Asiantuntijatuen ratkaisemia tietosuojakysymyksiä- ja tilanteita.

 

EU:n tietosuoja-asetuksen käytännön toteutuminen aiheuttaa monelle yritykselle päänvaivaa. Käytännöt, vaatimukset ja niihin vastaaminen sekä erilaiset asiakkailta tulevat kysymykset pahimmillaan jopa estävät asiakkuuksien alkamisen.

Tietosuoja ja sen toteutumisen osoittaminen ovat osa liiketoimintaa ja jokaisen  yrityksen kilpailukykyä.

Mahdollistaaksemme asiakkaillemme parhaimman mahdollisen hyödyn tietosuojasta, olemme liittäneet Easy GDPR -palvelun PRO-versioon rajattoman asiantuntijatuen.

Olemme keränneet joitakin asiantuntijatukemme ratkaisemia kysymyksiä allaolevaan taulukkoon. Otsikkoa klikkaamalla näet asiakkaalta tuleen kysymyksen. Autamme myös selvityspyyntöihin vastaamisessa.

Ensimmäistä kertaa olemme ajautuneet GDPR:n aikana tilanteeseen johon en tiedä vastausta.

Tilanne on tällainen:
Asiakasyrityksemme tiloissa on näkyvillä henkilötietoja,  kuten puhelinnumeroita jne. Nyt kyseinen yritys vaatii meiltä sopimusta GDPR:n noudattamisesta sakon uhalla koska työntekijämme näkee työtä suorittaessaan nämä tiedot. He ilmoittavat, että meistä muodostuu tällöin HENKILÖTIETOJEN KÄSITTELIJÄ. Onko tosiaan näin?

Kuitenkin on kyse asiakassuhteesta joten voisitteko neuvoa diplomaattisen tien ulos tilanteesta?

Yrityssiivouspalveluita tarjoava yritys, Uusimaa

Olemme tekemässä sähköpostikamppiksen (PDF-mainos) olemassa oleville asiakkaillemme. Riittääkö että sisällytämme sähköpostiin linkin asiakasrekisteriä koskevaan tietosuojaselosteeseen ja pitääkö viestissä olla ”poistakaa minut postituslistalta” – linkki?

Isännöintipalveluita tarjoava yritys, Uusimaa.

Meillä tulee käyttöön yhtiön autojen seuranta nyt alkuun pääkaupunkiseudulla. Autoihin asennetaan GPS-palikka, josta saa sijaintitiedon ym. muuta tietoa auton sen hetkisestä tilasta. Palvelua käytetään palveluntarjoajan nettisivujen kautta tai applikaatiosta puhelimella, johon kirjaudutaan käyttäjätunnuksella. Kaikki autoista kerätty data tallentuu kyseiseen palveluun.

Pitääkö meidän asian tiimoilta tehdä jotain toimenpiteitä gdpr:n näkökulmasta?

Kalusteratkaisuja tarjoava valtakunnallinen toimija

Saimme Tietosuojavaltuutetun toimistosta selvityspyynnön. Toiminnastamme oli tehty kantelu ja meidän tulee nyt selvittää, mistä kyseisessä asiassa on ollut kysymys, onko kyseessä ollut johdon hyväksymä toimintamalli ja miten kauan toimintamalli on jatkunut.

Miten vastaamme tähän?

Asiakastamme lähestyttiin ao. viestillä (tiedot anonymisoitu):

Asuntokaupan kauppakirjaluonnos (kohde Xxxxxxx ) lähetettiin sähköpostitse (Kiinteistövälitysyhtiö) välittäjä (Nimi) toimesta sähköpostiosoitteeseen, jonka hallinnoija ei ole osallisena kaupanteossa.

Kauppakirja pitää sisällään myyjien täydelliset henkilö- ja osoitetiedot nykyisen (myytävän) asunnon osalta sekä ostajien täydelliset henkilö- ja osoitetiedot nykyisen ja tulevan osoitteen osalta.

Kyseinen tapahtuma täyttää tietoturvaloukkauksen määritelmät, josta rekisterinpitäjä on velvollinen tekemään ilmoituksen valvontaviranomaiselle.

Se, että arkaluontoista tietoa päätyy väärään paikkaan edellä mainitut seikat huomioiden, on sietämätöntä huolimattomuutta.

Tämä viesti toimii dokumentaationa tulevaisuuden varalle, mikäli joku kaupan osapuolista kärsii tietoturvaloukkauksen seurauksista. Odotan vastaustanne, kuinka etenette asian kanssa.

Meillä on ulkoistettu palkanlaskenta ja kirjapito. Harkitsen, että annettaisiin perustiedot ja palkka-osioon pääsy meidän palkanlaskijalle, josta suoraan hän saisi muutostiedot yms.

DPA sopimus pitää luonnollisesti laatia, mutta onko jotain muuta, mitä pitäisi ottaa huomioon, kun puhutaan näin sensitiivisistä asioista?

Suunnittelutoimisto, Uusimaa.

Kilpailutuksessa yksi vaatimus oli ”tietosuojakelpoisuutemme todentaminen”.

Asia tuli meille puskista ja emme ole sellaista joutuneet kenellekään aikaisemmin todistamaan. Miten tällainen käytännössä hoidetaan?

Asiantuntijapalveluita tarjoava yritys, Pirkanmaa.

Olemme harkinneet asentavamme porraskäytäviin kameravalvontalaitteiston. Esille tuli kuitenkin peruskysymys: Saako porraskäytäviin laittaa kameravalvonnan ja jos, niin  pitääkö siihen saada kaikkien osakkaiden suostumus?

Kuten alustavasti puhuimme puhelimessa:
Olemme hankkineen autoihin liikennekamerat asennettaviksi lähinnä onnettomuuksien selvittelyyn. Niinpä tästä on herännyt kysymyksiä minkälaiseen asemaan kuljettajat joutuvat tietosuojan kanssa ja millainen vastuu työnantajalla on tässä tapauksessa, kuka saa katsoa tallenteita ja miten ne luovutetaan, entä asiakkaiden pihat ja heidän työntekijät, entä kun kuvaukset on yritysten pihoilla kielletty?

Jos saisin jotain selvennystä näihin kysymyksiin ennen kuin otamme kamerat käyttöön eivät ole etäluettavia vain muistikortilla toimivia mutta ilmeisesti myös ääniä voidaan tallentaa.

Kuljetusalan yritys, Keski-Suomi.

Jos myyn liiketoiminnan (mutta en yhtiötä) asiakkaineen ja rekistereineen ja kuluttaja-asiakkaat ovat antaneet nimenomaan minun y-tunnukselle luvan tietojensa käsittelyyn, voiko tulla ongelmia eteen?

Käytännössä kai tietojen käsittelijä / rekisterinpitäjä vaihtuisi, mutta voiko sitä vaihtaa yksipuolisella ilmoituksella?

Rakennusliike, Etelä-Karjala

Minulla on kysymys koskien sopimusta tietojenkäsittelystä: tuleeko sopimuksen allekirjoittajalla olla yhtiön nimenkirjoitusoikeus vai onko tämä juridisesti riittävän sitova, jos sopimuksen allekirjoittaa yhteyshenkilö?

Tuleeko kaikki nämä yhteistyökumppanit mainita selosteessa nimeltä? Kumppaneita on nimittäin lukuisia, ja ne vaihtelevat matkakohteen mukaan.

– Toiminnan luonteesta johtuen henkilötietoja käsitellään usean eri toimijan toimesta, joita ei pystytä tässä yhteydessä mainitsemaan, koska ne vaihtelevat.

Tuleeko sopimus lähettää kaikille näille yhteistyökumppaneille?

Onko peruste (tietoja luovutetaan matkajärjestelyjen varmistamiseksi ja hoitamiseksi) tietojen luovutukselle riittävä?

Vielä yksi kysymys tähän loppuun. Se koskee yhdistystä. Yhdistyksemme ottaa lähiaikoina käyttöön uutiskirjetyökalun. Miten tämä tulisi huomioida selosteessa? Mitä siitä tulee kertoa ja missä selosteessa ja kuvauksessa?

Matkailupalveluyritys, Uusimaa

Voiko työnantaja olla rekisterinpitäjä – vaikka työsuhde on ehkä jo päättynyt tai päättyy prosessin aikana ja vaikka kaikki prosessissa syntyvä tieto (lukuun ottamatta nimeä ja yhteystietoja) on luottamuksellista meidän ja valmennettavan henkilön välillä, eikä työnantajalla siihen pääsyä tai oikeuksia?

Toinen asia: teemme osana liiketoimintaamme soveltuvuusarviointeja asiakkaillemme.

Asiakas on yleensä näiden osalta rekisterinpitäjä ja me tietojen käsittelijä. Teemme myös arviointeihin liittyvää kehitystä ja laadunseurantaa, joka yleensä tapahtuu anonyymeillä tiedoilla.

Nyt meillä on tarve seurata arviointien osuvuuden onnistumista ja tähän liittyen käyttää ainakin palautteen kohdentamisvaiheessa henkilön nimeä. Kyselyssä kysytään esimieheltä tietoa arvioinnin osuvuudesta suhteessa henkilön työssä suoriutumiseen.

Miten näette tämän tietosuojamielessä? Voidaanko tämän ajatella olevan alkuperäisen arvioinnin kanssa yhteensopiva käyttötarkoitus? Kuinka asia tulisi hahmottaa rekisterimielessä ja rekisteröidyn oikeuksiin liittyen?

Rekrytointipalveluyritys, Uusimaa.

Sellainen tuli mieleen, että kun toimitilamme kiinteistössä on sähköinen kulunvalvonta, eli ovista kuljetaan tunnistelätkällä ja ilta-aikaan PIN-koodin kera, tulisiko kulunvalvonnasta olla tietosuojaseloste?

Samaiseen juttuun liittyen, artikkelin lopussa mainitaan että jos henkilötietojen käsittelyn perusteena on oikeutettu etu, tulee tehdä stressitesti ja dokumentoida se. Meillä taitaa osassa tietosuojaselosteista olla tämä peruste. Miten teemme sellaisen?

Konsultointiyritys, Etelä-Pohjanmaa.

Meillä on meneillään rahoitusneuvottelut pääomasijoitusyhtiön kanssa, ja heiltä tuli kysymys siitä, että olemmeko ”GDPR compliant?”

Miten voimme tämän todentaa heille ja tarvitseeko meidän ottaa ulkopuolinen auditointi asian toteamiseksi?

ICT yritys, Pohjois-Pohjanmaa.

Meillä olisi taas ihan urgenttina päällä tällainen GDPR-case:

Taloyhtiö X on ostanut meiltä saneerausprojektiinsa hankesuunnittelun. Osana hankesuunnittelua olemme toteuttaneet osakaskyselyn, jonka myötä keräsimme itsellemme osakkaiden yhteystiedot pitäen silmällä meille jatkossa mahdollisesti ilmaantuvaa tarvetta olla heihin projektin puitteissa yhteydessä.

Taloyhtiö X pyytää nyt meitä luovuttamaan heille nuo keräämämme yhteystiedot omia viestintätarpeitaan varten. Olemme GDPR:n vedoten vastanneet ettemme voi tietoja taloyhtiölle luovuttaa. Taloyhtiö ihmettelee mikseivät he tilaajana ole oikeutettuja näitä tietoja saamaan.

Miten tässä tilanteessa tulee toimia? Onko meillä velvollisuus tilaajalle nämä luovuttaa? Jos luovutamme, onko riski että rikomme asetusta tietojen luovotuksen osalta?

Suunnittelutoimisto, Etelä-Savo.