Käsiteltävät kysymykset: Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat henkilötietoja & miten GDPR vaikuttaa evästeisiin? Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin mahdollista? Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua? Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa ja mitä avoimia kysymyksiä ePrivacyyn liittyy?
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariTeemu Tiainen
Euroopan Unioni valmistelee uutta, huomattavasti aiempaa säätelyä tiukempaa tietosuoja-asetusta. Uusi sääntely vaikuttaa suureen osaan suomalaisista yrityksistä ja muista organisaatioista. Asetuksen noudattamatta jättämiselle on suunniteltu tuntuvia sanktioita, joten ei ole ihme, että aihe puhututtaa.
Koska aiheesta liikkuu paljon huhuja ja vähemmän ajantasaista tietoa, otimme asiasta selvää. Pureskelimme tulokset yhdessä yhteistyökumppanimme Trend Micron kanssa selkokielisen muotoon ja esittelimme ne maksuttomassa webinaarissa 21.9.2016 klo 9.30–10.30.
MIKÄ IHMEEN TIETOSUOJA-ASETUS?
Mitä GDPR:stä (General Data Protection Regulation) pitää tietää?
Webinaarissa kerromme:
•Millaista tietoa ja millaisia yrityksiä tietosuoja-asetus koskee?
•Missä valmistelutyö tällä hetkellä menee ja miltä aikataulu näyttää?
•Miten mikäkin tieto pitää suojata?
•Millaisia sanktioita yritykselle voi tulla, jos suojaus epäonnistuu?
•Miten ja milloin yrityksen kannattaa alkaa varautua uuteen sääntelyyn?
•Mitkä ovat asetusta silmällä pitäen keskeisimmät toimenpiteet, joista pitää huolehtia?
Webinaarin vetäjät:
Webinaarin asiantuntijavieraana toimii Trend Micron maajohtaja (Suomi ja Baltia), Kimmo Vesajoki. Isäntänä toimii Centeron asiakassuhteista vastaava Teemu Tiainen.
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
Keskiviikkona 23.11.2016 järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.
Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.
Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.
Toukokuussa 2018 voimaan tullut EU:n uusi tietosuoja-asetus toi paljon velvoitteita myös yhdistyksille. Yksi näistä on se, että rekistereitä ylläpitävän yhdistyksen on osattava varmistaa henkilötietojen turvallinen käsittely. Moni yhdistys säilyttää tietoja erilaisissa pilvipalveluissa (esim. Google Drive, OneDrive, Dropbox, jne.). Miten turvallisia eri pilvipalvelut ovat ja mitkä asiat vaikuttavat niiden turvallisuuteen? Milloin kannattaa epäillä tietomurtoa? Miten siirtää turvallisesti tietoa toimijalta toiselle verkon välityksellä?
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaLoihde Advisory
Esitys on osa joulukuussa 2015 pidettyä Talent Base Aamiaistilaisuutta: Data. Prosessit. Innovaatiot. Aiheesta luennoi Erkka Pälä, Legentum Oy.
Esityksen sisältö:
Tietosuojan käsitteet ja tietosuoja innovointiin liittyvissä vastuissa, prosesseissa ja tietojärjestelmissä. Uudistuva henkilötietolainsäädäntö ja henkilötietojen hyödyntäminen innovaatioissa.
Esitys sisältää tietoa julkisuuslain vaikutuksista asiakirjojen käsittelyyn sekä tiedonantamiseen. Esityksessä selviää myös olennaiset asiat tietopyynnöistä. Esityksen on tehnyt Hallintoakatemian erityisasiantuntija Tuuli Tarukannel.
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen.
Webinaarissa käsitellään seuraavat aiheet:
- EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?
- Miten tietosuoja-asetukseen pitää valmistautua?
- Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?
Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ
https://www.documenthouse.fi/otayhteytta
Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
Update on Privacy, Cyber Risks and Director's LiabilityJan Lindberg
Slides (in Finnish) from ICT Expo 2014 event by our lawyer Kiira Lehtonen specializing in employment and competition law matters and privacy. Check out also points on cyber risks, Fujitsu - decision and directors' liability in general.
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariTeemu Tiainen
Euroopan Unioni valmistelee uutta, huomattavasti aiempaa säätelyä tiukempaa tietosuoja-asetusta. Uusi sääntely vaikuttaa suureen osaan suomalaisista yrityksistä ja muista organisaatioista. Asetuksen noudattamatta jättämiselle on suunniteltu tuntuvia sanktioita, joten ei ole ihme, että aihe puhututtaa.
Koska aiheesta liikkuu paljon huhuja ja vähemmän ajantasaista tietoa, otimme asiasta selvää. Pureskelimme tulokset yhdessä yhteistyökumppanimme Trend Micron kanssa selkokielisen muotoon ja esittelimme ne maksuttomassa webinaarissa 21.9.2016 klo 9.30–10.30.
MIKÄ IHMEEN TIETOSUOJA-ASETUS?
Mitä GDPR:stä (General Data Protection Regulation) pitää tietää?
Webinaarissa kerromme:
•Millaista tietoa ja millaisia yrityksiä tietosuoja-asetus koskee?
•Missä valmistelutyö tällä hetkellä menee ja miltä aikataulu näyttää?
•Miten mikäkin tieto pitää suojata?
•Millaisia sanktioita yritykselle voi tulla, jos suojaus epäonnistuu?
•Miten ja milloin yrityksen kannattaa alkaa varautua uuteen sääntelyyn?
•Mitkä ovat asetusta silmällä pitäen keskeisimmät toimenpiteet, joista pitää huolehtia?
Webinaarin vetäjät:
Webinaarin asiantuntijavieraana toimii Trend Micron maajohtaja (Suomi ja Baltia), Kimmo Vesajoki. Isäntänä toimii Centeron asiakassuhteista vastaava Teemu Tiainen.
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
Keskiviikkona 23.11.2016 järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.
Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.
Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.
Toukokuussa 2018 voimaan tullut EU:n uusi tietosuoja-asetus toi paljon velvoitteita myös yhdistyksille. Yksi näistä on se, että rekistereitä ylläpitävän yhdistyksen on osattava varmistaa henkilötietojen turvallinen käsittely. Moni yhdistys säilyttää tietoja erilaisissa pilvipalveluissa (esim. Google Drive, OneDrive, Dropbox, jne.). Miten turvallisia eri pilvipalvelut ovat ja mitkä asiat vaikuttavat niiden turvallisuuteen? Milloin kannattaa epäillä tietomurtoa? Miten siirtää turvallisesti tietoa toimijalta toiselle verkon välityksellä?
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaLoihde Advisory
Esitys on osa joulukuussa 2015 pidettyä Talent Base Aamiaistilaisuutta: Data. Prosessit. Innovaatiot. Aiheesta luennoi Erkka Pälä, Legentum Oy.
Esityksen sisältö:
Tietosuojan käsitteet ja tietosuoja innovointiin liittyvissä vastuissa, prosesseissa ja tietojärjestelmissä. Uudistuva henkilötietolainsäädäntö ja henkilötietojen hyödyntäminen innovaatioissa.
Esitys sisältää tietoa julkisuuslain vaikutuksista asiakirjojen käsittelyyn sekä tiedonantamiseen. Esityksessä selviää myös olennaiset asiat tietopyynnöistä. Esityksen on tehnyt Hallintoakatemian erityisasiantuntija Tuuli Tarukannel.
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen.
Webinaarissa käsitellään seuraavat aiheet:
- EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?
- Miten tietosuoja-asetukseen pitää valmistautua?
- Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?
Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ
https://www.documenthouse.fi/otayhteytta
Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
Update on Privacy, Cyber Risks and Director's LiabilityJan Lindberg
Slides (in Finnish) from ICT Expo 2014 event by our lawyer Kiira Lehtonen specializing in employment and competition law matters and privacy. Check out also points on cyber risks, Fujitsu - decision and directors' liability in general.
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
Titta Penttilän esitys Tietoturva 2013 -tapahtumasta. Sisältö: 1) Käsitteet tutuiksi, 2) Millä edellytyksillä henkilötietoja voi siirtää ulkoistuskumppanille? 3) Tietosuojalainsäädännön huomioiminen ulkoistamisprosessin eri vaiheissa. Koko tutkimus osoitteessa: http://slidesha.re/Ua023Y.
Exoven ja Bird&Birdin Kaupan Liiton seminaarissa pitämä esitys EU:n tietosuoja-asetuksesta ja sen vaikutuksista kaupan alalle, erityisesti verkkokauppaan.
MyData tuo mahdollisuuksia mutta ei ratkaise kaikkia ongelmia henkilötietojen suojassa digitalisoituvissa sosiaali- ja terveyspalveluissa
Lisensoitu Creative Commons Nimeä 4.0 Kansainvälinen -lisenssillä.
Sitra Debatti: Reilua peliä datatalouteen?
17.1.2019
Riitta Vänskä, Sitra
Jani Koskinen, Turun yliopisto
Minna Isomursu, IT-universitetet i Kobenhavn
Antti Kivelä, Sitra
Esitys lainsäädännön ja tiedon ja sen arvon yhteyksistä ja riippuvuuksista seminaarissa, jossa pohdittiin, tarvitaanko 2020-luvun suomessa tietopolitiikkaa.
IT Outsourcing and Tendering Process (in Finnish)Jan Lindberg
Presentation given at the "Successful Outsourcing" seminar organized by The Finnish Information Processing Association, TIVIA (Tieto- ja viestintätekniikan ammattilaiset ry), an independent association of Finnish ICT professionals and companies that provide ICT products and services or use them, on 4 February 2016. We covered recent trends in outsourcing contract structures, liabilities, and addressed a questions like how to increase innovation in outsourcing? Bimodality - what does it mean from lawyer's perspective? Cloud brokerage models - how contracts are structured? Impact of cloud to outsourcing business? Followed by so many more. Main emphasis was also on lessons learned from recent actual IT disputes and on project management topics.
Copyright Protection of a Software as a Work with Functional ElementsJan Lindberg
Presentation held on 6th November 2015 in ITechLaw's European Conference in London where I led ITechLaw's IP Committee's workshop. We discussed the recent decisions affecting protection of functional elements of computer programs via copyright in light of SAS v. WPL and Oracle v. Google cases, as well as the related Finnish case law. In this interactive session we covered copyright protection for functionalities in computer programs, programming languages, interfaces, and several other interesting topics comparing EU and US regimes, also covering right to contractually limit information in public domain in IT sector and other fields. Statements were intentionally provocative to facilitate discussions so these do not necessarily represent my personal views.
SOME 2013: Legal Issues in Social Media and Data ProtectionJan Lindberg
Social media has not created a need to implement new legislation, but it is more or less application of existing legislation from a wide variety of sources, e.g., marketing, privacy, intellectual property, employment law, contract law and similar. Digital freedom from lawyers perspective does not mean that everyone could do whatever he or she likes, but I claim that digital freedom and social media just creates a new task for the management to channel employees' and organisations' messages into an agreed form and format in order to ensure business results. This also creates a need to establish clear policies for communication and especially what not to communicate (confidential information, insider questions) which will be eventually tested in employee relationship termination situations.
Attorneys at Law TRUST. Jan Lindberg IT-Riidat 20131120Jan Lindberg
My presentation slides from today's seminar at Talentum. Slides are in Finnish unfortunately. Some main themes relate to project management tasks and how project management should change if we do have a potential IT dispute at hand. I also raised some points on the selection of appropriate measures for a specific dispute and how to evaluate cancellation, termination, discontinuation obligation, damages, unjustified enrichment and price reduction arguments and burden of proof issues. More attention should be paid to error tolerance which is still quite high in Finnish IT dispute although the world has changed a bit to the direction that customers expect more. Also one issue not so widely discussed in Finland is the relationship between price reduction and damages claims and I would argue that more attention should be paid to limitation of liability clauses to limit potential exposures in this respect.
TRUST. IP and Technology Update - IT Audit Toolkit for CIOs and General Couns...Jan Lindberg
Planning the right strategy to survive third-party licence audits is essential to minimizing your expenses that arise out of third-party audits. In this article, we aim to provide experiences from recent IT disputes from the customer’s or target company’s perspective, as well as tools for handling different technology licensing related breach of contract and copyright infringement claims after licence audits.
Presentation from the Finnish Cleantech Cluster's webinar on growth and internationalization for domestic high-growth cleantech and technology companies. Contains general considerations on business structuring, tax planning, legal issues to consider if the company wishes to establish operations abroad and different forms of financing available.
2. TRUST.
Esityksen rakenne
1. Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat
henkilötietoja & miten GDPR vaikuttaa evästeisiin?
2. Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin
mahdollista?
3. Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua?
4. Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä
GDPR:n jälkeen odotettavissa?
3. TRUST.
Nykytila ja tarkoitus
GDPR voimaan 25.5.2018•
ePrivacy• asetuksesta ei ole vielä saatavilla viimeistä versiota, vaan yksittäisiä
viilauksia asetusluonnokseen tehdään lähes kuukausittain
ePrivacy• asetuksen ytimessä on mm. sähköisen kommunikaation
luottamuksellisuuden turvaaminen
Aiemmin laki koski lähinnä teleoperaattoreita• – nyt mukana mm. Whatsapp,
Viper, tyyppisen palvelun tarjoajat
ePrivacy• asetus on erityissäännös suhteessa GDPR:ään, mutta säädöksissä
paljon päällekkäisyyttä
Myös muidenkin yritysten• – erityisesti mainostajien - on syytä huomioida
ePrivacy asetuksen vaatimukset mm. sähköiseen suoramarkkinointiin ja
evästeisiin liittyen
6. TRUST.
Henkilötiedon määritelmä
Henkilötietolaki 3 §:
Henkilötiedolla [tarkoitetaan] kaikenlaisia luonnollista henkilöä taikka hänen
ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä
tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi
Asetuksen 4 artikla:
Henkilötiedoilla [tarkoitetaan] kaikkia tunnistettuun tai tunnistettavissa olevaan
luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana
pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
7. TRUST.
Erityiskysymyksiä
IP osoite, verkkotunnisteet jne., muuttuuko tilanne GDPR:n myötä?
• EU tuomioistuin on ratkaisussaan Scarlet Extended (C-70/10) katsonut että ns.
kiinteä ip-osoite, jonka avulla henkilön voi täsmällisesti tunnistaa on
henkilötieto
• Syksyllä 2016 saatiin myös EU tuomioistuimelta kanta koskien dynaamisia IP-
osoitteita (C-582/14 Patrick Breyer v Bundesrepublik Deutschland)
• Tietosuojaa koskevia periaatteita on sovellettava kaikkiin tunnistettua tai
tunnistettavissa olevaa henkilöä koskeviin tietoihin; sen määrittämiseksi, onko
henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti
toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen
henkilön tunnistamiseksi käyttää
• Näin ei ole silloin, kun rekisteröidyn tunnistaminen on kielletty laissa tai kun se ei ole
käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti
aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, minkä seurauksena
tunnistamisen riski näyttäytyy käytännössä merkityksettömänä
8. TRUST.
Henkilötiedon määritelmä
Tietosuoja-asetuksen johdanto (26 & 30):
”Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava
huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen
todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai
välillisesti, kuten kyseisen henkilön erottaminen muista.”
”Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten,
työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai
muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä
jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen
etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille
toimitettuihin tietoihin.”
9. TRUST.
Evästeiden juridiset perusteet ja käytännön vinkit
ePrivacy: strictly
necessary
GDPR:
legitimate
interest or
consent
Not strictly
necessary
nor privacy-
intrusive
Käytös Opt-out Peruutustapa Tyypit
11. TRUST.
Käsittelyn peruste
ASETUS 6 ARTIKLA:
Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista
edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa
erityistä tarkoitusta varten;
…
b)käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on
osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn
pyynnöstä;
…
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai
perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
12. TRUST.
Suostumus
• Suostumus (4 artikla 11 kohta):
”mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja nimenomainen tahdonilmaisu, jolla
rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan
lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”
• Pakotetut tai suostutellut suostumukset eivät ole päteviä
• Esim. valmiiksi valitut valintaikkunat tai passiivisuus eivät täytä vaatimusta
• Samoin, jos suostumusta edellytetään sopimuksen tekemiseksi
• ”Jos käsittely perustuu direktiivin 95/46/EY mukaiseen suostumukseen, rekisteröidyn ei
tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen
tämän asetuksen soveltamisen alkamispäivän jälkeen, jos suostumuksen antamistapa on
ollut tämän asetuksen edellytysten mukainen”
• WP29 suostumusta koskevan ohjeistuksen mukaan edellä mainittu koskee myös
sähköisen viestinnän tietosuojadirektiiviä ja sitä koskevaa suostumusta.
18. TRUST.
Evästeet ja suoramarkkinointi sähköisen viestinnän
tietosuoja-asetuksessa
• Suoramarkkinointi edellyttäisi suostumusta (pl. omat asiakkaat, joille saisi kuitenkin
markkinoida samankaltaisia tuotteita ja palveluja niillä yhteystiedoilla, jotka yritys on
saanut myynnin yhteydessä aiemmin)
• Evästeiden käyttöä koskevaa sääntelyä yksinkertaistettaisiin ja hyväksynnän voisi antaa
mm. internet selaimen asetuksien välityksellä, analytiikkaevästeiden osalta lupa ei
tarvittaisi
• Kysymyksiä & ongelmia:
• Miksi suostumukset GDPR:ssä ja ePrivacyssä eroavat?
• Artikla 10: ”Information and options for privacy settings to be provided 1. Software
placed on the market permitting electronic communications, including the retrieval
and presentation of information on the internet, shall offer the option to prevent third
any other parties than the end-user from storing information on the terminal
equipment of an end-user or processing information already stored on that
equipment.”
19. TRUST.
Evästeet ja suoramarkkinointi sähköisen viestinnän
tietosuoja-asetuksessa
• Kysymyksiä & ongelmia mm.:
• Mitä kuuluu scopeen? Ancillary services, esim. chat boxit?
• Machine to machine - kommunikaatiot
• Mitä tapahtuu datalle, jos suostumus peruutetaan?
• Mitä tarkoittaa ”web audience measuring”? Kolmansien web-analytiikka?
• Päällekkäisyydet – tarvitaanko molempia asetuksia?
• Miten käsitellä eväste - dataa, joka on henkilötietoa?
20. TRUST.
Kysymyksiä & ongelmia sähköisen viestinnän tietosuoja-
asetuksessa
Onko tietoturva riittävästi huomioitu?•
Paikantaminen / seuraaminen julkisissa tiloissa? Informointi?•
Miten ”• do not track” – toiminnot ja julkaisijoiden asema? Mm. markkinointituloihin
luottavat sivustot – esimerkiksi ”opt in” kumoamaan ”do not track” – toiminnot?
Ad• blockers – miten näihin suhtaudutaan?
Vaikka evästeitä kontrolloidaan selaimen asetuksilla, niin verkkosivut voivat kuitenkin•
edellyttää suostumusta esimerkiksi liiketoimintamallista johtuen? Ilmainen tai maksu
à onko mahdollista?
Miten keskustelu koskien ”• reject all cookies” – kohtaa päättyy ja pitääkö kolmansien
evästeet estää ”by default”?
Art. 10: ”Markkinoille saatetuissa ohjelmistoissa, jotka mahdollistavat sähköisen
viestinnän, mukaan lukien tietojen hakeminen ja esittäminen internetissä, on
tarjottava vaihtoehto estää kolmansia osapuolia tallentamasta tietoja
loppukäyttäjän päätelaitteelle tai käsittelemästä sille jo tallennettuja tietoja.”
22. TRUST.
Johtopäätöksiä – Tee nyt
1. Päivitä sopimusmallit: Käytännön tasolla yrityksille keskeistä tulevaisuuden digitaalisessa
maailmassa pärjäämiselle tulee olemaan ”data ownership” – käsitteen implementoiminen
osaksi liiketoimintastrategiaa ja sopimusprosesseja
2. Evästepolitiikat tulevat muuttumaan ja cookie policyt kannattaa uudelleen arvioida jo
osana GDPR:n täytäntöönpanoa
3. Analysoi nykyisten julkaisukanavien ja alustojen rakenne, eri osapuolten roolit,
henkilötietojen luovutusketjut ja tarpeet henkilötietojen käsittelyä koskeville sopimuksille
4. Analysoi miten suostumukset on kerättävä ja punnitse riskit liittyen mahdolliseen
uudelleen keräämiseen ennen 25.5.2018
23. TRUST.
"excellent knowledge and sticking to deadlines, which achieves flawless results”
-Chambers Global
“Boutique firm Trust is headed by partners Jan Lindberg and Mika Lehtimäki. It was
only established in 2011 but has been building a reputation for itself in the past few
years and gaining recognition from the market for its work. Its working method is to
focus on a small number of clients with more "intensity" and through this the team
believes it can achieve the best quality.”
- IFLR 1000