL Porin toiminta-alueen kevätseminaari

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Salon kaupunki , 1820/ /2018

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste. Trimedia Oy

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Oy Teknocalor Ab, Y-tunnus (jäljempänä Teknocalor )

Aikuissosiaalityön rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Tietosuojaseloste: Markkinointirekisteri

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Perhe- ja sosiaalipalvelujen johtaja PL ESPOON KAUPUNKI. Espoon kaupungin kirjaamo PL Espoon kaupunki

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10

Salon kaupunki / /2018

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Asiakasrekisterin tietosuojaseloste

Rekisteri- ja tietosuojaseloste

Kai Paananen, p Reumantie 4, Heinola. 3. Rekisterin nimi Aikuisten työpajojen ja työllisyydenhoidon asiakasrekisteri

2. Yhteyshenkilö rekisteriä koskevissa asioissa Joukkoliikennesuunnittelija Lotta Rautio

REKISTERI JA TIETOSUOJASELOSTE- ASIAKAS JA MARKKINOINTIREKISTERI

QRIDI - TIETOSUOJASELOSTE

TIETOSUOJASELOSTE ASIAKKAILLE

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

FINNLINESIN YHTEYDENOTTOPYYNTÖJEN KÄSITTELYYN LIITTYVÄN REKISTERIN TIETOSUOJASELOSTE

Tietosuoja- ja rekisteriseloste

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri

Transkriptio:

Sarja jatkuu Tiedot suojaan Teksti: Markus Salminen Kuvitus: Maija Vuorela verkkokaupassa 28 TIETOSUOJA 2/2010 tietoturvan ja tietosuojan erikoislehti

Suositeltavaa on nimetä verkkokaupalle tietosuojavastaava. Osa 2: Asiakastiedot hallintaan Verkkokaupan asiakastietojen hallinnassa paljon on kiinni toiminnan organisoimisesta ja tietojärjestelmistä. Ne tulee suunnitella ja toteuttaa siten, että asiakastietoja voidaan käsitellä hyvän tietojenkäsittelytavan mukaisesti. Kirjoitussarja jatkuu Määrittele vastuut selkeästi Hyvään tietojenkäsittelytapaan kuuluu, että rekisterinpitäjä organisoi henkilötietojen käsittelytoimintansa. Verkkokaupan tietosuojasta, kuten muustakin toiminnasta, vastaa aina viime kädessä yrityksen johto. Toimitusjohtajan tulee delegoida tietosuojasta huolehtiminen organisaatiolleen. Verkkokaupan tietosuojan kannalta tärkeitä toimintoja, joiden roolit ja vastuut on määriteltävä, löytyy esimerkiksi liiketoiminta- ja markkinointiyksiköistä, tietojärjestelmiä kehittävistä ja ylläpitävistä toiminnoista, lakiosastolta ja tietoturvayksiköstä. Pienemmissä verkkokaupoissa sama henkilö voi olla vastuussa useastakin tehtävästä ja roolista. VERKKOKAUPPA Tietosuojassa seurataan tänä vuonna erityisteemana verkkokaupan tietosuojan järjestämistä ja kehittämistä. Neljässä osassa julkaistava kirjoitussarja kattaa havainnollisesti ja yksinkertaistaen verkkokaupan asiakastiedon käsittelyn elinkaaren. Tarkoituksena on antaa kokonaiskuva olennaisimmista tietosuojan vaatimuksista ja henkilötietojen käsittelyn vastuullisesta toteuttamisesta verkkokaupoissa. Aihetta käsitellään verkkokauppaa pitävän yrityksen eli rekisterinpitäjän näkökulmasta. Sarjan ensimmäisessä osassa Tietosuojassa 1/2010 käsiteltiin asiakastietojen keräämistä. Nyt aiheena on asiakastietojen hallinta verkkokaupoissa. Tulevassa numerossa 3/2010 käsitellään asiakastietojen jalostamista ja analysointia. Lehdessä 4/2010 aiheena on asiakastietojen hyödyntäminen. Jokaiseen osaan on yhteistyössä Tietosuojavaltuutetun toimiston kanssa valittu ajankohtaisia, tietosuojavaltuutetun käsittelemiä verkkokauppaan liittyviä tapauksia. \ Roolit voi järjestää monella tavalla, mutta yleisesti yritykselle on suositeltavaa nimetä niin sanottu tietosuojavastaava. Hänen tehtävänään on ohjata ja koordinoida verkkokaupan tietosuojatoimintaa sekä toimia tietosuoja-asiantuntijana. Hän voi toimia tietosuoja-asioissa myös verkkokaupan yhteyshenkilönä kuluttajien suuntaan. Tietosuojatyötä voidaan ohjata ja koordinoida myös säännöllisesti kokoontuvan tietosuojatiimin voimin. Tietosuojatiimi voi käsitellä ajankohtaisia tietosuoja-asioita ja ohjata tietosuojan kehittämistä liiketoiminnan ja tietojärjestelmien projekteissa. Tietosuojavastaava voi toimia tietosuojatiimin vetäjänä. Verkkokaupan kehittämiseen kuuluu usein erilaisia tietojärjestelmäprojekteja. Tietosuojatehtävät tuleekin ottaa osaksi tietojärjestelmien kehitys- ja projektinhallintamallia. Tällöin henkilötietojen lainmukaisen käsittelyn vaatimukset huomioidaan jo liiketoiminnan ja tietojärjestelmien suunnittelu- ja vaatimusmäärittelyvaiheessa. Huolehdi laadusta Verkkokaupan on rekisterinpitäjänä huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Jos rekisterissä on tällaisia tietoja, rekisterinpitäjän on oikaistava ne ilman aiheetonta viivytystä oma-aloitteisesti tai asiakkaan vaatimuksesta. Asiakastietojen laadusta voidaan huolehtia jo tietojen keräämisen yhteydessä esimerkiksi tarkistamalla asiakkaan antamien tietojen oikeellisuutta ja muotoa. Myös erilaiset säännöllisesti tehtävät tietojen laadun analyysit ja asiakasrekisterien siivoukset parantavat asiakastietojen käytettävyyttä. tietoturvan ja tietosuojan erikoislehti 2/2010 TIETOSUOJA 29

Asiakkaan antamia tietoja on suositeltavaa verrata väestötietojärjestelmästä saataviin tietoihin. Väestötietojärjestelmästä voidaan tarkastaa esimerkiksi osoitetiedot tai nimen ja henkilötunnuksen täsmääminen. Samalla saadaan tieto myös kuolleista asiakkaista. Täydellinen asiakasrekisterin tietojen virheettömyys on käytännössä usein mahdotonta eikä virheettömyysvaatimuskaan sitä edellytä. Henkilötietojen tulee kuitenkin olla riittävän virheettömiä ottaen huomioon niiden käsittelyn tarkoitus verkkokaupassa ja tietojen virheettömyyden merkitys asiakkaan yksityisyydensuojalle. Hävitä tarpeettomat tiedot Rekisterinpitäjän tulee määritellä asiakkaiden henkilötietojen säilyttämisen oikeudelliset perusteet ja säilytysajat jo ennen niiden käsittelyn aloittamista. Kerättyjen henkilötietojen käsittelyn tarpeellisuutta ja oikeudellisia perusteita tulee myös arvioida säännöllisesti. Henkilötiedot on hävitettävä, kun niiden käsittelyn oikeudellinen peruste lakkaa tai käsittely muuttuisi muutoin laittomaksi. Myös virheelliset, epätäydelliset tai vanhentuneet henkilötiedot on hävitettävä, ellei virheitä tai puutteita voida oikaista. Verkkokaupassa asiak kaan henkilötiedot tulee hävittää asiakassuhteen päätyttyä tai asiakkaan peruutettua suostumuksensa tietojen käsittelyyn, ellei muuta perustetta tietojen käsittelylle ole. Tietojen säilyttäminen asiakassuhteen Verkkokauppa vastaa kaikesta sen lukuun tapahtuvasta henkilötietojen käsittelystä. päättymisen jälkeenkin on kuitenkin usein perusteltavissa rekisterinpitäjän tai asiakkaan oikeuksien tai velvollisuuksien toteuttamisella. Tällaisia perusteita ovat esimerkiksi asiakkaan ja verkkokaupan välinen velkasuhde tai mahdollinen toimitukseen liittyvä valitusaika tai takuu. Henkilötietojen hävittäminen kannattaa automatisoida mahdollisimman pitkälle. Asiakastiedot pitää hävittää tietoturvallisesti ja lopullisesti. Asiakastietojen passiiviseksi merkitseminen ei esimerkiksi riitä, jos tiedot ovat edelleen luettavissa tietojärjestelmässä. Tiedot eivät myöskään saa olla palautettavissa hävittämisen jälkeen, eikä poistotoimenpide saa olla peruutettavissa. Asiakastietojen passiiviseksi merkitseminen ei ole tietojen hävittämistä. Rajaa pääsy tietoihin Pääsy asiakkaiden henkilötietoihin saa olla vain henkilöillä, joiden työtehtäviin henkilötietojen käsittely kuuluu. Pääsyä tietojärjestelmien henkilötietoihin voidaan rajoittaa käyttöoikeuksien hallinnalla. Käyttöoikeuksia myönnettäessä voidaan myös varmistaa, että käsittelijöiden asianmukaiset tietosuoja- ja vaitiolositoumukset ovat voimassa. Ilman erillisiä sitoumuksiakin jokaista henkilötietoja käsittelevää koskee suoraan henkilötietolaista johtuva vaitiolovelvollisuus: sivulliselle ei saa ilmaista työssään saamiaan henkilötietoja. Erillisin sopimuksin salassapito- ja vaitiolovelvollisuutta voidaan kuitenkin laajentaa. Huolehdi tietoturvasta Tietosuojan ydinaluetta ovat yksityisyyden suojaaminen ja henkilötietojen käsittelyn toimintatavat. Suojan kohteena on henkilö, jota tieto koskee. Tietoturvaan kuuluu erityisesti tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistaminen. Se kattaa henkilötietojen lisäksi myös yrityksen liikesalaisuudet ja muun suojattavan tiedon. Kaikki verkkokaupalle arvokkaat tiedot on turvattava esimerkiksi tahallisten väärinkäytösten, laitteisto- ja ohjelmistovikojen sekä luonnontapahtumien aiheuttamilta uhilta ja vahingoilta. Verkkokaupan on toteutettava tarpeelliset toimenpiteet henkilötietojen suojaamiseksi. Suojaamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, aiheutuvat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyydensuojan kannalta. Verkkokaupoilta ei odoteta täydellistä tietoturvan varmistamista hinnalla millä hyvänsä vaan riittävää varmistamista kohtuullisin uhrauksin. Suojauksen tulee olla riittävän tehokas normaalin toiminnan lisäksi myös mahdollisissa poikkeusoloissa, kuten verkkohyökkäysten tai tietomurtojen torjunnassa. Vastuuta ei voi ulkoistaa Verkkokaupan tietojärjestelmiä ylläpitävät 30 TIETOSUOJA 2/2010 tietoturvan ja tietosuojan erikoislehti

Henkilötietojen hallinnointi: Tee ilmoitus ulkoistamisesta Tietosuoja Organisoi tietosuojatoiminta Ota tietosuoja mukaan tietojärjestelmien kehitys- ja projektinhallintamalleihin Huolehdi tietojen laadusta Määrittele säilytysajat ja hävitä tietoturvallisesti Rajaa käyttöoikeudet ja pääsy henkilötietoihin Vaitiolovelvollisuus sitoo henkilötietojen käsittelijöitä Huolehdi tietoturvasta Määrää toimeksisaajien henkilötietojen käsittelystä sopimuksella Luovuta asiakastietoja harkiten Siirrot ns. kolmansiin maihin vaativat erityisiä toimenpiteitä Dokumentoi, ohjeista ja kouluta Katselmoi säännöllisesti \ Pääsy asiakastietoihin saa olla vain henkilöillä, joiden työtehtäviin niiden käsittely kuuluu. Verkkopalvelun tarjoaja voi ulkoistaa palveluun liittyvää henkilötietojen käsittelyä ja antaa siihen liittyviä toimeksiantoja esimerkiksi toisille yrityksille. Vastuuta ei silti voi ulkoistaa, sillä myös näissä tilanteissa toimeksiantaja pysyy rekisterinpitäjänä. Toimeksisaajan vastuut ja tehtävät määräytyvät pitkälti sopimusvastuuna. Toimeksisaajaa sitovat kuitenkin aina myös henkilötietolain huolellisuus- ja suojaamisvelvoitteet. Henkilötietojen käsittelyä ulkoistettaessa on huomioitava, että kumpaakin osapuolta koskee henkilötietolain mukainen velvollisuus ilmoittaa ulkoistamisesta tietosuojavaltuutetulle. Ilmoitus tulee tehdä vähintään 30 päivää ennen kuin toimittaja ryhtyy henkilötietojen käsittelyyn. Rekisterinpitäjän eli toimeksiantajan tulee tehdä tietosuojavaltuutetulle henkilötietojen käsittelyn ulkoistamista koskeva rekisteriilmoitus. Toimeksisaajan tulee puolestaan tehdä toimintailmoitus toisen lukuun harjoitettavasta tietojenkäsittelystä. Se tehdään harjoitetusta toiminnasta yleensä eli sitä ei tarvitse tehdä erikseen jokaisesta toimeksiannosta tai asiakkaasta. Myös henkilötietojen siirrosta ulkomaille tulee tietyissä tilanteissa ilmoittaa etukäteen tietosuojavaltuutetulle. Lisätietoja Tietosuojavaltuutetun toimiston nettisivuilla: ilmoituslomakkeet: www.tietosuoja.fi/27319.htm tietoa henkilötietojen siirrosta ulkomaille: www.tietosuoja.fi/9230.htm \ Lähde: Tietosuojavaltuutetun toimisto Rekisteröity ei aina ole asiakas Yritys tarjosi verkkopalvelussaan rekisteröitymismahdollisuutta. Tietosuojavaltuutetulta kysyttiin, onko esimerkiksi asiakkaaksi rekisteröityneen henkilön myös voitava poistaa tietonsa itse. Jos yrityksen asiakkaaksi rekisteröitynyt henkilö on tehnyt verkkopalvelussa ostoksen, tilauksen, varauksen tms., osapuolten välille on muodostunut henkilötietojen käsittelyyn oikeuttava asiallinen yhteys. Yritys voi käsitellä asiakkaan henkilötietoja niin kauan kuin osapuolten välillä vallitsee asiallinen yhteys. Asiakas ei siis voi yksin määritellä, milloin hänen henkilötietojensa käsittely tulisi päättää. Yrityksen harkinnassa on, tarjoaako se asiakkailleen mahdollisuuden esimerkiksi sopimuksen irtisanomiseen internetissä. Sitä voi tarjota, mikäli yritys tunnistaa henkilön riittävällä tavalla väärinkäytösten yms. ehkäisemiseksi. Jos osapuolten välille ei ole rekisteröitymisen seurauksena muodostunut asiakassuhdetta, kyse on muusta henkilön suostumukseen perustuvasta tietojen käsittelystä. Tällöin rekisteröity voi lähtökohtaisesti perua suostumuksensa milloin tahansa. Hänellä on siis oikeus vaikuttaa tietojensa käsittelyyn eri tavalla kuin asiakassuhteessa. Jos suostumus henkilötietojen käsittelyyn on annettu internetissä, voi kummankin osapuolen kannalta olla tarkoituksenmukaista, että henkilö voi myös perua suostumuksensa verkossa. Tietosuojavaltuutettu pitikin suositeltavana, että suostumuksen voi perua samassa sähköisessä palvelukanavassa kuin missä se on annettukin. \ Lähde: Tietosuojavaltuutetun toimisto tietoturvan ja tietosuojan erikoislehti 2/2010 TIETOSUOJA 31

ja kehittävät usein ulkopuoliset toimittajat, jotka osallistuvat myös asiakastietojen käsittelyyn. Toimeksisaajien tekemästä henkilötietojen käsittelystä on laadittava kirjallinen sopimus. Verkkokauppayritys vastaa toimeksisaajien suorittamasta henkilötietojen käsittelystä kuten omasta toiminnastaan. Hankittaes sa palvelua ulkopuoliselta onkin olennaista dokumentoida, millaista henkilötietojen käsittelyä hankittavassa toiminnassa tapahtuu ja sopia käsittelyyn liittyvästä tehtävien jaosta. Toimeksisaajilla ei ole oikeutta käyttää toimeksiantosuhteessa saamiaan tietoja omassa toiminnassaan eikä käsitellä saamiaan henkilötietoja muutoinkaan vastoin sopimusta. Toimeksisaaja ei myös saa yhdistää toimeksiantajan henkilötietoja mahdollisesti hallussaan oleviin muiden verkkokauppojen asiakastietoihin. Toimeksiannosta tapahtuvasta henkilötietojen käsittelystä on sekä toimeksiantajan että toimeksisaajan tehtävä ilmoitus tietosuojavaltuutetulle. Tietojen luovutus vaatii tarkkuutta Verkkokaupan asiakastietoja ei saa luovuttaa ulkopuolisille tai muihin rekistereihin ilman laillista luovutuksen perustetta. Jos verkkokauppa suunnittelee henkilötietojen luovuttamista itsenäiselle rekisterinpitäjälle, sen tulee ensin varmistua omasta oikeudestaan luovuttaa tiedot. Samalla verkkokaupan tulee varmistua myös vastaanottavan rekisterinpitäjän oikeudesta vastaanottaa ja käsitellä kyseisiä tietoja. Verkkokaupan tietojärjestelmät saattavat sijaita useassa maassa, ja henkilötietojen käsittely voi olla hajaantunut useiden eri oikeus järjestysten alueille. Erityisesti henkilötietojen siirto EU- tai ETA-alueen ulkopuolisiin maihin, joiden riittävää tietosuojan tasoa ei ole vahvistettu, vaatii erityisiä toimenpiteitä riittävän tietosuojan takaamiseksi. Tietosuojavaltuutetun toimisto on julkaissut ohjeen tietojensiirrosta näihin maihin. Ohjeista ja kouluta Verkkokauppayrityksessä jokaisen henkilötietoja käsittelevän tulee tuntea omiin tehtäviinsä liittyvät ohjeistukset ja yksityisyyden suojaamiseen liittyvät periaatteet. Kattava tietosuojadokumentaatio ja selkeä ohjeistus auttavat huomioimaan tietosuoja-asiat. Hyvä tietosuojadokumentaatio on johdonmukainen kokonaisuus, joka kattaa koko yrityksen henkilötietojen käsittelyn. Olennaiset osa-alueet voidaan kuvata ja ohjeistaa tarkemmin kuin yksityisyydensuojaan vähäisemmin vaikuttavat toiminnot. Ohjeistusten tulee kuitenkin olla riittävän tarkkoja, jotta henkilötietojen käsittelijät suoriutuvat niiden avulla tehtävistään. Samalla ohjeet on hyvä laatia käytännönläheisiksi, jotta henkilöstö voi ymmärtää ne mahdollisimman vaivattomasti ja yksiselitteisesti. Henkilötietojen käsittelyyn osallistuvia henkilöitä tulee kouluttaa riittävästi. Koulutusta ja materiaalia suunniteltaessa on syytä huomioida erityisesti uusien työtekijöiden perehdyttäminen. Kirjoittaja Artikkelisarjan kirjoittaja OTM, KTM Markus Salminen toimii yrittäjänä Lex-Dialog Oy:ssä ja on erikoistunut kuluttajaliiketoiminnan tietosuojan kehittämiseen. Salmisella on aihealueen oikeudellisen ja kaupallisen osaamisen lisäksi yli kymmenen vuoden kokemus liiketoiminnan ja tietojärjestelmien kehittämishankkeista. Hän on kirjoittanut aiheesta kirjan Tietosuoja sähköisessä liiketoiminnassa (Talentum 2009) sekä Tietosuojavaltuutetun toimiston ohjeen Portaalitoiminnan suunnittelu ja toteutus (Asiaa tietosuojasta 2/2007). \ Katselmoi säännöllisesti Tietosuojatoiminnan laatua on hyödyllistä katselmoida määräajoin. Katselmoinneilla voidaan tunnistaa kehittämisen kohteita ja päättää tarpeellisista toimista niiden ratkaisemiseksi. Katselmoinnit ovat hyödyllisiä apuvälineitä erityisesti tilanteissa, joissa halutaan muodostaa kokonaiskuva verkkokaupan tietosuojan tasosta ja laatia systemaattinen toimintasuunnitelma tietosuojan kehittämiseksi. Katselmoinnin voi tehdä joko yrityksen oma henkilökunta tai ulkopuolinen asiantuntija. \ 32 TIETOSUOJA 2/2010 tietoturvan ja tietosuojan erikoislehti

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute