SlideShare a Scribd company logo
1 of 25
Download to read offline
TRUST.20.3.2018 ASIANAJOTOIMISTO TRUST OY
AA JAN LINDBERG
Digitalisaation vaikutukset
markkinointijuridiikkaan ja
tietosuojakysymysten hallinta
TRUST.
Esityksen rakenne
1. Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat
henkilötietoja & miten GDPR vaikuttaa evästeisiin?
2. Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin
mahdollista?
3. Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua?
4. Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä
GDPR:n jälkeen odotettavissa?
TRUST.
Nykytila ja tarkoitus
GDPR voimaan 25.5.2018•
ePrivacy• asetuksesta ei ole vielä saatavilla viimeistä versiota, vaan yksittäisiä
viilauksia asetusluonnokseen tehdään lähes kuukausittain
ePrivacy• asetuksen ytimessä on mm. sähköisen kommunikaation
luottamuksellisuuden turvaaminen
Aiemmin laki koski lähinnä teleoperaattoreita• – nyt mukana mm. Whatsapp,
Viper, tyyppisen palvelun tarjoajat
ePrivacy• asetus on erityissäännös suhteessa GDPR:ään, mutta säädöksissä
paljon päällekkäisyyttä
Myös muidenkin yritysten• – erityisesti mainostajien - on syytä huomioida
ePrivacy asetuksen vaatimukset mm. sähköiseen suoramarkkinointiin ja
evästeisiin liittyen
TRUST.
1. “GDPR:n näkökulmasta cookie eivät ole henkilötietoja,
ne käsitellään vasta ePrivacy Regulationissa”
TRUST.
Kuinka cookiet toimivat?
Julkaisija
Asiakas
USERID
Palvelin
”A cookie is a piece of text
that a Web server can store
on a user's hard disk.”
TRUST.
Henkilötiedon määritelmä
Henkilötietolaki 3 §:
Henkilötiedolla [tarkoitetaan] kaikenlaisia luonnollista henkilöä taikka hänen
ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä
tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi
Asetuksen 4 artikla:
Henkilötiedoilla [tarkoitetaan] kaikkia tunnistettuun tai tunnistettavissa olevaan
luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana
pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
TRUST.
Erityiskysymyksiä
IP osoite, verkkotunnisteet jne., muuttuuko tilanne GDPR:n myötä?
• EU tuomioistuin on ratkaisussaan Scarlet Extended (C-70/10) katsonut että ns.
kiinteä ip-osoite, jonka avulla henkilön voi täsmällisesti tunnistaa on
henkilötieto
• Syksyllä 2016 saatiin myös EU tuomioistuimelta kanta koskien dynaamisia IP-
osoitteita (C-582/14 Patrick Breyer v Bundesrepublik Deutschland)
• Tietosuojaa koskevia periaatteita on sovellettava kaikkiin tunnistettua tai
tunnistettavissa olevaa henkilöä koskeviin tietoihin; sen määrittämiseksi, onko
henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti
toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen
henkilön tunnistamiseksi käyttää
• Näin ei ole silloin, kun rekisteröidyn tunnistaminen on kielletty laissa tai kun se ei ole
käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti
aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, minkä seurauksena
tunnistamisen riski näyttäytyy käytännössä merkityksettömänä
TRUST.
Henkilötiedon määritelmä
Tietosuoja-asetuksen johdanto (26 & 30):
”Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava
huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen
todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai
välillisesti, kuten kyseisen henkilön erottaminen muista.”
”Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten,
työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai
muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä
jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen
etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille
toimitettuihin tietoihin.”
TRUST.
Evästeiden juridiset perusteet ja käytännön vinkit
ePrivacy: strictly
necessary
GDPR:
legitimate
interest or
consent
Not strictly
necessary
nor privacy-
intrusive
Käytös Opt-out Peruutustapa Tyypit
TRUST.
2. “Yrityksen oman markkinointirekisteridatan
rikastuttaminen jatkuu ennallaan”
TRUST.
Käsittelyn peruste
ASETUS 6 ARTIKLA:
Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista
edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa
erityistä tarkoitusta varten;
…
b)käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on
osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn
pyynnöstä;
…
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai
perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
TRUST.
Suostumus
• Suostumus (4 artikla 11 kohta):
”mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja nimenomainen tahdonilmaisu, jolla
rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan
lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”
• Pakotetut tai suostutellut suostumukset eivät ole päteviä
• Esim. valmiiksi valitut valintaikkunat tai passiivisuus eivät täytä vaatimusta
• Samoin, jos suostumusta edellytetään sopimuksen tekemiseksi
• ”Jos käsittely perustuu direktiivin 95/46/EY mukaiseen suostumukseen, rekisteröidyn ei
tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen
tämän asetuksen soveltamisen alkamispäivän jälkeen, jos suostumuksen antamistapa on
ollut tämän asetuksen edellytysten mukainen”
• WP29 suostumusta koskevan ohjeistuksen mukaan edellä mainittu koskee myös
sähköisen viestinnän tietosuojadirektiiviä ja sitä koskevaa suostumusta.
TRUST.
Analytiikkatalo
Viestintäpalvelujen
tarjoaja
Asiakas
Yritys /
rekisterinpitäjä
Mediatoimisto
Yhteistyökumppani
/ rekisterinpitäjä
TRUST.
TRUST.
3. “In-app mainontaa saa tehdä vapaasti!”
TRUST.
4. Digitaalinen markkinointi ja e-privacy-asetuksen
viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa?
TRUST.
TRUST.
Evästeet ja suoramarkkinointi sähköisen viestinnän
tietosuoja-asetuksessa
• Suoramarkkinointi edellyttäisi suostumusta (pl. omat asiakkaat, joille saisi kuitenkin
markkinoida samankaltaisia tuotteita ja palveluja niillä yhteystiedoilla, jotka yritys on
saanut myynnin yhteydessä aiemmin)
• Evästeiden käyttöä koskevaa sääntelyä yksinkertaistettaisiin ja hyväksynnän voisi antaa
mm. internet selaimen asetuksien välityksellä, analytiikkaevästeiden osalta lupa ei
tarvittaisi
• Kysymyksiä & ongelmia:
• Miksi suostumukset GDPR:ssä ja ePrivacyssä eroavat?
• Artikla 10: ”Information and options for privacy settings to be provided 1. Software
placed on the market permitting electronic communications, including the retrieval
and presentation of information on the internet, shall offer the option to prevent third
any other parties than the end-user from storing information on the terminal
equipment of an end-user or processing information already stored on that
equipment.”
TRUST.
Evästeet ja suoramarkkinointi sähköisen viestinnän
tietosuoja-asetuksessa
• Kysymyksiä & ongelmia mm.:
• Mitä kuuluu scopeen? Ancillary services, esim. chat boxit?
• Machine to machine - kommunikaatiot
• Mitä tapahtuu datalle, jos suostumus peruutetaan?
• Mitä tarkoittaa ”web audience measuring”? Kolmansien web-analytiikka?
• Päällekkäisyydet – tarvitaanko molempia asetuksia?
• Miten käsitellä eväste - dataa, joka on henkilötietoa?
TRUST.
Kysymyksiä & ongelmia sähköisen viestinnän tietosuoja-
asetuksessa
Onko tietoturva riittävästi huomioitu?•
Paikantaminen / seuraaminen julkisissa tiloissa? Informointi?•
Miten ”• do not track” – toiminnot ja julkaisijoiden asema? Mm. markkinointituloihin
luottavat sivustot – esimerkiksi ”opt in” kumoamaan ”do not track” – toiminnot?
Ad• blockers – miten näihin suhtaudutaan?
Vaikka evästeitä kontrolloidaan selaimen asetuksilla, niin verkkosivut voivat kuitenkin•
edellyttää suostumusta esimerkiksi liiketoimintamallista johtuen? Ilmainen tai maksu
à onko mahdollista?
Miten keskustelu koskien ”• reject all cookies” – kohtaa päättyy ja pitääkö kolmansien
evästeet estää ”by default”?
Art. 10: ”Markkinoille saatetuissa ohjelmistoissa, jotka mahdollistavat sähköisen
viestinnän, mukaan lukien tietojen hakeminen ja esittäminen internetissä, on
tarjottava vaihtoehto estää kolmansia osapuolia tallentamasta tietoja
loppukäyttäjän päätelaitteelle tai käsittelemästä sille jo tallennettuja tietoja.”
TRUST.
Kysymyksiä ja ongelmia
TRUST.
Johtopäätöksiä – Tee nyt
1. Päivitä sopimusmallit: Käytännön tasolla yrityksille keskeistä tulevaisuuden digitaalisessa
maailmassa pärjäämiselle tulee olemaan ”data ownership” – käsitteen implementoiminen
osaksi liiketoimintastrategiaa ja sopimusprosesseja
2. Evästepolitiikat tulevat muuttumaan ja cookie policyt kannattaa uudelleen arvioida jo
osana GDPR:n täytäntöönpanoa
3. Analysoi nykyisten julkaisukanavien ja alustojen rakenne, eri osapuolten roolit,
henkilötietojen luovutusketjut ja tarpeet henkilötietojen käsittelyä koskeville sopimuksille
4. Analysoi miten suostumukset on kerättävä ja punnitse riskit liittyen mahdolliseen
uudelleen keräämiseen ennen 25.5.2018
TRUST.
"excellent knowledge and sticking to deadlines, which achieves flawless results”
-Chambers Global
“Boutique firm Trust is headed by partners Jan Lindberg and Mika Lehtimäki. It was
only established in 2011 but has been building a reputation for itself in the past few
years and gaining recognition from the market for its work. Its working method is to
focus on a small number of clients with more "intensity" and through this the team
believes it can achieve the best quality.”
- IFLR 1000
TRUST.
TRUST.
KIITOS!

More Related Content

What's hot

Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariTeemu Tiainen
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaLoihde Advisory
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Tomppa Järvinen
 
Julkisuuslaki sihteereille
Julkisuuslaki sihteereilleJulkisuuslaki sihteereille
Julkisuuslaki sihteereilleHallintoakatemia
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
Tietoturvan perusteita
Tietoturvan perusteitaTietoturvan perusteita
Tietoturvan perusteitaHarto Pönkä
 

What's hot (14)

Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
 
Julkisuuslaki sihteereille
Julkisuuslaki sihteereilleJulkisuuslaki sihteereille
Julkisuuslaki sihteereille
 
Mita tsa muutti suomessa
Mita   tsa muutti suomessaMita   tsa muutti suomessa
Mita tsa muutti suomessa
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Tietoturvan perusteita
Tietoturvan perusteitaTietoturvan perusteita
Tietoturvan perusteita
 

Similar to Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten hallinta

Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaHarto Pönkä
 
Update on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityUpdate on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityJan Lindberg
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaSuomen metsäkeskus
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
 
EU:n tietosuoja-asetus kaupan alalla
EU:n tietosuoja-asetus kaupan alallaEU:n tietosuoja-asetus kaupan alalla
EU:n tietosuoja-asetus kaupan alallaExove
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Oikeudet omiin sote-tietoihin 2016-12
Oikeudet omiin sote-tietoihin 2016-12Oikeudet omiin sote-tietoihin 2016-12
Oikeudet omiin sote-tietoihin 2016-12Olli Pitkänen
 
Kalvot ihan debatti slideshare (1)
Kalvot ihan debatti slideshare (1)Kalvot ihan debatti slideshare (1)
Kalvot ihan debatti slideshare (1)Sitra / Hyvinvointi
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissaeAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissaeamkhanke
 
Tietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntöTietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntöSami Kivivasara
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 

Similar to Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten hallinta (20)

Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Tietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassaTietosuoja sosiaalisessa mediassa
Tietosuoja sosiaalisessa mediassa
 
EU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössäEU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössä
 
Update on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's LiabilityUpdate on Privacy, Cyber Risks and Director's Liability
Update on Privacy, Cyber Risks and Director's Liability
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
 
EU:n tietosuoja-asetus kaupan alalla
EU:n tietosuoja-asetus kaupan alallaEU:n tietosuoja-asetus kaupan alalla
EU:n tietosuoja-asetus kaupan alalla
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Oikeudet omiin sote-tietoihin 2016-12
Oikeudet omiin sote-tietoihin 2016-12Oikeudet omiin sote-tietoihin 2016-12
Oikeudet omiin sote-tietoihin 2016-12
 
EU:n tietosuoja-asetus
EU:n tietosuoja-asetusEU:n tietosuoja-asetus
EU:n tietosuoja-asetus
 
Kalvot ihan debatti slideshare (1)
Kalvot ihan debatti slideshare (1)Kalvot ihan debatti slideshare (1)
Kalvot ihan debatti slideshare (1)
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
 
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissaeAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
 
Tietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntöTietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntö
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 

More from Jan Lindberg

IT Outsourcing and Tendering Process (in Finnish)
IT Outsourcing and Tendering Process (in Finnish)IT Outsourcing and Tendering Process (in Finnish)
IT Outsourcing and Tendering Process (in Finnish)Jan Lindberg
 
Copyright Protection of a Software as a Work with Functional Elements
Copyright Protection of a Software as a Work with Functional ElementsCopyright Protection of a Software as a Work with Functional Elements
Copyright Protection of a Software as a Work with Functional ElementsJan Lindberg
 
SOME 2013: Legal Issues in Social Media and Data Protection
SOME 2013: Legal Issues in Social Media and Data ProtectionSOME 2013: Legal Issues in Social Media and Data Protection
SOME 2013: Legal Issues in Social Media and Data ProtectionJan Lindberg
 
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120Jan Lindberg
 
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...Jan Lindberg
 
Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...
Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...
Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...Jan Lindberg
 

More from Jan Lindberg (6)

IT Outsourcing and Tendering Process (in Finnish)
IT Outsourcing and Tendering Process (in Finnish)IT Outsourcing and Tendering Process (in Finnish)
IT Outsourcing and Tendering Process (in Finnish)
 
Copyright Protection of a Software as a Work with Functional Elements
Copyright Protection of a Software as a Work with Functional ElementsCopyright Protection of a Software as a Work with Functional Elements
Copyright Protection of a Software as a Work with Functional Elements
 
SOME 2013: Legal Issues in Social Media and Data Protection
SOME 2013: Legal Issues in Social Media and Data ProtectionSOME 2013: Legal Issues in Social Media and Data Protection
SOME 2013: Legal Issues in Social Media and Data Protection
 
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120
 
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...
 
Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...
Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...
Cleantech - Solving Legal Challenges of Finnish Cleantech-sector Companies Gr...
 

Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten hallinta

  • 1. TRUST.20.3.2018 ASIANAJOTOIMISTO TRUST OY AA JAN LINDBERG Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten hallinta
  • 2. TRUST. Esityksen rakenne 1. Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat henkilötietoja & miten GDPR vaikuttaa evästeisiin? 2. Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin mahdollista? 3. Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua? 4. Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa?
  • 3. TRUST. Nykytila ja tarkoitus GDPR voimaan 25.5.2018• ePrivacy• asetuksesta ei ole vielä saatavilla viimeistä versiota, vaan yksittäisiä viilauksia asetusluonnokseen tehdään lähes kuukausittain ePrivacy• asetuksen ytimessä on mm. sähköisen kommunikaation luottamuksellisuuden turvaaminen Aiemmin laki koski lähinnä teleoperaattoreita• – nyt mukana mm. Whatsapp, Viper, tyyppisen palvelun tarjoajat ePrivacy• asetus on erityissäännös suhteessa GDPR:ään, mutta säädöksissä paljon päällekkäisyyttä Myös muidenkin yritysten• – erityisesti mainostajien - on syytä huomioida ePrivacy asetuksen vaatimukset mm. sähköiseen suoramarkkinointiin ja evästeisiin liittyen
  • 4. TRUST. 1. “GDPR:n näkökulmasta cookie eivät ole henkilötietoja, ne käsitellään vasta ePrivacy Regulationissa”
  • 5. TRUST. Kuinka cookiet toimivat? Julkaisija Asiakas USERID Palvelin ”A cookie is a piece of text that a Web server can store on a user's hard disk.”
  • 6. TRUST. Henkilötiedon määritelmä Henkilötietolaki 3 §: Henkilötiedolla [tarkoitetaan] kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi Asetuksen 4 artikla: Henkilötiedoilla [tarkoitetaan] kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
  • 7. TRUST. Erityiskysymyksiä IP osoite, verkkotunnisteet jne., muuttuuko tilanne GDPR:n myötä? • EU tuomioistuin on ratkaisussaan Scarlet Extended (C-70/10) katsonut että ns. kiinteä ip-osoite, jonka avulla henkilön voi täsmällisesti tunnistaa on henkilötieto • Syksyllä 2016 saatiin myös EU tuomioistuimelta kanta koskien dynaamisia IP- osoitteita (C-582/14 Patrick Breyer v Bundesrepublik Deutschland) • Tietosuojaa koskevia periaatteita on sovellettava kaikkiin tunnistettua tai tunnistettavissa olevaa henkilöä koskeviin tietoihin; sen määrittämiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen henkilön tunnistamiseksi käyttää • Näin ei ole silloin, kun rekisteröidyn tunnistaminen on kielletty laissa tai kun se ei ole käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, minkä seurauksena tunnistamisen riski näyttäytyy käytännössä merkityksettömänä
  • 8. TRUST. Henkilötiedon määritelmä Tietosuoja-asetuksen johdanto (26 & 30): ”Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista.” ”Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin.”
  • 9. TRUST. Evästeiden juridiset perusteet ja käytännön vinkit ePrivacy: strictly necessary GDPR: legitimate interest or consent Not strictly necessary nor privacy- intrusive Käytös Opt-out Peruutustapa Tyypit
  • 10. TRUST. 2. “Yrityksen oman markkinointirekisteridatan rikastuttaminen jatkuu ennallaan”
  • 11. TRUST. Käsittelyn peruste ASETUS 6 ARTIKLA: Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten; … b)käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; … f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
  • 12. TRUST. Suostumus • Suostumus (4 artikla 11 kohta): ”mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja nimenomainen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen” • Pakotetut tai suostutellut suostumukset eivät ole päteviä • Esim. valmiiksi valitut valintaikkunat tai passiivisuus eivät täytä vaatimusta • Samoin, jos suostumusta edellytetään sopimuksen tekemiseksi • ”Jos käsittely perustuu direktiivin 95/46/EY mukaiseen suostumukseen, rekisteröidyn ei tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen tämän asetuksen soveltamisen alkamispäivän jälkeen, jos suostumuksen antamistapa on ollut tämän asetuksen edellytysten mukainen” • WP29 suostumusta koskevan ohjeistuksen mukaan edellä mainittu koskee myös sähköisen viestinnän tietosuojadirektiiviä ja sitä koskevaa suostumusta.
  • 15. TRUST. 3. “In-app mainontaa saa tehdä vapaasti!”
  • 16. TRUST. 4. Digitaalinen markkinointi ja e-privacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa?
  • 18. TRUST. Evästeet ja suoramarkkinointi sähköisen viestinnän tietosuoja-asetuksessa • Suoramarkkinointi edellyttäisi suostumusta (pl. omat asiakkaat, joille saisi kuitenkin markkinoida samankaltaisia tuotteita ja palveluja niillä yhteystiedoilla, jotka yritys on saanut myynnin yhteydessä aiemmin) • Evästeiden käyttöä koskevaa sääntelyä yksinkertaistettaisiin ja hyväksynnän voisi antaa mm. internet selaimen asetuksien välityksellä, analytiikkaevästeiden osalta lupa ei tarvittaisi • Kysymyksiä & ongelmia: • Miksi suostumukset GDPR:ssä ja ePrivacyssä eroavat? • Artikla 10: ”Information and options for privacy settings to be provided 1. Software placed on the market permitting electronic communications, including the retrieval and presentation of information on the internet, shall offer the option to prevent third any other parties than the end-user from storing information on the terminal equipment of an end-user or processing information already stored on that equipment.”
  • 19. TRUST. Evästeet ja suoramarkkinointi sähköisen viestinnän tietosuoja-asetuksessa • Kysymyksiä & ongelmia mm.: • Mitä kuuluu scopeen? Ancillary services, esim. chat boxit? • Machine to machine - kommunikaatiot • Mitä tapahtuu datalle, jos suostumus peruutetaan? • Mitä tarkoittaa ”web audience measuring”? Kolmansien web-analytiikka? • Päällekkäisyydet – tarvitaanko molempia asetuksia? • Miten käsitellä eväste - dataa, joka on henkilötietoa?
  • 20. TRUST. Kysymyksiä & ongelmia sähköisen viestinnän tietosuoja- asetuksessa Onko tietoturva riittävästi huomioitu?• Paikantaminen / seuraaminen julkisissa tiloissa? Informointi?• Miten ”• do not track” – toiminnot ja julkaisijoiden asema? Mm. markkinointituloihin luottavat sivustot – esimerkiksi ”opt in” kumoamaan ”do not track” – toiminnot? Ad• blockers – miten näihin suhtaudutaan? Vaikka evästeitä kontrolloidaan selaimen asetuksilla, niin verkkosivut voivat kuitenkin• edellyttää suostumusta esimerkiksi liiketoimintamallista johtuen? Ilmainen tai maksu à onko mahdollista? Miten keskustelu koskien ”• reject all cookies” – kohtaa päättyy ja pitääkö kolmansien evästeet estää ”by default”? Art. 10: ”Markkinoille saatetuissa ohjelmistoissa, jotka mahdollistavat sähköisen viestinnän, mukaan lukien tietojen hakeminen ja esittäminen internetissä, on tarjottava vaihtoehto estää kolmansia osapuolia tallentamasta tietoja loppukäyttäjän päätelaitteelle tai käsittelemästä sille jo tallennettuja tietoja.”
  • 22. TRUST. Johtopäätöksiä – Tee nyt 1. Päivitä sopimusmallit: Käytännön tasolla yrityksille keskeistä tulevaisuuden digitaalisessa maailmassa pärjäämiselle tulee olemaan ”data ownership” – käsitteen implementoiminen osaksi liiketoimintastrategiaa ja sopimusprosesseja 2. Evästepolitiikat tulevat muuttumaan ja cookie policyt kannattaa uudelleen arvioida jo osana GDPR:n täytäntöönpanoa 3. Analysoi nykyisten julkaisukanavien ja alustojen rakenne, eri osapuolten roolit, henkilötietojen luovutusketjut ja tarpeet henkilötietojen käsittelyä koskeville sopimuksille 4. Analysoi miten suostumukset on kerättävä ja punnitse riskit liittyen mahdolliseen uudelleen keräämiseen ennen 25.5.2018
  • 23. TRUST. "excellent knowledge and sticking to deadlines, which achieves flawless results” -Chambers Global “Boutique firm Trust is headed by partners Jan Lindberg and Mika Lehtimäki. It was only established in 2011 but has been building a reputation for itself in the past few years and gaining recognition from the market for its work. Its working method is to focus on a small number of clients with more "intensity" and through this the team believes it can achieve the best quality.” - IFLR 1000