Exoven ja Bird&Birdin Kaupan Liiton seminaarissa pitämä esitys EU:n tietosuoja-asetuksesta ja sen vaikutuksista kaupan alalle, erityisesti verkkokauppaan.
20. Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses.
Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the
Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and
of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address.
twobirds.com
Kiitos!
Maria Aholainen, Lakimies, CIPP/E
puh. 09 622 662 20
maria.aholainen@twobirds.com
24. Miksi teknologialla on
merkitystä?
GDPR edellyttää selvittämään palvelun käyttäjälle mm.
käsiteltävät tiedot, käsittelyn tarkoituksen ja käsittelyn
keston
Tietojärjestelmien on sallittava näiden noudattaminen
Cowboy-kulttuuri loppuu
26. Verkkokauppa ja
henkilötiedot
Verkkokauppa vaatii luonteensa mukaisesti
henkilötietojen kysymistä
Henkilötietojen tallentaminen pidemmäksi aikaa kuin
tilauksen toimittamiseksi, pl. muut syyt (esim.
kirjanpitosyyt, suoramarkkinointi), sen sijaan on
luvanvarainen asia
Henkilötietojen poistaminen pitää aina olla
mahdollista ilman datan eheyden rikkomista
27. Verkkokauppa ja
henkilötiedot
Verkkokaupan henkilötiedot eivät yleensä talletu vain
verkkokauppaan itseensä
Taustalla ERP, CRM, tietovarasto
Asiakkuuden henkilötietoja kannattaa tarkastella
kokonaisuutena, vaikka tietoa tallennettaisiin
moninkertaisesti
28. Verkkokauppa ja
henkilötiedot
GDPR vaatii myös suhteuttamaan käsittelyn tietosuojan
rekisteröidyn etuihin ja oikeuksiin kohdistuviin riskeihin
Esimerkiksi henkilötunnuksen kysyminen laskutusta
varten vaikuttaa suoraviivaiselta, mutta johtuen
tietojärjestelmien luonteesta, henkilötunnus voi tallentua
useaan paikkaan
29. Verkkokauppa ja GDPR
Suunnittele henkilötiedon kulku verkkokaupan sisällä
ja sen läpi
Suunnittele henkilötiedon elinkaari verkkokaupassa
Rakenna verkkokauppaa ylläpitävien tahojen kanssa
yhteiset prosessit rekisteröidyn oikeuksien
toteuttamiseen
Suhteuta tietoturva riskeihin
31. Moderni verkkokauppa
Nykyaikainen verkkokauppa perustuu usein
muutamaan asiaan: asiakkuuteen, personointiin ja
analytiikkaan
Asiakkuus tarkoittaa sitä, että verkkokauppa voi aina
tunnistaa käyttäjänsä ja tarjota asiakkaalle
mahdollisimman nopean tavan tehdä ostoksia
Personointi tarkoittaa sitä, että verkkokauppa voi
suositella asiakkaalle muuta ostettavaa ostoksiensa
yhteydessä
32. Asiakkuus
Asiakkuudessa asiakas on aina autentikoitunut
verkkokauppaan
Tämä ei ole GDPR:n kautta merkittävän ongelmallista,
jos käyttäjällä muutenkin on jo tili verkkokauppaan (ja
rekisteröitymisen yhteydessä annettu suostumus
henkilötietojen käsittelyyn)
33. Personointi ja profilointi
Personointi on jo hetken aikaa ollut merkittävä trendi
verkkokaupassa, parhaat verkkokaupat voivat suositella
ostoksia koska tuntevat asiakkaansa
Nykyaikaisimmat verkkokauppasovellukset käyttävät
esimerkiksi syväoppivaa neuroverkkoa ostosten
suositteluun
Neuroverkon toimivuus vaatii paljon dataa
Neuroverkon oppimisdata *voi* olla anonymisoitua
34. Analytiikka
Analytiikan kytkeminen personointiin, eli tunnistetun
henkilön analysointi, esim. hiiren seuraaminen, pitää
selittää rekisteröidylle ja siitä pitää voida kieltäytyä
Yleensä analytiikalla päästään kuitenkin varsin hyviin
tuloksiin ilman yksittäisiin henkilöihin kytkemistä
GDPR kuitenkin katsoo tiedot kytketyiksi jos ne ovat
kytkettävissä
35. Profilointi ja analytiikka
Voit pitää asiakkaasi kirjautuneena kauppaasi
Profiloi vain tarvittavilla tiedoilla ja selitä asiakkaalle
miten ja miksi profiloit
Voit olla varma, että mikäli profilointi vaikuttaa
hintaan, siitä kieltäydytään
Suosituksiin tarvittava datapohja voi olla anonyymiä
Kytke analytiikka henkilöihin vain mikäli siitä on aitoa
hyötyä
37. Pilvipalvelut
Pilvipalvelut ovat tulleet helpottamaan arkeamme
monella eri tavoin
Ideana pilvessä on, ettei siitä tarvitse tietää mitään, se
on “jonkun toisen tietokone” ja “jonkun toisen ongelma”
GDPR:n myötä jokaisen henkilötietoa käsittelevän tai
tallentavan pilvipalvelun toiminta on oltava selvillä
38.
39. Pilvipalvelut
Yksittäinen palvelu saattaa käyttää yllättävää määrää
erilaisia pilvipalveluita
Pilvipalveluiden käyttö pitää olla aina rekisterinpitäjän
päätös ja tietosuojavaikutukset on selvitettävä
etukäteen
Pidä huoli, että tiedät täsmälleen missä pilvipalveuissa
asiakkaittesi henkilötietoa kulkee
42. Tuumasta toimeen
● Mikäli tietosuoja-asialle ei ole vielä tehty yrityksessäsi mitään,
on aika aloittaa heti
● Aikaa on enää muutama kuukausi ja työmäärä on aina
arvioitua suurempi
● Jotta projekti onnistuisi, sillä tulee olla:
○ Vastuullinen vetäjä
○ Johdon tuki
○ Riittävä budjetti
○ Oikeus pyytää muulta organisaatiolta apua
43. Projektiryhmä
● Projektiin on syytä ottaa mukaan edustaja jokaisesta
henkilötietoja käyttävästä organisaation osasta – tyypillisesti
ainakin IT, HR, markkinointi
● Jäsenille on varattava riittävästi aikaa hoitaa projektiin liittyvät
työnsä
● On syytä varautua, että keväällä työ vie päivän viikosta
jäseniltä ja voi olla kokopäiväistä vetäjälle
○ Tämä toki riippuu yrityksen nykyisestä valmiusasteesta
44. Miettikää riskien kautta
● Te ette tule saavuttamaan 100% yhteensopivuutta asetuksen
kanssa
○ Välittömästi tai edes koskaan
○ Osa vanhoista järjestelmistä ei taivu vaatimuksiin, aikaa
on vähän ja tekemistä paljon
○ Virheitä sattuu, kaikkea ei voi ennakoida
● Miettikää asiat riskien kannalta – sanktiot, merkitys
liiketoiminnalle yms.
● Älkää vetäkö tinahattua liian kireälle, liiketoiminta kärsii
45. Työn kulku
● On selvitettävä seuraavat asiat:
○ Mitä asetuksen alaista tietoa organisaationne kerää
○ Kuinka ja missä tämä tieto säilötään
○ Kuka hallinnoi näitä järjestelmiä ja kenellä on pääsy
tietoon
○ Mihin tätä tietoa käytetään
○ Onko tiedolle määritelty käsittelyprosessit ja määräajat
○ Onko tiedon luovuttajalle kerrottu em. asiat oikeissa
paikoissa
46. Tietovuomallinnus
● Tietovuomallinnuksessa lähdetään tiedon alkulähteiltä –
lomakkeet verkossa, itsepalvelukäyttöliittymät, yms. – ja
edetään kohti tiedon varastoja
○ Dokumentoidaan tiedon keräämistarve, säilytysaika ja
muut tarvittavat tiedot
○ Tarkistetaan, että tukevatko järjestelmät asetuksen
mukaisia käyttäjien oikeuksia
○ Varmistetaan, että käyttöehdoissa ja muissa kuvauksissa
katetaan kaikki käyttökohteet
47. Kokonaisarkkitehtuuri
● Yrityksen IT-kokonaisarkkitehtuuria tulee miettiä myös
yksityisyyden suojan osalta
○ Tietovuomallinnuksen pohjalta saadaan muutostarpeet
○ Kannattaa miettiä, että onko osa järjestelmistä turhia,
korvattavissa paremmilla tai yhdistettävissä
● Kaikkien uusien järjestelmien tulee toteuttaa privacy by
design -periaatetta
○ Varmistettava, että toimittajat ovat tästä tietoisia
48. Prosessit ja koulutus
● Tietojen käsittelyn prosessit tulee dokumentoida ja varmistaa,
että ne ovat asetuksen mukaisia
○ On myös varmistettava, että henkilökunta noudattaa
prosesseja
● Henkilökunta on syytä kouluttaa
○ Eri tasoista koulutusta eri henkilöryhmille
○ Jokaisen ymmärrettävä henkilötiedon merkittävyys ja
oman roolit vaatimukset
49. Kumppanit ja alihankkijat
● Asetus vaatii kumppanien ja alihankkijoiden sitomista
sopimuksilla yksityisyyden suojaamiseen
○ Tämä työ on parasta jättää juristille ainakin mallipohjien
osalta
● Vaikka kumppani tekisi virheen, ensisijainen vastuu on silti
rekisterinpitäjällä
○ Sopimussakot eivät ole ratkaisu, ainoastaan pelote
○ Koulutus ja yhteisen tahtotilan luonti vähentää riskejä
sakkoja enemmän
50. Yhteensopivuuden jälkeen?
● Tämä ei ole kertaprojekti, vaan jatkuva prosessi
● Ei riitä, että toimitte tietosuojan osalta oikein tämän projektin
jälkeen
○ Toimintaa pidettävä jatkuvasti kunnossa
○ Projektiryhmä on luonteva taho jatkaa keskustelua
○ Syytä käydä tilannetta läpi esimerkiksi
vuosineljänneksittäin
● Koulutus ja prosessit nivottava ihmisten perehdyttämiseen
● Kumppaniyhteistyö järjestettävä, esimerkiksi tietosuojapäivät
52. Tietosuojakartoitus
● Selvitämme miten yrityksesi prosessit ja IT-järjestelmät
täyttävät EU:n tietosuoja-asetuksen vaatimukset.
Kartoituksessa yhdistyvät juridinen ja tekninen osaaminen,
jolloin yrityksenne saa kokonaiskuvan asiasta.
● Tämän pohjalta pystymme suunnittelemaan
kokonaisohjelman GDPR-yhteensopivuuden varmistamiseksi.
● Exove yhteistyössä Bird & Birdin kanssa
53. Kartoituksen aiheita
● Mitä henkilötietoja organisaatiossasi käsitellään?
● Missä yrityksen sisäisissä ja ulkoisissa järjestelmissä tietoja
käsitellään ja tallennetaan?
● Onko henkilötietojen hankinnalle ja luovuttamiselle selkeät
perusteet?
● Mitkä ovat henkilöstön toimintatavat liittyen henkilötietojen
käsittelyyn
● Kumppanien ja sidosryhmien käytännöt
54. Kartoituksen hyödyt
→ Sitouttaa yrityksen tietosuojavastaavan ja johdon
tietosuoja-asetuksen vaatimuksiin
→ Mahdollistaa toimenpidesuunnitelma laatimisen, jotta yritys
täyttää vaatimukset juridisesti ja IT:n osalta
55. Kartoituksen vaiheet
Kuvaus
Bird&Bird kysyy juridiset kysymykset ja
Exove keskittyy ICT-kysymyksiin. Kysely
lähetetään tyypillisesti ICT, HR,
juridiikasta ja liiketoiminnoista vastaaville
Bird&Bird ja Exove laativat vastauksien
perusteella analyysin
Bird&Bird ja Exove pitävät noin 3h
työpajan asiakkaan avainhenkilöiden
kanssa
OPTIO: Raportti puretaan asiakkaan
kanssa ja tarkastellaan kokonaisuutta
kuinka yritys juridisesti ja teknisesti
saavuttavat vaaditun tason
Sisältö Tuotos
Raportti, jossa n. 10 kohdan lista
nykytilasta
Tarjous ohjelman läpiviennistä
IT Juridinen
Analyysi
Työpaja
GDPR yhteensopivuusohjelma