Käsiteltävät kysymykset: Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat henkilötietoja & miten GDPR vaikuttaa evästeisiin? Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin mahdollista? Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua? Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa ja mitä avoimia kysymyksiä ePrivacyyn liittyy?
2. TRUST.
Esityksen rakenne
1. Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat
henkilötietoja & miten GDPR vaikuttaa evästeisiin?
2. Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin
mahdollista?
3. Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua?
4. Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä
GDPR:n jälkeen odotettavissa?
3. TRUST.
Nykytila ja tarkoitus
GDPR voimaan 25.5.2018•
ePrivacy• asetuksesta ei ole vielä saatavilla viimeistä versiota, vaan yksittäisiä
viilauksia asetusluonnokseen tehdään lähes kuukausittain
ePrivacy• asetuksen ytimessä on mm. sähköisen kommunikaation
luottamuksellisuuden turvaaminen
Aiemmin laki koski lähinnä teleoperaattoreita• – nyt mukana mm. Whatsapp,
Viper, tyyppisen palvelun tarjoajat
ePrivacy• asetus on erityissäännös suhteessa GDPR:ään, mutta säädöksissä
paljon päällekkäisyyttä
Myös muidenkin yritysten• – erityisesti mainostajien - on syytä huomioida
ePrivacy asetuksen vaatimukset mm. sähköiseen suoramarkkinointiin ja
evästeisiin liittyen
6. TRUST.
Henkilötiedon määritelmä
Henkilötietolaki 3 §:
Henkilötiedolla [tarkoitetaan] kaikenlaisia luonnollista henkilöä taikka hänen
ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä
tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi
Asetuksen 4 artikla:
Henkilötiedoilla [tarkoitetaan] kaikkia tunnistettuun tai tunnistettavissa olevaan
luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana
pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
7. TRUST.
Erityiskysymyksiä
IP osoite, verkkotunnisteet jne., muuttuuko tilanne GDPR:n myötä?
• EU tuomioistuin on ratkaisussaan Scarlet Extended (C-70/10) katsonut että ns.
kiinteä ip-osoite, jonka avulla henkilön voi täsmällisesti tunnistaa on
henkilötieto
• Syksyllä 2016 saatiin myös EU tuomioistuimelta kanta koskien dynaamisia IP-
osoitteita (C-582/14 Patrick Breyer v Bundesrepublik Deutschland)
• Tietosuojaa koskevia periaatteita on sovellettava kaikkiin tunnistettua tai
tunnistettavissa olevaa henkilöä koskeviin tietoihin; sen määrittämiseksi, onko
henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti
toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen
henkilön tunnistamiseksi käyttää
• Näin ei ole silloin, kun rekisteröidyn tunnistaminen on kielletty laissa tai kun se ei ole
käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti
aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, minkä seurauksena
tunnistamisen riski näyttäytyy käytännössä merkityksettömänä
8. TRUST.
Henkilötiedon määritelmä
Tietosuoja-asetuksen johdanto (26 & 30):
”Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava
huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen
todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai
välillisesti, kuten kyseisen henkilön erottaminen muista.”
”Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten,
työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai
muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä
jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen
etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille
toimitettuihin tietoihin.”
9. TRUST.
Evästeiden juridiset perusteet ja käytännön vinkit
ePrivacy: strictly
necessary
GDPR:
legitimate
interest or
consent
Not strictly
necessary
nor privacy-
intrusive
Käytös Opt-out Peruutustapa Tyypit
11. TRUST.
Käsittelyn peruste
ASETUS 6 ARTIKLA:
Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista
edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa
erityistä tarkoitusta varten;
…
b)käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on
osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn
pyynnöstä;
…
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai
perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
12. TRUST.
Suostumus
• Suostumus (4 artikla 11 kohta):
”mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja nimenomainen tahdonilmaisu, jolla
rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan
lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”
• Pakotetut tai suostutellut suostumukset eivät ole päteviä
• Esim. valmiiksi valitut valintaikkunat tai passiivisuus eivät täytä vaatimusta
• Samoin, jos suostumusta edellytetään sopimuksen tekemiseksi
• ”Jos käsittely perustuu direktiivin 95/46/EY mukaiseen suostumukseen, rekisteröidyn ei
tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen
tämän asetuksen soveltamisen alkamispäivän jälkeen, jos suostumuksen antamistapa on
ollut tämän asetuksen edellytysten mukainen”
• WP29 suostumusta koskevan ohjeistuksen mukaan edellä mainittu koskee myös
sähköisen viestinnän tietosuojadirektiiviä ja sitä koskevaa suostumusta.
18. TRUST.
Evästeet ja suoramarkkinointi sähköisen viestinnän
tietosuoja-asetuksessa
• Suoramarkkinointi edellyttäisi suostumusta (pl. omat asiakkaat, joille saisi kuitenkin
markkinoida samankaltaisia tuotteita ja palveluja niillä yhteystiedoilla, jotka yritys on
saanut myynnin yhteydessä aiemmin)
• Evästeiden käyttöä koskevaa sääntelyä yksinkertaistettaisiin ja hyväksynnän voisi antaa
mm. internet selaimen asetuksien välityksellä, analytiikkaevästeiden osalta lupa ei
tarvittaisi
• Kysymyksiä & ongelmia:
• Miksi suostumukset GDPR:ssä ja ePrivacyssä eroavat?
• Artikla 10: ”Information and options for privacy settings to be provided 1. Software
placed on the market permitting electronic communications, including the retrieval
and presentation of information on the internet, shall offer the option to prevent third
any other parties than the end-user from storing information on the terminal
equipment of an end-user or processing information already stored on that
equipment.”
19. TRUST.
Evästeet ja suoramarkkinointi sähköisen viestinnän
tietosuoja-asetuksessa
• Kysymyksiä & ongelmia mm.:
• Mitä kuuluu scopeen? Ancillary services, esim. chat boxit?
• Machine to machine - kommunikaatiot
• Mitä tapahtuu datalle, jos suostumus peruutetaan?
• Mitä tarkoittaa ”web audience measuring”? Kolmansien web-analytiikka?
• Päällekkäisyydet – tarvitaanko molempia asetuksia?
• Miten käsitellä eväste - dataa, joka on henkilötietoa?
20. TRUST.
Kysymyksiä & ongelmia sähköisen viestinnän tietosuoja-
asetuksessa
Onko tietoturva riittävästi huomioitu?•
Paikantaminen / seuraaminen julkisissa tiloissa? Informointi?•
Miten ”• do not track” – toiminnot ja julkaisijoiden asema? Mm. markkinointituloihin
luottavat sivustot – esimerkiksi ”opt in” kumoamaan ”do not track” – toiminnot?
Ad• blockers – miten näihin suhtaudutaan?
Vaikka evästeitä kontrolloidaan selaimen asetuksilla, niin verkkosivut voivat kuitenkin•
edellyttää suostumusta esimerkiksi liiketoimintamallista johtuen? Ilmainen tai maksu
à onko mahdollista?
Miten keskustelu koskien ”• reject all cookies” – kohtaa päättyy ja pitääkö kolmansien
evästeet estää ”by default”?
Art. 10: ”Markkinoille saatetuissa ohjelmistoissa, jotka mahdollistavat sähköisen
viestinnän, mukaan lukien tietojen hakeminen ja esittäminen internetissä, on
tarjottava vaihtoehto estää kolmansia osapuolia tallentamasta tietoja
loppukäyttäjän päätelaitteelle tai käsittelemästä sille jo tallennettuja tietoja.”
22. TRUST.
Johtopäätöksiä – Tee nyt
1. Päivitä sopimusmallit: Käytännön tasolla yrityksille keskeistä tulevaisuuden digitaalisessa
maailmassa pärjäämiselle tulee olemaan ”data ownership” – käsitteen implementoiminen
osaksi liiketoimintastrategiaa ja sopimusprosesseja
2. Evästepolitiikat tulevat muuttumaan ja cookie policyt kannattaa uudelleen arvioida jo
osana GDPR:n täytäntöönpanoa
3. Analysoi nykyisten julkaisukanavien ja alustojen rakenne, eri osapuolten roolit,
henkilötietojen luovutusketjut ja tarpeet henkilötietojen käsittelyä koskeville sopimuksille
4. Analysoi miten suostumukset on kerättävä ja punnitse riskit liittyen mahdolliseen
uudelleen keräämiseen ennen 25.5.2018
23. TRUST.
"excellent knowledge and sticking to deadlines, which achieves flawless results”
-Chambers Global
“Boutique firm Trust is headed by partners Jan Lindberg and Mika Lehtimäki. It was
only established in 2011 but has been building a reputation for itself in the past few
years and gaining recognition from the market for its work. Its working method is to
focus on a small number of clients with more "intensity" and through this the team
believes it can achieve the best quality.”
- IFLR 1000