Exoven ja Bird&Birdin Kaupan Liiton seminaarissa pitämä esitys EU:n tietosuoja-asetuksesta ja sen vaikutuksista kaupan alalle, erityisesti verkkokauppaan.

1. EU:n tietosuoja-asetus kaupan
alalla
EXOVE 2017

2. Tietosuoja-asetus
modernissa
kaupankäynnissä
Maria Aholainen
Lakimies, CIPP/E
16.8.2017

3. Päivän agenda
OSA I – Lähtökohta
1. EU:n yleinen tietosuoja-asetus
2. Kansallinen liikkumavara
OSA II – Asiakastietojen käsittely ja markkinointi
1. Asiakas- ja markkinointirekisterit
2. Kohdennettu mainonta ja profilointi
OSA III – Uutta sääntelyä tulossa?
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017
Sivu 2
© Bird & Bird LLP 2017

4. OSA I:
Lähtökohta

5. Miksi pitäisi kiinnostaa?
Sakot
Sopimus-
kumppani voi
edellyttää
Maine ja
luottamus
Sivu 4
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017© Bird & Bird LLP 2017

6. Lähtöasetelma
1. Tietosuoja-asetusta sovelletaan kaupan asiakastietojen
käsittelyyn ja markkinointitoimiin
• HUOM! Erityissääntely sähköisestä suoramarkkinoinnista ja evästeistä
säilyy nykyisellään
2. Muutoksia siihen, miten asioita tulee tehdä
• Riskiperusteisuus
• Tilivelvollisuus
3. Muutoksia siihen, mitä tulee tehdä
• Tiukemmat edellytykset suostumukselle – dokumentoitava
• Laajempi informointivelvollisuus
• Profilointiin uusia velvollisuuksia
4. Panokset kovenee, merkittävät sanktiot laiminlyönneistä
• 20M€ tai 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017
Sivu 5
© Bird & Bird LLP 2017

7. Kansallinen liikkumavara ja erityissääntely
haastavat yhdenmukaisuuden?
• Tietosuoja-asetuksessa jäsenvaltioille on jätetty kansallista
liikkumavaraa
• Ehdotetulla Tietosuojalailla säädettäisiin
• Tietosuojavirastosta ja seuraamuslautakunnasta
• Rikosseuraamuksista
• Erityistilanteista, kuten henkilötunnuksen käsittelystä,
lasten henkilötietojen käsittelystä (ikäraja)
• Sähköisen viestinnän tietosuojasääntely jää erityislainsäädäntönä
voimaan sellaisenaan, koskien mm.
• sähköistä suoramarkkinointia ja evästesääntelyä
Tietosuoja-asetus modernissa kaupankäynnissä |Kaupan liitto 16.8.2017
Sivu 6
© Bird & Bird LLP 2017

8. Väite
"Yrityksemme ei käsittele henkilötietoja"

9. Henkilötieto on laaja käsite
Kaikki kaupat käsittelevät henkilötietoja
• Henkilötieto käsittää kaikki tunnistettuun tai tunnistettavissa
olevaan henkilöön liittyvät tiedot
• Kun henkilö voidaan suoraan tai epäsuorasti tunnistaa
• Kaupat käsittelevät esimerkiksi seuraavia asiakkaidensa
henkilötietoja:
• Nimi- ja yhteystiedot
• Henkilötunnus
• Maksutiedot
• Ostohistoria
Sivu 8
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017© Bird & Bird LLP 2017

10. Verkkokaupan henkilötiedot
• Verkkokaupoissa lisäksi seuraavia käyttäjien henkilötietoja:
• IP-osoite, eväste, laite ID
• Sijaintitieto
• Laitekohtainen tieto, kuten laitteen merkki ja malli
• Tiedot käyttäjän selaimesta, URL, selainhistoria
• Kiinnostusta osoittavat segmentit
• Click-through data jne..
…yhdistämisen kautta voivat paljastaa tietoja käyttäjästä!
Sivu 9
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017© Bird & Bird LLP 2017

11. OSA II:
Asiakastietojen
käsittely ja
markkinointi

12. Sivu 11
© Bird & Bird LLP 2017
Verkkokaupat – mikä muuttuu?
Informointivelvollisuus laajenee
Suostumus tiukentuu
Profilointi voi edellyttää vaikutustenarviointia
Merkittävät sanktiot
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017

13. Perinteiset asiakas- ja markkinointirekisterit
• Edelleen sallittuja!
• Pidä erillään:
• Asiakkaat (sopimussuhde)
• Potentiaaliset asiakkaat (ei sopimussuhdetta)
• Henkilötietojen käsittelylle on aina oltava lainmukainen oikeusperuste,
kuten
(1) Asiakkaiden henkilötietojen käsittely sallittua
• sopimussuhteen (=asiakassuhteen) perusteella tuotteen/palvelun
tarjoamiseksi
• oikeutetun edun ja suostumuksen perusteella suoramarkkinointiin
(2) Potentiaalisten asiakkaiden henkilötietojen käsittely rajatummin!
• oikeutetun edun perusteella?
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017
Sivu 12
© Bird & Bird LLP 2017

14. Laajempi informointivelvollisuus
• Läpinäkyvyyden vaatimus korostunut
• Tietosuojaselosteessa kerrottava vähintään:
• Rekisterinpitäjän (kaupan) yhteystiedot
• UUSI Oikeusperuste
• Käsittelyn tarkoitukset
• Henkilötietoryhmät
• Tietojen luovutus
• Tietojen siirto EU/ETA ulkopuolelle
• UUSI Säilytysajat
• UUSI Kaikki rekisteröidyn oikeudet (ml. uudet!)
• Tietoturvatoimenpiteet
• UUSI Tiedot automaattisesta päätöksenteosta ja profiloinnista
• Tiedot annettava oma-aloitteisesti ja oltava helposti saatavilla
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017
Sivu 13
© Bird & Bird LLP 2017

15. Suostumukselle tiukemmat edellytykset
• Suostumuksen tulee olla selvä, aktiivinen toimi
• Kirjallinen, sähköinen tai suullinen
• Selvä lausuma tai toimi
• Valinta teknisistä asetuksista
• Muu selvä aktiivinen toimi
• Suostumus EI ole:
• Hiljainen tai oletettu tai tekemättä jättäminen
• Valmiiksi rastitettu ruutu
• Upotettu sopimusehtoihin
• Ainoa vaihtoehto
• Suostumus on pystyttävä osoittamaan jälkikäteen!
Sivu 14
© Bird & Bird LLP 2017 Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017

16. Q & A
1. Miten suostumus on dokumentoitava?
2. Pitääkö kaikki suostumukset pyytää
uudestaan nykyisiltä asiakkailta?
Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017
Sivu 15
© Bird & Bird LLP 2017

17. Profilointi säännelty asetuksessa
• Kohdennettu verkkomainonta voi olla asetuksen mukaista profilointia
• Profilointi tarkoittaa henkilön ominaisuuksien arviointia, analysointia
tai ennakointia, kuten
• taloudellisen tilanteen,
• henkilökohtaisien mieltymyksien ja kiinnostuksen kohteiden,
• sijainnin tai liikkumisen jne.
• Mikäli profiloinnilla on merkittäviä vaikutuksia yksilöön, profilointi
on asetuksen mukaan korkean riskin käsittelyä, joka edellyttää
• Vaikutustenarviointia – arviota riskeistä ja toimista riskin
pienentämiseksi
Sivu 16
© Bird & Bird LLP 2017 Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017

18. OSA III:
Uutta sääntelyä
tulossa?

19. Lisää muutoksia tulossa…
Sivu 18
Sähköisen viestinnän
tietosuojasääntely muuttumassa:
EU Komissio on antanut uuden
ehdotuksen sähköisen viestinnän
tietosuoja-asetukseksi
© Bird & Bird LLP 2017 Tietosuoja-asetus modernissa kaupankäynnissä | Kaupan liitto 16.8.2017

20. Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses.
Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the
Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and
of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address.
twobirds.com
Kiitos!
Maria Aholainen, Lakimies, CIPP/E
puh. 09 622 662 20
maria.aholainen@twobirds.com

21. Tietosuoja-asetuksen
aiheuttamat teknologiset
muutostarpeet kaupan alalla
Kalle Varisvirta
Exove
@kvirta

22. Tässä esityksessä
Verkkokaupat
Analytiikka, profilointi
Pilvipalveluiden käyttö

23. GDPR ja teknologia

24. Miksi teknologialla on
merkitystä?
GDPR edellyttää selvittämään palvelun käyttäjälle mm.
käsiteltävät tiedot, käsittelyn tarkoituksen ja käsittelyn
keston
Tietojärjestelmien on sallittava näiden noudattaminen
Cowboy-kulttuuri loppuu

25. Verkkokauppa
ja GDPR

26. Verkkokauppa ja
henkilötiedot
Verkkokauppa vaatii luonteensa mukaisesti
henkilötietojen kysymistä
Henkilötietojen tallentaminen pidemmäksi aikaa kuin
tilauksen toimittamiseksi, pl. muut syyt (esim.
kirjanpitosyyt, suoramarkkinointi), sen sijaan on
luvanvarainen asia
Henkilötietojen poistaminen pitää aina olla
mahdollista ilman datan eheyden rikkomista

27. Verkkokauppa ja
henkilötiedot
Verkkokaupan henkilötiedot eivät yleensä talletu vain
verkkokauppaan itseensä
Taustalla ERP, CRM, tietovarasto
Asiakkuuden henkilötietoja kannattaa tarkastella
kokonaisuutena, vaikka tietoa tallennettaisiin
moninkertaisesti

28. Verkkokauppa ja
henkilötiedot
GDPR vaatii myös suhteuttamaan käsittelyn tietosuojan
rekisteröidyn etuihin ja oikeuksiin kohdistuviin riskeihin
Esimerkiksi henkilötunnuksen kysyminen laskutusta
varten vaikuttaa suoraviivaiselta, mutta johtuen
tietojärjestelmien luonteesta, henkilötunnus voi tallentua
useaan paikkaan

29. Verkkokauppa ja GDPR
Suunnittele henkilötiedon kulku verkkokaupan sisällä
ja sen läpi
Suunnittele henkilötiedon elinkaari verkkokaupassa
Rakenna verkkokauppaa ylläpitävien tahojen kanssa
yhteiset prosessit rekisteröidyn oikeuksien
toteuttamiseen
Suhteuta tietoturva riskeihin

30. Profilointi
ja analytiikka

31. Moderni verkkokauppa
Nykyaikainen verkkokauppa perustuu usein
muutamaan asiaan: asiakkuuteen, personointiin ja
analytiikkaan
Asiakkuus tarkoittaa sitä, että verkkokauppa voi aina
tunnistaa käyttäjänsä ja tarjota asiakkaalle
mahdollisimman nopean tavan tehdä ostoksia
Personointi tarkoittaa sitä, että verkkokauppa voi
suositella asiakkaalle muuta ostettavaa ostoksiensa
yhteydessä

32. Asiakkuus
Asiakkuudessa asiakas on aina autentikoitunut
verkkokauppaan
Tämä ei ole GDPR:n kautta merkittävän ongelmallista,
jos käyttäjällä muutenkin on jo tili verkkokauppaan (ja
rekisteröitymisen yhteydessä annettu suostumus
henkilötietojen käsittelyyn)

33. Personointi ja profilointi
Personointi on jo hetken aikaa ollut merkittävä trendi
verkkokaupassa, parhaat verkkokaupat voivat suositella
ostoksia koska tuntevat asiakkaansa
Nykyaikaisimmat verkkokauppasovellukset käyttävät
esimerkiksi syväoppivaa neuroverkkoa ostosten
suositteluun
Neuroverkon toimivuus vaatii paljon dataa
Neuroverkon oppimisdata *voi* olla anonymisoitua

34. Analytiikka
Analytiikan kytkeminen personointiin, eli tunnistetun
henkilön analysointi, esim. hiiren seuraaminen, pitää
selittää rekisteröidylle ja siitä pitää voida kieltäytyä
Yleensä analytiikalla päästään kuitenkin varsin hyviin
tuloksiin ilman yksittäisiin henkilöihin kytkemistä
GDPR kuitenkin katsoo tiedot kytketyiksi jos ne ovat
kytkettävissä

35. Profilointi ja analytiikka
Voit pitää asiakkaasi kirjautuneena kauppaasi
Profiloi vain tarvittavilla tiedoilla ja selitä asiakkaalle
miten ja miksi profiloit
Voit olla varma, että mikäli profilointi vaikuttaa
hintaan, siitä kieltäydytään
Suosituksiin tarvittava datapohja voi olla anonyymiä
Kytke analytiikka henkilöihin vain mikäli siitä on aitoa
hyötyä

36. Pilvipalvelut ja sijainti

37. Pilvipalvelut
Pilvipalvelut ovat tulleet helpottamaan arkeamme
monella eri tavoin
Ideana pilvessä on, ettei siitä tarvitse tietää mitään, se
on “jonkun toisen tietokone” ja “jonkun toisen ongelma”
GDPR:n myötä jokaisen henkilötietoa käsittelevän tai
tallentavan pilvipalvelun toiminta on oltava selvillä

39. Pilvipalvelut
Yksittäinen palvelu saattaa käyttää yllättävää määrää
erilaisia pilvipalveluita
Pilvipalveluiden käyttö pitää olla aina rekisterinpitäjän
päätös ja tietosuojavaikutukset on selvitettävä
etukäteen
Pidä huoli, että tiedät täsmälleen missä pilvipalveuissa
asiakkaittesi henkilötietoa kulkee

40. Kiitos!
Kysymyksiä?

41. Kuinka edetä tästä?
Janne Kalliola, Exove
EXOVE ja BIRD & BIRD
2017

42. Tuumasta toimeen
● Mikäli tietosuoja-asialle ei ole vielä tehty yrityksessäsi mitään,
on aika aloittaa heti
● Aikaa on enää muutama kuukausi ja työmäärä on aina
arvioitua suurempi
● Jotta projekti onnistuisi, sillä tulee olla:
○ Vastuullinen vetäjä
○ Johdon tuki
○ Riittävä budjetti
○ Oikeus pyytää muulta organisaatiolta apua

43. Projektiryhmä
● Projektiin on syytä ottaa mukaan edustaja jokaisesta
henkilötietoja käyttävästä organisaation osasta – tyypillisesti
ainakin IT, HR, markkinointi
● Jäsenille on varattava riittävästi aikaa hoitaa projektiin liittyvät
työnsä
● On syytä varautua, että keväällä työ vie päivän viikosta
jäseniltä ja voi olla kokopäiväistä vetäjälle
○ Tämä toki riippuu yrityksen nykyisestä valmiusasteesta

44. Miettikää riskien kautta
● Te ette tule saavuttamaan 100% yhteensopivuutta asetuksen
kanssa
○ Välittömästi tai edes koskaan
○ Osa vanhoista järjestelmistä ei taivu vaatimuksiin, aikaa
on vähän ja tekemistä paljon
○ Virheitä sattuu, kaikkea ei voi ennakoida
● Miettikää asiat riskien kannalta – sanktiot, merkitys
liiketoiminnalle yms.
● Älkää vetäkö tinahattua liian kireälle, liiketoiminta kärsii

45. Työn kulku
● On selvitettävä seuraavat asiat:
○ Mitä asetuksen alaista tietoa organisaationne kerää
○ Kuinka ja missä tämä tieto säilötään
○ Kuka hallinnoi näitä järjestelmiä ja kenellä on pääsy
tietoon
○ Mihin tätä tietoa käytetään
○ Onko tiedolle määritelty käsittelyprosessit ja määräajat
○ Onko tiedon luovuttajalle kerrottu em. asiat oikeissa
paikoissa

46. Tietovuomallinnus
● Tietovuomallinnuksessa lähdetään tiedon alkulähteiltä –
lomakkeet verkossa, itsepalvelukäyttöliittymät, yms. – ja
edetään kohti tiedon varastoja
○ Dokumentoidaan tiedon keräämistarve, säilytysaika ja
muut tarvittavat tiedot
○ Tarkistetaan, että tukevatko järjestelmät asetuksen
mukaisia käyttäjien oikeuksia
○ Varmistetaan, että käyttöehdoissa ja muissa kuvauksissa
katetaan kaikki käyttökohteet

47. Kokonaisarkkitehtuuri
● Yrityksen IT-kokonaisarkkitehtuuria tulee miettiä myös
yksityisyyden suojan osalta
○ Tietovuomallinnuksen pohjalta saadaan muutostarpeet
○ Kannattaa miettiä, että onko osa järjestelmistä turhia,
korvattavissa paremmilla tai yhdistettävissä
● Kaikkien uusien järjestelmien tulee toteuttaa privacy by
design -periaatetta
○ Varmistettava, että toimittajat ovat tästä tietoisia

48. Prosessit ja koulutus
● Tietojen käsittelyn prosessit tulee dokumentoida ja varmistaa,
että ne ovat asetuksen mukaisia
○ On myös varmistettava, että henkilökunta noudattaa
prosesseja
● Henkilökunta on syytä kouluttaa
○ Eri tasoista koulutusta eri henkilöryhmille
○ Jokaisen ymmärrettävä henkilötiedon merkittävyys ja
oman roolit vaatimukset

49. Kumppanit ja alihankkijat
● Asetus vaatii kumppanien ja alihankkijoiden sitomista
sopimuksilla yksityisyyden suojaamiseen
○ Tämä työ on parasta jättää juristille ainakin mallipohjien
osalta
● Vaikka kumppani tekisi virheen, ensisijainen vastuu on silti
rekisterinpitäjällä
○ Sopimussakot eivät ole ratkaisu, ainoastaan pelote
○ Koulutus ja yhteisen tahtotilan luonti vähentää riskejä
sakkoja enemmän

50. Yhteensopivuuden jälkeen?
● Tämä ei ole kertaprojekti, vaan jatkuva prosessi
● Ei riitä, että toimitte tietosuojan osalta oikein tämän projektin
jälkeen
○ Toimintaa pidettävä jatkuvasti kunnossa
○ Projektiryhmä on luonteva taho jatkaa keskustelua
○ Syytä käydä tilannetta läpi esimerkiksi
vuosineljänneksittäin
● Koulutus ja prosessit nivottava ihmisten perehdyttämiseen
● Kumppaniyhteistyö järjestettävä, esimerkiksi tietosuojapäivät

51. Ratkaisumme
EXOVE ja BIRD & BIRD
2017

52. Tietosuojakartoitus
● Selvitämme miten yrityksesi prosessit ja IT-järjestelmät
täyttävät EU:n tietosuoja-asetuksen vaatimukset.
Kartoituksessa yhdistyvät juridinen ja tekninen osaaminen,
jolloin yrityksenne saa kokonaiskuvan asiasta.
● Tämän pohjalta pystymme suunnittelemaan
kokonaisohjelman GDPR-yhteensopivuuden varmistamiseksi.
● Exove yhteistyössä Bird & Birdin kanssa

53. Kartoituksen aiheita
● Mitä henkilötietoja organisaatiossasi käsitellään?
● Missä yrityksen sisäisissä ja ulkoisissa järjestelmissä tietoja
käsitellään ja tallennetaan?
● Onko henkilötietojen hankinnalle ja luovuttamiselle selkeät
perusteet?
● Mitkä ovat henkilöstön toimintatavat liittyen henkilötietojen
käsittelyyn
● Kumppanien ja sidosryhmien käytännöt

54. Kartoituksen hyödyt
→ Sitouttaa yrityksen tietosuojavastaavan ja johdon
tietosuoja-asetuksen vaatimuksiin
→ Mahdollistaa toimenpidesuunnitelma laatimisen, jotta yritys
täyttää vaatimukset juridisesti ja IT:n osalta

55. Kartoituksen vaiheet
Kuvaus
Bird&Bird kysyy juridiset kysymykset ja
Exove keskittyy ICT-kysymyksiin. Kysely
lähetetään tyypillisesti ICT, HR,
juridiikasta ja liiketoiminnoista vastaaville
Bird&Bird ja Exove laativat vastauksien
perusteella analyysin
Bird&Bird ja Exove pitävät noin 3h
työpajan asiakkaan avainhenkilöiden
kanssa
OPTIO: Raportti puretaan asiakkaan
kanssa ja tarkastellaan kokonaisuutta
kuinka yritys juridisesti ja teknisesti
saavuttavat vaaditun tason
Sisältö Tuotos
Raportti, jossa n. 10 kohdan lista
nykytilasta
Tarjous ohjelman läpiviennistä
IT Juridinen
Analyysi
Työpaja
GDPR yhteensopivuusohjelma

56. Kiitos.
Kysymyksiä? Kommentteja?
EXOVE ja BIRD & BIRD
2017