2. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen
4. • Tietosuojavastaavan (eng. Data Protection Officer, DPO) tehtävä perustuu
yleiseen tietosuoja-asetukseen.
• Tietosuojavastaava on nimitettävä, kun
– rekisterinpitäjä on julkishallinnon toimija (poislukien tuomioistuimet)
– ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä
seurantaa, tai
– henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin
kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen
vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin.
• Tietosuojavastaavan voi nimittää myös vapaaehtoisesti.
– Tietosuojavastaavan rooli määräytyy aina GDPR:n mukaisesti. Tämän takia voi olla
suositeltavampaa nimetä tietosuojasta vastaava henkilö.
• Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla
yhteinen tietosuojavastaava.
• Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja.
• Jos tietoturvavastaavaa ei nimitetä, kannattaa dokumentoida sen perustelut.
Tarvitsetteko tietosuojavastaavan?
Lisätietoa: Tietosuoja-asetuksen 4 jakso,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
5. • Organisaation on varmistettava, että tietosuojavastaava otetaan mukaan
kaikkien henkilötietoja koskevien kysymysten käsittelyyn.
– Jos organisaatio tekee päätöksiä, jotka eivät ole GDPR:n ja tietosuojavastaavan neuvojen
mukaisia, tietosuojavastaavalle olisi annettava tilaisuus esittää eriävä mielipiteensä ylimmälle
johdolle ja päätöksentekijöille.
• Eturistiriitojen välttämiseksi tietosuojavastaava ei voi olla asemassa, jossa
hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot.
– Esimerkiksi ylemmät johtoasemat (esim. pääjohtaja, hallintopääjohtaja, talousjohtaja, johtava
asiantuntijalääkäri, markkinointiosaston päällikkö, henkilöstöpäällikkö tai tietoteknisen osaston
päällikkö) voivat aiheuttaa eturistiriidan.
– Eturistiriitojen vuoksi tietosuojavastaavaksi ei yleensä tulisi nimittää tietoturvavastaavaa.
• Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa antaa tietosuojavastaavalle
ohjeita tämän tehtävien hoitamiseen.
• Tietosuojavastaavaa ei saa erottaa tai rangaista tehtävien hoitamisen vuoksi.
• Tietosuojavastaava raportoi suoraan organisaation ylimmälle johdolle.
• Tietosuojavastaavalla on salassapitovelvollisuus.
• Säännösten noudattaminen on rekisterinpitäjän tai henkilötietojen käsittelijän
vastuulla. Tietosuojavastaavat eivät ole vastuussa GDPR:n rikkomisesta.
Tietosuojavastaavan asema
Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016,
https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf-
adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
6. • Tietosuojavastaavan nimittämisestä ilmoitetaan organisaation henkilöstölle.
– Tietosuojatyöryhmän ohje on ilmoittaa henkilöstölle tietosuojavastaavan nimi ja yhteystiedot.
• Tietosuojavastaavan yhteystiedot julkaistaan niin, että rekisteröidyt voivat olla
häneen yhteydessä.
– GDPR ei edellytä, että tietosuojavastaavan nimi olisi julkisesti esillä esimerkiksi nettisivuilla,
mutta tietosuojatyöryhmän ohjeen mukaan se ”voi olla hyvän käytännön mukaista”. Organisaatio
voi päättää nimen julkaisusta.
• Tietosuojavastaavan yhteystiedot tulee liittää rekisteröityjen informointiin.
– Rekisteröidyn tulisi saada informoinnin osana tietosuojavastaavan yhteystiedot riippumatta siitä,
saadaanko henkilötiedot rekisteröidyltä itseltään tai muulla tavoin.
• Tietosuojavastaavan nimi ja yhteystiedot tulee liittää organisaation
selosteeseen käsittelytoimista.
• Tietosuojavastaavan ilmoittaminen valvontaviranomaiselle:
– Tietosuojavastaavan nimittämisen ilmoituslomake: https://tietosuoja.fi/ilmoitus-
tietosuojavastaavasta
– Tietoturvaloukkauksesta ilmoitettaessa annetaan tietosuojavastaavan nimi ja yhteystiedot.
– Ennakkokuulemisen yhteydessä ilmoitetaan tietosuojavastaavan yhteystiedot.
Tietosuojavastaavan ilmoittaminen
Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016,
https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf-
adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
7. • Tietosuojavastaavalle tulee antaa riittävät resurssit tehtäviinsä, pääsy
henkilötietoihin ja käsittelytoimiin sekä koulutusta osaamisen ylläpitämiseen.
• Käsittelytoimien luonteesta ja organisaation toiminnasta ja koosta riippuen
tietosuojavastaavalle olisi järjestettävä tarvittavat resurssit varmistamalla, että
– ylempi johto tukee aktiivisesti tietosuojavastaavan tehtävää
– tietosuojavastaavalle varataan riittävästi aikaa tehtävien hoitamiseen
– tietosuojavastaavalle järjestetään riittävästi tukea eli varoja, infrastruktuuri (tilat, palvelut,
laitteet) ja tarvittaessa henkilöstö
– tietosuojavastaavan nimittämisestä ilmoitetaan virallisesti koko henkilöstölle
– tietosuojavastaavalle järjestetään pääsy muihin organisaation palveluihin, jotta hän voi saada
niiltä olennaista tukea ja tietoa
– tietosuojavastaavalle tarjotaan jatkuvasti koulutusta.
• Tietosuojavastaavan tueksi voidaan perustaa tiimi tai tietosuojaryhmä.
• Jos konsernissa on useita tietosuojavastaavia, tulee heidän yhteistyönsä
organisoida ja nimetä esim. tietosuojapäällikkö tai johtava tietosuojavastaava.
Tietosuojavastaavan resurssit
Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016,
https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf-
adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
8. • Ei muodollisia vaatimuksia, vaan tärkeintä on tehtävään sopiva osaaminen.
• Asiantuntemuksen taso
– Tason oltava suhteessa organisaation käsittelemien tietojen arkaluonteisuuteen,
monimutkaisuuteen ja määrään.
– Jos esimerkiksi toiminta on erityisen monimutkaista tai siihen liittyy suuri määrä arkaluonteisia
tietoja, tietosuojavastaava voi tarvita tavallista enemmän asiantuntemusta ja tukea.
• Ammattipätevyys
– Olennaista on, että tietosuojavastaavalla on asiantuntemusta tietosuojalainsäädännöstä ja alan
käytänteistä ja että hän tuntee yleisen tietosuoja-asetuksen perusteellisesti.
– Tietosuojavastaavalla tulisi olla hyvä käsitys käsittelytoimista ja tietojärjestelmistä sekä
rekisterinpitäjän tietoturva- ja tietosuojatarpeista.
• Valmiudet tehtävien hoitamiseen
– Tarvittavia ominaisuuksia ovat esim. itsenäisyys, rehellisyys ja korkea ammattietiikka.
– Tietosuojavastaavalla on keskeinen asema organisaation tietosuojakulttuurin vahvistamisessa ja
yleisen tietosuoja-asetuksen olennaisten osien täytäntöönpanon varmistamisessa.
• Palvelusopimuksen perusteella toimiva tietosuojavastaava
– Eturistiriitojen ehkäisemiseksi on suositeltavaa, että tehtävät kuvataan selkeästi ja kullekin
asiakkaalle nimetään yksi henkilö ensisijaiseksi yhteyshenkilöksi ja vastuuhenkilöksi.
Tietosuojavastaavan pätevyys
Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016,
https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf-
adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
9. • Yleisen tietosuoja-asetuksen noudattamisen seuranta ja neuvonta
– Seuraa tietosuojasääntöjen noudattamista ja tuo esiin havaitsemiaan puutteita.
– Antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja
henkilötietoja käsitteleville työntekijöille (esim. tietosuojakoulutukset ja tukimateriaalit).
– Priorisoi toimiaan ja keskittyy kysymyksiin, jotka aiheuttavat tavallista suurempia
tietosuojariskejä (riskiperusteinen lähestymistapa).
– Raportoi organisaation johdolle asioiden kiireellisyys huomioiden (esim. tietoturvaloukkaukset
välittömästi ja pitkäaikainen seuranta vuosittain toimintakertomuksena).
• Rooli tietosuojaa koskevissa vaikutustenarvioinneissa
– Antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo
vaikutustenarviointien toteutusta.
• Yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle
– On rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa.
– On tietosuojavaltuutetun toimiston yhteyshenkilö ja yhteistyötaho.
• Muut annetut tehtävät, esim. rooli selosteen ylläpidossa
– Muihin tehtäviin sopii ylläpitää sisäistä selostetta henkilötietojen käsittelytoimista.
– Organisaation johto voi antaa tietosuojavastaavalle lisäksi muita tehtäviä, mutta ne eivät saa
aiheuttaa eturistiriitoja: tietosuojavastaava ei saa olla vastuussa päätöksistä, joita hän valvoo.
Tietosuojavastaavan tehtävät
Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016,
https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf-
adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
11. Mitä tietosuojavastaava tekee?
• Yhteydenpito eri tahoihin
• Tietosuojatyön suunnittelu ja koordinointi
• Palaverit, arvioinnit, kommentoinnit
• Sisäiset koulutukset ja materiaalit
• Henkilötietojen käsittelyn seuranta
• Raportointi johdolle ja sen avustaminen
• Osaamisen ylläpito, mm. tietosuoja.fi:n ja
uutisten seuraaminen, kouluttautuminen
12. Tietosuojavastaavan vuosikello
Lähde: Ari Andreasson, 2014, saatavilla: https://opitietosuojaa.fi/fi/48-tyokalupakki/tyon-organisointi/57-tietosuojavastaavan-vuosikello
14. • Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste)
– Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön
– Ei tarvitse julkaista, mutta saa jos haluaa
– Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja
niihin liittyvät rekisteröityjen ryhmät/rekisterit
– Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä
– Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot
• Rekisteröityjen informointi (vrt. tietosuojaseloste)
– Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet
– Pidetään saatavilla / julkaistaan
• Henkilötietojen käsittelijän seloste käsittelytoimista
– Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin
GDPR:n mukaiset selosteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
15. Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
Rekisterinpitäjän seloste käsittelytoimista
• Yli 250 työntekijän organisaatio seloste on pakollinen
• Alle 250 työntekijän organisaatio seloste on tehtävä, jos henkilötietojen käsittely
ei ole satunnaista, toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille tai jos
käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
• Selosteen ei ole pakko olla taulukko – kyseessä on Tietosuojavaltuutetun malli
16. • Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan,
rekisteröidyn oikeudet jne.
– Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ
• Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos
henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä
viimeistään kuukauden kuluessa.
• Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
– Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
– Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
• Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa.
Rekisteröidyn pyynnöstä voidaan informoida myös puheella.
• Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan
linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille
• Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen
lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten
informointi on toteutettu.
Informointi (tietosuojaseloste)
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja
https://tietosuoja.fi/rekisteroidyn-informointi
17. - Jos rekisteri koostu useasta tietojärjestelmästä, joissa on esim. eri
säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin
niille tulee laatia eri tietosuojaselosteet?
Kysymys: montako tietosuojaselostetta?
• Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn henkilötietojen
käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja niiden tietoja.
– Viranomaisten tietojärjestelmistä tulee tehdä tietojärjestelmäseloste (JulkiL), mutta se ei liity
rekisteröityjen informointiin / tietosuojaselosteeseen.
• Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste.
• Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk.
monitasoisia tietosuojaselosteita: ensimmäisellä tasolla on tärkeimmät tiedot ja
alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä.
• Ylätason tietosuojaselosteen tulee sisältää:
– Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet.
– Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla rekisteröidylle yllätyksenä.
– Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä.
Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi,
Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-
e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
20. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
21. • Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde
tai työsuhde)
• Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn
nimenomaisella suostumuksella ja lainmukaisissa erityistapauksissa.
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
22. • Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• 1.1.2019 voimaan tulleen tietosuojalain mukaan yli
13-vuotias voi antaa itse suostumuksen
henkilötietojen käsittelylle tietoyhteiskunnan
palveluissa (esim. verkko-, some- ja mobiilipalvelut).
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
23. Rekisterinpitäjä tarkoitukset h.tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo)
Oikeus-
peruste
Tietosuojavastaava neuvoo,
kouluttaa, seuraa ja raportoi
Rekisterinpitäjä päättää ja
toimeenpanee, tarvit. kysyy
24. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset,
joihin ei ole oikeusperustetta
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
25. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.
26. Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio
27. Erota oma ja ulkopuolinen rekisteri
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
somepalvelu
(jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä)
Rekisteröidyn henkilötietoja ei saa
luovuttaa toiselle rekisterinpitäjälle,
jos siitä ei ole kerrottu alun perin
rekisteröidylle tai saatu siihen
suostumusta.
Jos henkilötietoja kerätään
organisaation rekisteriin
somepalvelun kautta, tulee
siihen olla oikeusperuste sekä
huolehtia rekisterinpitäjän
informointivelvollisuudesta.
Somepalvelua voidaan käyttää
viestintään rekisteröityjen
kanssa myös silloin, kun aloite
siihen tulee heiltä. Tämä on
syytä huomioida
tietosuojaselosteessa.
28. • Suostumus (opt-in)
– Sähköinen suoramarkkinointi yksityishenkilöille (sähköposti, tekstiviesti ym.)
– Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä.
– Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
• markkinoinnissa käytetään automaattista profilointia
• tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
• Rekisterinpitäjän oikeutettu etu
– Perinteinen suoramarkkinointi (puhelimitse ja postitse)
– Asiakassuhteeseen liittyvä viestintä: voit tiedottaa asiakassuhteeseen liittyvistä
asioista ja esimerkiksi siihen liittyvistä tulevista tapahtumista.
– B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman
etukäteissuostumusta.
– Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus.
• Mieti rekisteröidyn näkökulmasta, milloin kyse on suoramarkkinoinnista, ja
erota se selvästi muusta viestinnästä.
• Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä
ja mistä tietosuojaseloste on luettavissa.
• Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista
markkinointia he saavat.
Markkinointi, asiakasviestintä ja GDPR
29. Profilointi suostumus tai sopimus
• Yksittäiset tiedot, esim. pisteet ja edistyminen
• Yhteenvedot ja tilastot, lokitiedot
• Manuaaliset arvioinnit rekisteröidystä
• Yhdistelmänäkymät tiedoista ja toiminnasta
• Tiedonlouhinta big datasta
• Muut analyysit, joita ei käytetä yksilöitä
koskeviin toimenpiteisiin
EI GDPR:N TARKOITTAMAA
PROFILOINTIA
GDPR:N TARKOITTAMAA
PROFILOINTIA
• Rekisteröidyn tietoihin perustuvat
automaattiset luokittelut, jotka liittyvät
tämän ominaisuuksiin, kiinnostuksen
kohteisiin ja todennäköisyyksiin
• Automaattiset arvioinnit, ehdotukset,
valinnat, tulkinnat, johtopäätökset jne.
• Tietojen yhdistelystä johdetut ennusteet
30. Käytätkö profilointia markkinoinnissa?
Facebookiin viedyt
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
syntymäaika, kaupunki, laitetunniste ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
Googleen viedyt
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Esimerkiksi sähköpostimarkkinointi
manuaalisesti valituille kohderyhmille
Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
31. Ohjeista ainakin nämä!
1. Organisaation rekisterit ja informointitavat
2. Yleiset tietosuojaperiaatteet
3. Henkilötietojen käsittely eri työtehtävissä
• Käsittelytarkoitukset ja oikeusperusteet
• Henkilötietojen turvallinen säilytys
• Salassa pidettävät tiedot ja asiakirjat
4. Mitkä ovat organisaation omassa
hallinnassa olevia pilvipalveluita?
5. Miten tietosuojasta huolehditaan
ulkopuolisissa pilvipalveluissa kuten
sosiaalisen median palveluissa?
6. Saako työssä käyttää omia laitteita ja
pilvipalveluita, ja mitä tällöin tulee
huomioida?
7. Miten henkilötietojen käsittelyä seurataan?
8. Uusien rekistereiden teossa huomioitavat
asiat ja yhteinen toimintamalli
9. Keneltä saa apua, ongelmista ilmoittaminen,
tietosuojavastaava