Marraskuussa 2017 järjestimme tapahtuman, jossa paneuduttiin GDPR-tietosuoja-asetuksen vaikutuksiin tapahtumajärjestäjien arkeen. Yleisö sai kysyä vapaasti aiheeseen liittyviä kysymyksiä, jotka olemme keränneet tähän dokumenttiin vastauksineen.
Koska asetuksen tulkinta muodostuu päteväksi vasta oikeuskäytännön kautta, emme ota juridista vastuuta jos päätätte toimia vastauksemme mukaisesti. Vastaukset on kuitenkin varmistettu tietosuojajuristeilta, joten varsinaista ristiriitaa lain kanssa ei vastauksissa ole. Tulee kuitenkin muistaa, että kaikki ohjeet voivat tapauskohtaisesti muuttua. Ohje, joka pätee markkinointitilaisuuteen ei välttämättä pädekään, jos kyse on lääkealasta tai jostain muusta hyvin reguloidusta toiminnasta. Ohjeet ovat siis kirjaimellisesti ohjeellisia ja kehotamme aina varmistamaan oman toimialan tuntevalta juristilta. Toivomme kuitenkin, että nämä vastaukset helpottavat työtänne, kun teette tapahtumatoiminnastanne GDPR-yhteensopivaa!
Kysymykset:
- Pystynkö todellisuudessa hallitsemaan osallistujalistoja enää vaaditulla tavalla, jos ne ovat excel-tiedostoissa?
- Mikä on turvallinen tapa välittää rekisteritietoja? Onko sähköposti luotettava?
- Voiko kansainvälisen tilaisuuden osallistujalistan luovuttaa seuraavalle järjestäjälle?
- Tuleeko Lyytin uusia sopimukset?
- Saadaanko jatkossa lähettää LinkedIn inmail-viestejä kohderyhmille?
- Miten voin GDPR:n vaatimukset täyttäen näyttää tapahtuman osallistujalistan muille osallistujille?
- Miten rekisterinpitäjä voi varmistua siitä, että käsittelijä toimii asetuksen mukaisesti? Mikä on riittävä taso?
- Muodostaako jokainen tapahtuma oman rekisterinsä? Tuleeko siis jokaiselle tapahtumalle olla oma rekisteriselosteensa?
- Voiko enää käyttää sähköpostilistoja, joihin ihmiset ovat vapaaehtoisesti ilmoittautuneet?
- Onko tapahtuman valokuvaaminen aina OK? Miten vedetään raja julkisen ja suljetun tapahtuman välille?
- Kuinka kauan osallistujatietoja on OK säilyttää?
- Minkälaisista tietosuojapoikkeamista tulee ilmoittaa tietosuojavaltuutetulle?
- Mikä on Facebooksivujen, ryhmien ja tapahtumien rooli?
- Onko Tietosuojaliitteestä olemassa uutta, täytettävää mallipohjaa?
- Miten lapsia ja nuoria voidaan jatkossa ilmoittaa esim. leireille? Vaaditaanko jokin todistus huoltajuudesta?
- Kun liitto ylläpitää paikallisyhdistysten jäsenrekisteriä, pitääkö myös yhdistysten tehdä erillinen seloste?
- Allergiatieto voi olla arkaluonteinen tieto, kannattaisiko ilmoittautumislomakkeella kysyä mielummin erityisruokavaliotoivetta?
- Onko tapahtuman osallistujien hotellihuonejaon antaminen hotellille nimineen tietojen luovuttamista?
- Kuinka pitkään voidaan oppilaan tiedot säilyttää rekisterissä lopettamisen jälkeen, esim. historiikkimatrikkeleita ja myöhemmin tilattavia todistuksia ajatellen?
- Muodostaako oman henkilökunnan koulutusosallistujalistat oman rekisterinsä?
- Pitääkö vanhat paperiset osallistujalistat tuhota?
- Lyytiä voi käyttää yhteistunnuksilla. Pitääkö olla huolissaan?
- Miten markkinoida tapahtumia aiemmin pidettyjen tapahtumien keräämillä osoitteistoilla?
- Jos jaan asiakas- tai osallistujarekisterin vahingossa väärälle taholle, saanko heti 20 miljoonaa sakkoa?
- Muodostaako videomateriaali henkilörekisterin? Materiaalia on tallessa sekä raakamateriaalina että verkossa julkaistuina juttuja kuvateksteineen.
- Lääketehdas sponsoroi tilaisuuden ja tarvitsee tai haluaa tiedon keitä sponsoroi. Voiko tiedot luovuttaa?
- Tarvitaanko huoltajan lupa, jos alle 16-vuotiaan työntekijän tiedot tallennetaan HR-järjestelmään?
- Voimmeko toimittaa Lyytille omat käsittelysopimuksemme?
- Onko käyttäjän profilointi koneoppimisella sallittua, mikäli käyttäjää ei voi suoraan yksilöidä tämän perusteella?
- Montako tietosuojaselostetta tarvitaan? Voiko kaikki henkilötiedot sisällyttää yhteen isoon sidosryhmärekisteriin ja tehdä selosteen siitä?
- Mitenkäs sitten kun änkyrät ja mielensäpahoittajat heräävät vaatimuksineen?
- Koskeeko kaikki samat säännöt firman työntekijöiden tietoja (vs asiakastiedot) ja niiden säilytystä?
- Jos tapahtumajärjestäjä kannattaa avoimesti seksuaalisten vähemmistöjen asiaa ja haluaa lähettää kohdennettua suoramarkkinointia, niin mitenkäs arkaluontoisten tietojen keräys silloin?
- Miten yrityksen tulee suojata henkilörekisterien käsittelyä henkilökunnan työskennellessä mobiilisti avoimessa verkossa
- Miten toimintatapojen dokumentointi pienyrityksessä toteutetaan? Onko kriteereitä mitä esim. HR:n toimintatavoista kirjataan vai onko dokumentointi vapaamuotoinen?
- Miten GDPR pitää huomioida mikäli yritys on rekisteröity EU:n ulkopuolella?
- Liittyykö luovuttamiseen aina rahaa (myydän tiedot eteenpäin)? Luovuttaa voinee myös ilmaiseksi (jos informoitu rekisteristeriselosteessa)? Vertaa: julkinen hallinto.
- Henkilötunnusten kerääminen Excel-taulukkoon ja ilmoitus verottajalle: maksetaan päivärahaa ja km-korvausta?
- Miten määritellään B2B-asiakas? Jos asiakas on iso yritys, miten rajataan yrityksen työntekijät, ketkä saavat pitää asiakasrekisterissä?
Pystynkö todellisuudessa hallitsemaan osallistujalistoja enää vaaditulla tavalla, jos ne ovat Excel-tiedostoissa?
Mahdollisesti, mikäli tapahtumia tehdään vain muutamia vuosittain. Mutta silloinkin pitäisi muistaa tiedon “elinkaariajattelu” ja määrittää, mitä tiedostoille tehdään niiden käytön jälkeen. Mikäli osallistuja haluaa tarkistaa tai poistaa tietonsa, niin tiedot tulisi poistaa kaikista tietokannoista. On ne sitten lähetetty excel-tiedostona vaikka bussiyhtiölle tai kouluttajalle. Aika pian tulee vastaan tilanne, että homma menee mahdottomaksi, ellei tieto ole jossain yhdessä tietokannassa järkevästi hallittavissa.
Mikä on turvallinen tapa välittää rekisteritietoja? Onko sähköposti luotettava?
Sähköposti ei periaatteessa koskaan ole se tietoturvallisin vaihtoehto, mutta tulee muistaa myös välitettävän datan arkaluonteisuus. Kaikkein parasta on jakaa dataa vain katseluoikeuksilla, esim. online-raporttien kautta, jolloin vastaanottaja ei joudu tallentamaan dataa omalle koneelleen, eikä rekisteristä näin ollen tule pirstaloitunutta.
Voiko kansainvälisen tilaisuuden osallistujalistan luovuttaa seuraavalle järjestäjälle?
Jos tietosuojaselosteessa on näin ilmaistu ja osallistuja on siihen antanut suostumuksensa. Tosin tulee huomioida erikoistapaukset, kuten vaikka tilanne, jossa seuraava tapahtuma järjestetäänkin EU-alueen ulkopuolella.
Tuleeko Lyytin uusia sopimukset?
Toimitussopimus, joka määrittää yhteistyömme reunaehdot (hinnat, palvelumallit, ominaisuudet, korvausvelvollisuudet jne.) pysyy voimassa. Tätä ei siis ole tarve päivittää. Kuitenkin, koska tietosuoja-asetus edellyttää erikseen tietosuojasta sopimisesta tietyllä tavalla, jota nykyinen sopimuksemme ei täysin täytä, tulee toimitussopimukseen Tietosuojaliite, jossa määritetään se, miten ja missä tarkoituksessa Lyyti dataanne käsittelee. Tämä tullaan tekemään asiakkaiden kanssa ja toimitamme kaikille asiakkaillemme tästä vakiopohjan.
Mikäli asiakkaalla on oma pohja tai muutostarpeita, niin voimme neuvotella näistä asiakkaan kanssa tapauskohtaisesti. Omien pohjien käyttö tai muutostoiveet vaativat aina Enterprise-tason lisenssin.
Saadaanko jatkossa lähettää LinkedIn inmail-viestejä kohderyhmille?
Toistaiseksi kyllä, sillä GDPR ei ota tähän kantaa. Tähän ottaa kantaa EU:n e-Privacy -direktiivi, jonka valmistelu on käynnissä. Lisätietoa siitä löydät täältä: https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
Miten voin GDPR:n vaatimukset täyttäen näyttää tapahtuman osallistujalistan muille osallistujille?
Mikäli kaikissa tilaisuuksissasi tiedot jaetaan toisten osallistujien kesken, kannattaa tämä tuoda selkeästi esille Tietosuojaselosteessa. Jos sitä ei ole tuotu siellä esiin ja tarve on harvinaisempi, tulee suostumus tähän kysyä ilmoittautumisen yhteydessä. Toisaalta, mikäli kyseessä on esim. verkostoitumistilaisuus, ei osallistujaksi ole pakko hyväksyä henkilöä, joka ei salli tietojensa näyttämistä muille.
Miten rekisterinpitäjä voi varmistua siitä, että käsittelijä toimii asetuksen mukaisesti? Mikä on riittävä taso?
Me suosittelemme pyytämään käsittelijältä dokumentaation tietosuojapolitiikasta, tietoturvan teknisestä toteuttamisesta, tietoturvapolitiikasta ja mahdollisista auditoinneista. Mikäli näiden dokumenttien perusteella näyttää siltä, että käsittelijä ei suhtaudu asiaan vakavasti ja ammattimaisesti, tulee hälytyskellojen soida. Mitään yksiselitteistä tasoa ei ole määritelty, joten yksiselitteisiä ohjeita on mahdotonta antaa.
Muodostaako jokainen tapahtuma oman rekisterinsä? Tuleeko siis jokaiselle tapahtumalle olla oma tietosuojaselosteensa?
Lähtökohtaisesti ei. Ja hyvin harvoin kaikki tapahtumatkaan muodostavat omaa rekisteriään, vaan tapahtumaosallistujien tiedot ovat osa jotain isompaa rekisteriä. Jos teette tapahtumia esimerkiksi vain asiakkaillenne, on tiedot yleensä osa asiakasrekisteriä. Mikäli teette tapahtumia markkinointimielessä, ovat tiedot osa markkinointirekisteriä. Joskus, jos tapahtuma on hyvin iso, sisältää vaikka useita yhteisrekisterinpitäjiä jatapahtuma toistuu harvoin (esim. ammattimessut kahden vuoden välein), voi olla järkevää luoda tapahtumalle oma Tietosuojaseloste. Tällöin kannattaa tosin huomioida tapahtuman jatkuvuus. Mikäli osallistujatietoja on tarkoituksenmukaista hyödyntää seuraavassa tapahtumassa myös, tulee tästä mainita selosteessa.
Voiko enää käyttää sähköpostilistoja, joihin ihmiset ovat vapaaehtoisesti ilmoittautuneet?
Tottakai voi, kunhan henkilöt ovat listalle varmasti vapaaehtoisesti ilmoittautuneet. Muistakaa vain päivittää rekisteriseloste tietosuojaselosteeksi. Mikäli siihen tulee olennaisia muutoksia, tulee rekisteröidyiltä kerätä suostumus uuden selosteen mukaiseen käyttöön. Tämä on samalla hyvä hetki siivota rekistereistä turhat tiedot pois.
Onko tapahtuman valokuvaaminen aina OK? Miten vedetään raja julkisen ja suljetun tapahtuman välille?
Valokuvaaminen on aina OK, mutta valokuvan julkinen käyttäminen ei aina ole. Jos henkilö voidaan objektiivisesti kuvasta tunnistaa (esim. joku muukin kuin kuvattu itse tunnistaa itsensä), tulee kuvan käyttöön kaupallisiin tarkoituksiin pyytää aina lupa. Toimituksellisena materiaalina kuvia saa käyttää median toimesta, kunhan kuvat liittyvät artikkelin aiheeseen. Tapahtuman ilmoittautumisen yhteydessä voidaan kertoa kuvaamisesta, kuvien käyttötarkoituksesta ja pyytää suostumus kuvien laajempaan käyttöön.
Kuinka kauan osallistujatietoja on OK säilyttää?
Riippuu tiedoista. Tapahtumaspesifit tiedot, joita ei tapahtuman jälkeen ole enää tarkoituksenmukaista säilyttää, tulisi poistaa kun tietoja ei enää ko. tapahtuman toteuttamiseen tai jälkihoitoon tarvita. Joihinkin tietoihin voi olla ns. laillinen oikeus. Jos osallistujan ilmoittautumisesta muodostuu esim. lasku, tulee näitä tietoja säilyttää kirjanpitolain mukaan vähintään kuusi vuotta. Toisaalta samassa tapahtumassa ollaan voitu kysyä vaikka monon kokoa ja allergiatietoja. Näitä ei tule säilyttää kuutta vuotta. Kannattaa noudattaa tietojen minimointiperiaatetta, aina kun mahdollista.
Minkälaisista tietosuojapoikkeamista tulee ilmoittaa tietosuojavaltuutetulle?
Tähän ei ole annettu selkeää ohjetta, mutta ainakin silloin, jos on oletettavissa, että vuodetuista tiedoista saattaa aiheutua henkilöille haittaa, tulee olla aina yhteydessä tietosuojavaltuutettuun. Lähtökohtana on se, että parempi olla yhteydessä kuin olla olematta. Tästä muodostunee linjauksia sitä mukaa, kun tietosuojavaltuutetun toimisto ehtii tapauksia käsittelemään.
Mikä on Facebooksivujen, ryhmien ja tapahtumien rooli?
Kysymyksessä varmaankin tarkoitettiin sitä, että miten osallistujatietojen hallinta tapahtuu, jos kutsuminen ja ilmoittautuminen tapahtuu Facebook-tapahtumana. Mielenkiintoinen kysymys, sillä käytännössä kaikki tiedot Facebookissa kuuluvat heidän rekisteriselosteensa ja yksityispolitiikkansa piiriin. Mikäli tapahtumanjärjestäjä kerää tiedot Facebookin kautta ja sittemmin siirtää osallistuneiden tietoja omiin rekistereihinsä, tulee noudattaa GDPR:n asetuksia Tietosuojaselosteesta ja suostumuksesta. Lisätietoa Facebookin rekistereistä (ja paljon muustakin) löytyy täältä: https://www.facebook.com/privacy/explanation
Onko Tietosuojaselosteesta olemassa uutta, täytettävää mallipohjaa?
Tietosuojaselosteesta esim. Lyyti tarjoaa kaikille asiakkailleen valmiin mallipohjan, jota voi täydentää yrityksen tiedoilla. Tietosuojaselosteen sisältö riippuu paljon kerättävän ja hyödynnettävän datan käyttötarkoituksesta. Esimerkiksi potilatietojärjestelmässä hallitaan potilasrekisteriä ja sen tietosuojaseloste on hyvin erilainen sisällöltään kuin markkinointirekisterin tietosuojaseloste. Lataa tietosuojaselosteen mallipohja käyttöösi tästä.
Miten lapsia ja nuoria voidaan jatkossa ilmoittaa esim. leireille? Vaaditaanko jokin todistus huoltajuudesta?
GDPR määrittelee, että rekisterinpitäjän tulee saada huoltajan suostumus alle 16-vuotiaiden tietojen rekisteröintiin. Tosin kansallisesti ikä voidaan asettaa 13 ja 16 vuoden välille ja Suomessa päätöstä suojaikärajasta ei ole vielä tehty. Lähtökohtaisesti tässä suojellaan lapsia ja nuoria luovuttamasta tietojaan sinne tänne ilman parempaa ymmärrystä tietojen käytössä. Kun lapsia ja nuoria ilmoitetaan esim. leireille, on riittävä taso varmasti se, että lapsi ei voi itse ilmoittaa itseään, vaan se on huoltajan tehtävä. Ilmoittautumisessa voidaan vaatia ns. ruksilla hyväksyttävä vakuutus siitä, että ilmoittajalla on oikeus ilmoittaa henkilöt. Tuskin tässä linjauksena tulee olemaan, että vaaditaan väestörekisteriote, passikopio ja verkkopankkitunnistautuminen, sillä aina tulee muistaa myös annettavien tietojen luonne ja käyttötarkoitus.
Kun liitto ylläpitää paikallisyhdistysten jäsenrekisteriä, pitääkö myös yhdistysten tehdä erillinen seloste?
Mikäli liiton tietosuojaselosteessa on selkeästi kerrottu, että tietoja käytetään sekä liiton että paikallisyhdistysten toimesta, niin todennäköisesti pärjäätte yhdellä selosteella. Mutta mikäli kuulun vaikka Varsinais-Suomen jäsenyhditykseen ja annan luvan ko. yhdistykselle hyödyntää tietojani, ei toisaalta toisella paikallisyhdistyksellä ole näitä tietoja oikeus hyödyntää. Toisaalta tulee määrittää, että onko liitto itseasiassa rekisterin käsittelijä vai pitäjä. Jos liitto tarjoaa paikallisyhdistyksille ohjelmiston ja ylläpitää tätä, niin silloin he ovat vain käsittelijä.
Allergiatieto voi olla arkaluonteinen tieto, kannattaisiko ilmoittautumislomakkeella kysyä mielummin erityisruokavaliotoivetta?
Periaatteessa tässä muodostuu täsmälleen samaa tietoa. Tapahtuman turvallisen toteuttamisen kannalta on erittäin tärkeää saada selkeä lista esim. vakavista allergioista. Kenenkään fyysisen turvallisuuden kustannuksella ei kannata ruveta pelaamaan, vaan kysyä selkeästi tarvittavat tiedot ja poistaa ne rekisteristä, kun tapahtuma on turvallisesti toteutettu.
Onko tapahtuman osallistujien hotellihuonejaon antaminen hotellille nimineen tietojen luovuttamista?
Ei, vaan kyseessä on tietojen siirtämistä. Hotellilla ei ole oikeutta ottaa rekisteröityjen tietoja esim. omaan kaupallliseen tarkoitukseensa. Heillä on oikeus ainoastaan käsitellä tietoja, eli katsoa niitä ja tallentaa niitä omiin järjestelmiinsä palvelunsa toteuttamiseksi. Eri asia on, mikäli jokin tilaisuus järjestetään yhteistyössä hotellin kanssa siten, että molemmat tahot ovat rekisterinpitäjiä ja näin ollen muodostuu yhteisrekisteri. Tällöin tämä täytyy olla selkeästi ilmaistu tietosuojaselosteessa ja suosittelemmekin näissä tapauksissa tekemään tapahtumakohtaisen selosteen.
Kuinka pitkään voidaan oppilaan tiedot säilyttää rekisterissä lopettamisen jälkeen, esim. historiikkimatrikkeleita ja myöhemmin tilattavia todistuksia ajatellen?
Tähän on mahdotonta ottaa yksiselitteistä kantaa, sillä joitakin oppilaitoksia laki myös velvoittaa säilyttämään tiedot juurikin esim. pätevyyden todentamista varten. Tämä kannattaa selvittää omalta lakimieheltä. Mutta selvää on, että turhia tietoja, vaikkapa vuoden 2018 vappulounaan menuvalintaa ei ole syytä tai oikeutta tallentaa oppilasrekisteriin vuosiksi.
Muodostaako oman henkilökunnan koulutusosallistujalistat oman rekisterinsä?
Käytännössä eivät. Nämä tiedot ovat osa henkilöstöstä ylläpidettävää henkilörekisteriä.
Pitääkö vanhat paperiset osallistujalistat tuhota?
Jos tietojen säilyttämiseen ei ole mitään perustetta (esim. taloushallinnon vaatimukset, laillinen oikeus tms.), niin elämä helpottuu paljon, kun näitä listoja ei ole. Mikäli osallistuja haluaa tarkistaa, mitä tietoja hänestä rekisteristänne löytyy, niin käytännössä tiedot tulee kerätä myös paperisista tallenteista.
Lyytiä voi käyttää yhteistunnuksilla. Pitääkö olla huolissaan?
Suosittelemme varsinkin toukokuun jälkeen, ettei yhteiskäyttötunnuksia ole. Meille tulee velvoite osoittaa, kuka mitäkin tietoa on käsitellyt ja käytännössä yhteiskäyttötunnuksilla tämä ei ole mahdollista.
Miten markkinoida tapahtumia aiemmin pidettyjen tapahtumien keräämillä osoitteistoilla?
Periaatteessa rekisterireloste on pitänyt olla tällä hetkellä voimassa olevan Henkilötietolain perusteella jo yli 15 vuoden ajan olemassa ja näissä rekisteriselosteissa on kerrottu tietojen käyttötarkoitus. Mikäli näin on ollut ja vanhat osallistujalistat muodostavat relevantin, ajantasalla olevan osoitteiston ja osallistujat ovat antaneet suostumuksensa tietojen käyttöön markkinointitarkoituksessa, niin markkinointia voi jatkaa kuten ennenkin. Mikäli asia on vähän “niin tai näin”, niin on erittäin suositeltavaa kysyä rekisteröidyltä suostumus markkinointikäyttöön ennen toukokuuta.
Jos jaan asiakas- tai osallistujarekisterin vahingossa väärälle taholle, saanko heti 20 miljoonaa sakkoa?
Et varmaankaan. Viranomaisella on käytössään muitakin keinoja, kuten ohjeistaminen, huomautus ja tietojenkäsittelyn kieltäminen. Suurimmat sakot on varmasti tarkoitettu isoille toimijoille sekä rikolliseen toimintaan tai törkeään asetuksen laiminlyöntiin.
Muodostaako videomateriaali henkilörekisterin? Materiaalia on tallessa sekä raakamateriaalina että verkossa julkaistuina juttuja kuvateksteineen.
Jos henkilöt ovat videolla tunnistettavissa, niin kyllä. Videon käytössä on sama periaate kuin valokuvissa. Kuvata saa, mutta käyttö saattaa vaatia luvan. Ks. vastaus valokuvaamisesta.
Lääketehdas sponsoroi tilaisuuden ja tarvitsee tai haluaa tiedon keitä sponsoroi. Voiko tiedot luovuttaa?
Lääkealaa koskee hyvin tarkka sääntely ja heillä on tietty raportointivelvoite osallistujista. Tällöin tiedot voi ja tulee luovuttaa, mutta vain siinä määrin, mikä on tarpeellista. Tämä on syytä myös kertoa tietosuojaselosteessa, että tietoja luovutetaan tapahtuman sponsoroivalle yritykselle johtuen heidän raportointivelvoitteensa täyttämisestä.
Tarvitaanko huoltajan lupa, jos alle 16-vuotiaan työntekijän tiedot tallennetaan HR-järjestelmään?
GDRP:N näkökulmasta ei, mutta työlainsäädännön kannalta epäsuorasti kyllä. GDRP:n suojaikäraja ei välttämättä sovellu tilanteeseen, koska kyse ei mitä ilmeisimmin ole ”tietoyhteiskunnan palvelujen tarjoamisesta suoraan lapselle,” (artikla 8, lisäksi termiä määritelty toisaalla lainsäädännössä), vaan työsuhteeseen välttämättömästi liittyvien tietojen käsittelystä. Lisäksi, vaikka soveltuisikin muuten, niin työnantajalla on jatkossakin Lain yksityisyyden suojasta työelämässä perusteella oikeus kerätä työsuhteen kannalta välttämättömiä tietoja, eli suostumusta ei tavanomaisen HR-datan keräämiseen tarvittaisi sen enempää täysi-ikäiseltäkään. Mutta koska Laki nuorista työntekijöistä 3 § mukaan alle 15 vuotias ei saa ilman huoltajan suostumusta solmia työsopimusta, käytännössä suostumus kuitenkin tätä kautta tulee epäsuorasti hankituksi ja lopulta kysyminen osana tässä yhteydessä rekrytointia ei tietenkään ole koskaan huono asia luottamuksen herättämiseksi, vaikka sillä ei varsinaista juridista merkitystä aina olisikaan. On muutenkin vielä muistettava, että suojaikäraja saattaa vaihdella 13 ja 16 ikävuoden välillä maittain.
Voimmeko toimittaa Lyytille omat käsittelysopimuksemme?
Asiakkaan omia pohjia voimme käyttää Enterprise-asiakkaiden kohdalla.
Onko käyttäjän profilointi koneoppimisella sallittua, mikäli käyttäjää ei voi suoraan yksilöidä tämän perusteella?
Mikäli henkilöä ei voi tämän tiedon perusteella tunnistaa, vaan kyse on tilastotiedosta, ei henkilörekisteriä muodostu. Mutta mikäli myöhemmin henkilö antaa itsestään sellaisia tietoja, jotka voidaan yhdistää hänestä aiemmin tallennettuun dataan, tulee tästä profilointitiedosta osa henkilörekisteriä.
Montako tietosuojaselostetta tarvitaan? Voiko kaikki henkilötiedot sisällyttää yhteen isoon sidosryhmärekisteriin ja tehdä selosteen siitä?
Silloin kun rekisterien käyttötarkoitus eroaa toisistaan huomattavasti, on syytä tehdä oma tietosuojaseloste. Esimerkiksi henkilökunnasta tallennetaan hyvin erilaista tietoa kuin prospekteista.
Mitenkäs sitten kun änkyrät ja mielensäpahoittajat heräävät vaatimuksineen?
Palvelkaamme heitä siten, että änkyräkin hymyilee päivän päätteeksi. Kysymyksen taustalla on varmaankin huoli siitä työstä, joka voisi syntyä siitä, että sadat ja tuhannet osallistujat haluavat jatkuvasti tarkastaa tietojaan. Toki siihen voi varautua, mutta se tuskin on realismia. Kannattaa valmistautua siten, että yhden tai useamman tietopyynnön täyttäminen sujuu ongelmitta, niin eivätköhän änkyrätkin siitä ilostu.
Koskeeko kaikki samat säännöt firman työntekijöiden tietoja (vs asiakastiedot) ja niiden säilytystä?
Silloin kun rekisterien käyttötarkoitus eroaa toisistaan huomattavasti, on syytä tehdä oma tietosuojaseloste. Esimerkiksi henkilökunnasta tallennetaan hyvin erilaista tietoa kuin prospekteista.
Jos tapahtumajärjestäjä kannattaa avoimesti seksuaalisten vähemmistöjen asiaa ja haluaa lähettää kohdennettua suoramarkkinointia, niin mitenkäs arkaluontoisten
tietojen keräys silloin?
Lähtökohtaisesti toiminnan luonne tai tarkoitus ei anna suurempia oikeuksia toisiin organisaatioihin nähden. Poikkeuksiakin löytyy: alla on asiaa käsittelevä GDPR-asetuksen kohta.
1) Lähtökohtaisesti kielletty (artikla 9 kohta 1)
2) Poikkeuksista saattaa soveltua Kohdan 2 osalta useampikin, näiden soveltaminen luonnollisesti täysin rekisterinpitäjän harkinnassa ja vastuulla, pääsääntöisesti toki pitäisin minimivaatimuksena yhdistyksen jäsenyyttä, koska voi olla vaikea keksiä muuta tarkoitusta miksi juuri ko. yhdistys pitäisi yllä tietokantaa jäsenistöönsä kuulumattomista seksuaalivähemmistöjen jäsenistä.
a. a lienee todennäköisin keino, mutta kannattaa tarkistaa yhdistyksen toimialan tuntevalta juristilta asia.
b. d soveltuu, jos voidaan tulkita, että toiminta on poliittista, (emme osaa ottaa kantaa mitä ”filosofisella” mahdollisesti tarkoitetaan, ehkä sekin soveltuisi?)
c. joissakin harvoissa tilanteissa myös e, mutta varmaan aika mahdotonta hallinnoida kuka on itse tehnyt tiedon julkiseksi
9 artikla
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:
a)
rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;
b)
käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;
c)
käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;
d)
käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;
e)
käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;
f)
käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;
g)
käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;
h)
käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;
i)
käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä
terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;
j)
käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.
4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.
Miten yrityksen tulee suojata henkilörekisterien käsittelyä henkilökunnan työskennellessä mobiilisti avoimessa verkossa?
Kysymyksessä on tietoturvan tekninen toteuttaminen, ei sinänsä GDPR-asetuksen tietosuojaan liittyvä ongelma. Mutta meillä Lyytissä moni tekee liikkuvaa työtä ja olemme ratkaisseet asian siten, että tiettyihin palveluihin pääsee kirjautumaan vain toimistomme ip-osoitteesta ja mikäli olet matkalla, tulee sinun käyttää VPN-yhteyttä. Lisäksi olemme selvittäneet keiden aidosti tulee mihinkin tietoon päästä ja rajoittaneet turhat pääsyoikeudet pois.
Miten toimintatapojen dokumentointi pienyrityksessä toteutetaan? Onko kriteereitä mitä esim. HR:n toimintatavoista kirjataan vai onko dokumentointi vapaamuotoinen?
Kysymys liittynee siihen, miten tietosuojaprosessit kirjataan ja dokumentoidaan. Tähän ei ole selkeää vastausta, eikä vaatimuksia sinänsä pääsääntöisesti erotella yrityksen koon mukaan, vaan kaiken pohdinnan taustalla tulisi aina olla kyseiseen henkilötietoon liittyvän riskin ymmärtäminen. Toisaalta, mitä pienempi yritys, sen vähemmän prosesseja on, sen vähemmän tietoja kerätään ja sen vähemmän on ihmisiä, jotka tietoon pääsevät käsiksi.
Miten GDPR pitää huomioida mikäli yritys on rekisteröity EU:n ulkopuolella?
Mikäli yritys ei ole rekisteröity EU:ssa (ei siis ole toimistoa tms.), mutta se palvelee EU:n alueella olevia asiakkaita ja EU-maiden kansalaisia, koskee GDPR näitä yrityksiä yhtälailla.
Liittyykö luovuttamiseen aina rahaa (myydän tiedot eteenpäin)? Luovuttaa voinee myös ilmaiseksi (jos informoitu rekisteristeriselosteessa)? Vertaa: julkinen hallinto.
Luovuttaminen ei ole kiinni rahan liikkumisesta. Tietoja saa luovuttaa, mikäli se on kerrottu tietosuojaselosteessa ja henkilö on sen hyväksynyt. Julkisessa hallinnossa on varmasti myös lakisääteisiä velvollisuuksia luovuttaa tietoja toimijalta toiselle (esimerkiksi työnantaja on velvollinen luovuttamaan henkilön tietoja verottajalle), eikä tällaiseen erikseen tarvitse kysyä lupaa.
Henkilötunnusten kerääminen Excel-taulukkoon ja ilmoitus verottajalle: maksetaan päivärahaa ja km-korvausta?
Kysymyksessä ilmeisesti tarkoitetaan, että onko kyseessä henkilörekisteri vai ei. Kyllä on, sillä teknologia ei määritä sitä, syntyykö datasta henkilörekisteri, vaan rekisterin sisältö määrittää sen. Kannattaa miettiä, onko turvallisempaa keinoa kerätä ja siirtää tietoa, kuin Excel-lista, varsinkin jos listassa on paljon henkilöiden arkaluontoista dataa.
Miten määritellään B2B-asiakas? Jos asiakas on iso yritys, miten rajataan yrityksen työntekijät, ketkä saavat pitää asiakasrekisterissä?
B2B-kaupankäynnistä puhutaan, kun oikeushenkilöt tekevät liiketoimia keskenään. Eli organisaatio ostaa tai myy toiselta. Kysymys liittynee kuitenkin siihen, että missä kohtaa muodostuu henkilörekisteri. Mikäli minulla on CRM-järjestelmässä vain yritysten nimet ja y-tunnukset, ei henkilörekisteriä muodostu. Sen sijaan, kun olen kerännyt sinne esim. sopimusyhteyshenkilöiden tiedot, niin näiltä osin henkilörekisteri muodostuu.Rekisterissä saat pitää sellaisten henkilöiden tiedot, jotka tarvitset esim. velvoitteittesi täyttämiseen. Näitä voivat olla esim. taloushallinnon henkilöitä, ostaja, yhteyshenkilö, tuotteesi käyttäjä jne. Mutta muista, että heistä voit kerätä ja säilyttää sellaisia tietoja, jotka ovat oleellisia velvollisuuksiesi täyttämiseen.
Yhteistyökumppanimme tietosuoja-asioissa:
Lexperience / Elina Koivumäki sekä LRHTO / Kimmo Kajander.
Kommentit
0 kommenttia
Kirjaudu sisään jättääksesi kommentin.