Koulutus FCG:n järjestämässä Henkilötietojen lainmukaisen käsittelyn ohjeistaminen -webinaarissa 08.10.2020, joka on osa Tietosuojavastaavan koulutusohjelmaa, Harto Pönkä, Innowise
2. Tämän koulutuksen aiheita
2
Taustaa Someaspan tietosuoja
Sisäiset viestintä-,
some- ja pilvipalvelut
Mitä tapahtui 16.7.2020?
Huomioitavaa
somemarkkinoinnissa
4. Suosituimmat somepalvelut Suomessa
Datalähde: DNA, Digitaaliset elämäntavat, 2020, https://www.sttinfo.fi/data/attachments/00513/ceded4cb-ddeb-4441-9081-46990b8e41ac.pdf
(N=1036, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2019 (stat.fi), kuva: Harto Pönkä, 18.5.2020.
4
5. Kuntien käyttämät somepalvelut
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa)
5
6. Somen käyttö kuntien toimialoilla
Lähde: Kuntaliitto, Kuntien verkkoviestintä ja sosiaalisen median käyttö –selvitys, 2019,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestint%C3%A4%20ja%20sosiaalisen%20median%20k%C3%A4ytt%C3%B6%202019.pdf (N=181 kuntaa)
6
7. Tietoturva vaarantuu etätöissä
7
Lähde: Tessian, 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
52 prosenttia kotona työskentelevistä sanoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
9. Somekanavien tietosuojan
koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin asiakasrekistereihin
somepalvelut liittyvät?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020)
9
10. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
10
Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
Jos mahdollista, linkitä
tietosuojaseloste
Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
11. Facebook-sivun ylläpitäjän asema
Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja
analytiikkatyökalujen yhteydessä.
Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018.
Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
Käytännön toimenpiteet:
Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
11
12. Erota oma ja ulkopuolinen rekisteri
12
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkko- tai
somepalvelu
(jonka kanssa ei ole
sopimusta henkilötietojen
käsittelystä)
Henkilötietoja ei saa luovuttaa toiselle
rekisterinpitäjälle, jos siitä ei ole kerrottu alun
perin rekisteröidylle osana tietojen
käyttötarkoitusta tai saatu siihen suostumusta.
Jos henkilötietoja kerätään
organisaation rekisteriin verkko- tai
somepalvelun kautta, tulee siihen olla
oikeusperuste sekä huolehtia
informointivelvollisuudesta.
Rekisteröity voi antaa suostumuksen
myös toiminnallaan esim. ottamalla
yhteyttä somepalvelun kautta.
13. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
13
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
14. Rekisteriä saa käyttää vain sen käyttötarkoituksiin!
14
Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
15. Henkilötietojen käsittely somepalveluissa
15
▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen?
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Henkilötietoja ei saa julkaista tai luovuttaa
ilman suostumusta tai lakiperustetta.
▪ Muista informointi, jos somea käytetään
yhteydenpitoon tai tietojenkeruuseen.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Tarvittaessa ohjataan muihin asiointikanaviin.
▪ Miten rekisteröity tunnistetaan somessa?
▪ Suostumusten ja pyyntöjen dokumentointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto.
16. Muista salassapito julkisessa someviestinnässä
16
Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017,
https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017
Vaikka rekisteröity itse kertoisi
henkilötietoja julkisesti, täytyy
organisaation ottaa huomioon
tietosuoja- ja
salassapitomääräykset.
18. Organisaatioiden sisäisesti käyttämät viestintä-, some- ja pilvipalvelut
Lähde: North Patrol, Intranet ja digitaalinen työympäristö 2020 -selvitys,
https://www.slideshare.net/NorthPatrol/intranet-ja-digitaalinen-tyymprist-2020-selvityksen-tulokset/16 (N=111 vastaajaorganisaatiota, yli puolet kunnallisia tai julkisia organisaatioita)
18
Microsoft Teams Etäkokous ja työtilat 85 %
Microsoft O365 SharePoint Työtilat/intranet 52 %
Yammer Keskustelu ja tiedonjako 52 %
WhatsApp Keskustelu ja tiedonjako 37 %
Confluence Wikialusta 23 %
Zoom Etäkokous 22 %
Slack Keskustelu ja tiedonjako 21 %
Trello Projektinhallinta 20 %
Moodle Verkkokoulutus, tiedonjako 19 %
Google Drive Tiedostojen pilvitallennus 16 %
M-Files Tiedostojen pilvitallennus 15 %
Facebookin suljetut ryhmät Keskustelu ja tiedonjako 14 %
19. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa
19
Käytä vain organisaation sallimia sovelluksia.
Toimita kutsu henkilökohtaisesti osallistujille.
Informoi osallistujia henkilötietojen käsittelystä.
Varmista huoneessa olijoiden henkilöllisyys.
Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä.
Varmista esittäjien osaaminen etukäteen.
Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
Lopuksi: päätä kokous, tyhjennä tai sulje huone.
Suojaa tallenne ja huolehdi sen tietosuojasta.
20. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
20
21. Ryhmätyö- ja tiedostonjakopalvelujen ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
21
22. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan
▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä?
▪ Mitkä ovat työvälineen oletusasetukset ja ominaisuudet?
▪ Minkälaista tietoa työvälineessä halutaan käsitellä?
▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia?
▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille?
▪ Luovuttaako työväline tietoja kolmansille osapuolille?
▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen tai julkisiin
tapahtumiin?
▪ Käytetäänkö työvälinettä organisaation sisäiseen työskentelyyn?
▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin?
▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä?
▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on?
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
22
23. Kysymys: henkilötiedot pilvipalveluissa
23
Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
Henkilötietojen siirto EU:n ulkopuolelle on mahdollista rekisteröityjen suostumuksen
ja/tai EU-komission mallisopimuslausekkeiden perusteella.
Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty
työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää
lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.
Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista
Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
24. Kysymys: uusien viestintävälineiden vaikutustenarviointi
24
Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää
tietojen päätyminen sivullisille.
GDPR:n 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa
toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä. Ne siis
vastaavat käyttöön valittujen viestintävälineiden turvallisuudesta.
Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä
ja pyritään löytämään ratkaisuja niihin.
Vaikutustenarviointi tulee tehdä erityisesti mm. silloin, kun otetaan käyttöön uutta teknologiaa.
Tietosuoja tulee huomioida normaalisti myös poikkeustilanteessa kuten pandemian aikana.
Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).
Esimerkiksi monet kunnat käyttävät Microsoft Teams -sovellusta potilaiden etävastaanottoon.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/koronavirus
• Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta?
• Vaikuttaako koronapandemian poikkeustilanne tietosuojavaatimuksiin?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (esim. terveys) käsittelyssä?
25. WhatsApp työhön liittyvässä viestinnässä
• WhatsAppin kuluttajaversion käyttöehdot sallivat ainoastaan palvelun
henkilökohtaisen käytön.
• Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus on sen
rekisteröineen käyttäjän käytössä.
• Käyttöehdot eivät kiellä WhatsAppin käyttöä henkilökohtaiseen
työhön liittyvään viestintään.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä, ja
mitä silloin tulee huomioida.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. mainittava tietosuojaselosteessa tai
pyydettävät suostumukset asiakkaiden kanssa viestintään.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai luvattomaan yhteystietojen keräämiseen.
• Yritys-/organisaatioprofiilin luominen on mahdollista WhatsApp
Business -sovelluksessa.
• Automatisoitua viestintää ja chatbotteja varten on WhatsApp
Business API -rajapinta.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
26. Kysymys: sijaisryhmä WhatsAppissa
26
WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
27. Vastuu tietosuojasta kulkee läpi organisaation
27
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
29. “EU-tuomioistuin totesi 16.7.2020 Privacy shield –järjestelyn
pätemättömäksi henkilötietojen siirroille Yhdysvaltoihin.
Rekisterinpitäjä on vastuussa, jos sen käyttämä henkilötietojen
käsittelijä siirtää tietoja laittomasti EU:n ulkopuolelle.
Nyt on oikea aika tarkistaa kaikki organisaation käyttämät
palveluntarjoajat ja niiden henkilötietojen käsittelyn
sopimukset!
29
Lähde: EU:n tuomioistuin, 16.7.2020, https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fi.pdf
Usein kysyttyjä kysymyksiä: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fi.pdf
30. Yhdysvaltalaiset pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Yhdysvalloissa ei ole yhtä tiukkaa tietosuojalakia kuin EU:ssa.
▪ Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020.
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta tietojen siirrossa ja tallennuksessa.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa!
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi.
30
31. Tilannetietoa 16.7.2020 jälkeisestä maailmasta
Microsoft Amazon Web Services Google Facebook
Peruste
siirroille
EU:n mallisopimuslausekkeet
Tilanne
nyt?
Kertoo saaneensa EU:n
tietosuojatyöryhmältä
vahvistuksen
sopimukselleen.
Henkilötiedot
”pseudonymisoidaan ja
salataan”.
Saksa kieltämässä O365:n
käytön?
Kertoo sopimusmallinsa
täyttävän EU:n
vaatimukset.
Tarjoaa käyttäjien datalle
vahvan salauksen.
On päivittämässä
sopimusehtojaan
”mahdollisimman pian”.
Vakuuttaa ”sitoutuneensa
hankkimaan lailliset
perusteet siirroille”.
TSV:n mukaan Googlesta
on tehty useita kanteluita
tietosuojaviranomaisille.
WSJ:n uutisen (9.9.2020)
mukaan Irlannin
tietosuojaviranomainen on
alustavassa päätöksessään
käskenyt Facebookin
keskeyttää EU-maiden
käyttäjien tietojen siirrot
Yhdysvaltoihin.
Muuttanut mm. WhatsAppin
tietosuojaselostetta.
Lähteet
https://docs.microsoft.com/fi-fi/microsoft-
365/compliance/offering-eu-model-
clauses?view=o365-worldwide
https://www.microsoftvolumelicensing.com
/Downloader.aspx?DocumentId=15237
https://aws.amazon.com/compliance/
eu-us-privacy-shield-faq
https://privacy.google.com/businesses/c
ompliance/?hl=fi
https://policies.google.com/privacy/fram
eworks?hl=en-US
https://www.facebook.com/help/5669946603
33381?ref=dp
https://on.wsj.com/3hg7RoS
https://privacyant.com/en/blog/2020/09/10/i
rlannin-tietosuojaviranomainen-katkaisemassa-
facebookin-henkil%C3%B6tietojen-
siirt%C3%A4misen-yhdysvaltoihin/
31
Katso myös Max Schremsin noyb-organisaation laajempi raportti: https://noyb.eu/files/web/Replies_from_controllers_on_EU-US_transfers.pdf
33. “Mainonnan kohteena oleville henkilöille on kerrottava, miksi
heille kohdennetaan tietoa, kuka vastaa mainonnasta ja miten
he voivat käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta
ja profilointi voivat aiheuttaa vakavia riskejä yksityisyyden
suojalle ja demokratialle. Cambridge Analytica -tapaus osoitti,
että henkilötietojen suojan rikkominen voi vaikuttaa myös
muihin perusoikeuksiin, kuten mielipiteenvapauteen ja
mahdollisuuteen ajatella vapaasti ilman manipulointia.
33
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys
34. Monet organisaatiot vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalgoritmin avulla.
Voit tarkistaa tietosi
Facebookin asetusten
Mainokset-kohdasta:
https://www.facebook.com/d
s/preferences/?entry_product
=account_settings_menu&exp
and_ad_settings=1
34
35. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa…
Lähde: Tietosuojavaltuutetun toimisto,
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020)
35
36. 36
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki, laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä suostumus! Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus, Twitter-ID
Datan
kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
37. GDPR-muistilista somemainostajalle
▪ Jos organisaatio antaa henkilötietoja (nimet,
s.postit, puhelinnumerot, laitetunnisteet)
mainosalustalle, yritys on rekisterinpitäjä.
▪ Organisaatiolla pitää olla oikeusperuste, joka
mahdollistaa tietojen käytön suoramarkkinoinnissa.
▪ Yksityishenkilöt: suostumus tai sopimus
▪ B2B-yhteyshenkilöt: oikeutettu etu
▪ Tietosuojaselosteessa tulee kertoa, mille tahoille
henkilötietoja luovutetaan – ml. henkilötietojen
käsittelijät kuten mainospalvelujen tuottajat.
▪ Profiloinnin käytöstä tulee kertoa rekisteröidyille.
▪ Kerro, miten mainosviesteiltä voi kieltäytyä.
▪ Mainostaja on aina vastuussa, vaikka se annettaisiin
toisen tahon tehtäväksi.
37
Kuva ja lisätietoa: Facebookin GDPR-sivusto, https://www.facebook.com/business/gdpr
Ks. myös Googlen tukimateriaalit mainostajille: https://support.google.com/google-ads/answer/9028179?hl=fi