Koulutus Tampereen kaupungille, 20.4.2023, Harto Pönkä, Innowise

1. Tietosuojavaatimukset
markkinointiviestinnässä
20.4.2023
Harto Pönkä
Innowise
Kuva: Pixabay

2. Markkinoinnissa käsiteltäviä henkilötietoja
2
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoitteet (nykyiset ja aiemmat) Tavanomainen tai salainen Salaisen osoitteen paljastuminen
Puhelinnumerot Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoitteet Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Syntymäaika Tavanomainen Käyttö kohdennukseen ja huijausyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen nimissä
Sukupuoli Tavanomainen Käyttö kohdennukseen
Parisuhdetilanne ja lasten määrä Tavanomainen Käyttö kohdennukseen
Koulutustaso ja ammatti Tavanomainen Käyttö kohdennukseen
Asiakastiedot ja ostotottumukset Tavanomainen tai erityinen
henkilötieto
Käyttö profilointiin, mahdollisuus syrjintään,
häirintään ja yksityiselämän loukkaaamiseen
Kiinnostuksen kohteet ja harrastukset Tavanomainen Käyttö profilointiin

3. Henkilötiedot suoramarkkinoinnissa

4. Suoramarkkinoinnin tavat
Lähde: Suomen yrittäjät, Yrittäjän tietosuojaopas, 2021, https://www.yrittajat.fi/oppaat/yrittajan-tietosuojaopas/
Kuva: Pixabay
4
• Perinteinen suoramarkkinointi
– Postitse tai puhelimitse tapahtuva markkinointi
– Saa tehdä, jos vastaanottaja ei ole kieltänyt.
– Rekisterinpitäjän tulee informoida henkilötietojen käsittelystä.
– Kielto-oikeudesta tulee kertoa viesteissä ja puheluissa.
• Sähköinen suoramarkkinointi
– Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit, yms.
– Henkilöille kohdistettuun markkinointiin tarvitaan suostumus
– Yrityksiltä ja niiden edustajille voi tehdä suoramarkkinointia
oikeutetun edun perusteella.
– Vastaanottajille tulee kertoa kielto-oikeudesta viesteissä ja
informoinnissa/tietosuojaselosteessa
• Ulkoistettu suoramarkkinointi
– Esimerkiksi postitus- ja puhelinmyyntipalvelut
– Jos henkilötietoja annetaan toiselle yritykselle markkinoinnin
tekoa varten, tulee tehdä sopimus henkilötietojen käsittelystä
– Toimeksiantaja on aina vastuussa markkinoinnista.

5. Henkilötiedot markkinointipuheluissa
5
Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus
▪ Henkilö on tunnistettava puhelussa, jos
käsitellään hänen henkilötietojaan.
▪ Tarvittaessa vahva tunnistaminen:
1) jotain mitä olet (nimi, HETU)
2) jotain mitä sinulla on (puh.nro, s.postiosoite)
3) jotain mitä tiedät (salasana, asiakastiedot)
▪ Puhelimitse tehdyt sopimukset vahvistetaan
yleensä myöhemmin kirjallisesti.
▪ Puhelujen nauhoittaminen on sallittua, kun
rekisterinpitäjällä on käsittelyyn oikeusperuste,
esim. asiakassuhteessa rek. pit. oikeutettu etu.
▪ Henkilötietojen käsittelystä on informoitava.
Esimerkiksi nauhoituksesta on kerrottava.
▪ Puhelussa voidaan kertoa, mistä
tietosuojaseloste on luettavissa (nettisivut),
lukea se ääneen tai lähettää se sähköpostitse.

6. Robottipuhelut vaativat suostumuksen
▪ Ihminen soittaa → ei tarvita suostumusta
▪ Robotti aloittaa puhelun ja ihmismyyjä jatkaa
→ ei tarvita suostumusta
▪ Robotti hoitaa koko myynti- tai
markkinointipuhelun
→ kuluttajilta tarvitaan nimenomainen
suostumus robottipuheluille
Lähde: Kilpailu- ja kuluttajavirasto, 14.6.2019, https://www.kkv.fi/ajankohtaista/tiedotteet/robotti-
ei-saa-soittaa-myyntipuheluita-ilman-kuluttajan-suostumusta/
6

7. Sähköinen suoramarkkinointi kuluttajille vaatii yleensä suostumuksen
7
▪ Sähköistä suoramarkkinointia saa lähtökohtaisesti kohdistaa vain henkilöille, jotka ovat
antaneet siihen ennalta suostumuksensa (opt-in).
▪ Myös työosoitteita kuten etunimi.sukunimi@domain.fi pidetään luonnollisen henkilön osoitteina.
▪ Rekisterinpitäjän on pystyttävä osoittamaan, että suostumus on saatu.
▪ Rekisterinpitäjän tulee mm. informoida rekisteröityä henkilötietojen käsittelystä
suoramarkkinointia varten.
▪ Rekisteröidyllä on oikeus milloin tahansa vastustaa henkilötietojensa käyttöä
suoramarkkinointitarkoituksiin. Rekisterinpitäjän on otettava tällainen rekisteröidyn
esittämä pyyntö ilman aiheetonta viivytystä huomioon toiminnassaan.
▪ Suostumusta ei tarvitse pyytää sähköiseen suoramarkkinointiin, kun kaikki seuraavat
edellytykset täyttyvät:
▪ rekisterinpitäjä saa asiakkaan sähköisen yhteystiedon, jota käyttää esim. tekstiviestin tai
sähköpostin lähettämiseen (aiempi asiakkuus); ja
▪ yhteystieto saadaan aikaisemmin ostotapahtuman yhteydessä (viestimuoto); ja
▪ tätä yhteystietoa käytetään myöhemmin ainoastaan samaan tuoteryhmään kuuluvien tuotteiden
tai palveluiden suoramarkkinoinnissa; ja
▪ sähköinen suoramarkkinointi tapahtuu saman rekisterinpitäjän toimesta.
Lähde: Tietosuojavaltuutetun toimisto, ”Milloin asiakkaalle saa lähettää sähköistä suoramarkkinointia ja mitä asioita siinä on otettava huomioon?”, https://tietosuoja.fi/usein-kysyttya-
suoramarkkinointi (viitattu 26.1.2023)

8. Suostumuksen antaminen sähköiseen suoramarkkinointiin
8
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Huoltaja voi myös kieltää lapselle tehtävän suoramarkkinoinnin.
▪ Alle 15-vuotiaalle ei saa suunnata suoramarkkinointia ilman huoltajan suostumusta.
▪ Lapsiin suunnatuksi suoramarkkinoinniksi katsotaan myös vanhemmille osoitetut
mainoskirjeet, joiden ulkoasu on laadittu lapsiin vetoavaan muotoon.
▪ 15–17-vuotiaat voivat itse antaa suostumuksen suoramarkkinointiin. Heille saa
suunnata suoramarkkinointia vain tuotteista, joita on mahdollista hankkia taskurahoilla ja
jotka ovat ikäryhmälle ominaisia.
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/rekisteroidyn-suostumus ja Kilpailu- ja kuluttajavirasto, https://www.kkv.fi/kuluttaja-asiat/lapsi-kuluttajana/lapsiin-
kohdistuva-markkinointi/ (viitattu 26.1.2023)

9. Ennakkotapaus: markkinointiviestit yritysten työntekijöille
9
▪ Suoramarkkinoinnin aiheena olivat erilaiset kurssit, kuten tulityö ja asbestinpurku.
▪ Puhelinnumerot oli ilmeisesti kerätty julkisista lähteistä. Tekstiviestejä lähetettiin runsaasti lyhyessä ajassa.
▪ Mainostaja ei välittänyt osan vastaanottajista ilmoittamasta markkinointikiellosta.
▪ Tapauksessa ratkaistiin se, milloin suoramarkkinointi kohdistuu yhteisölle, ja milloin luonnolliselle
henkilölle. Päätöksen mukaan:
▪ Rekisterinpitäjän olisi tullut erikseen selvittää vastaanottajien asema ja arvioida etenkin se, liittyikö
markkinoinnin aihe (kurssit) olennaisesti henkilöiden työtehtäviin.
▪ Koska suoramarkkinoinnin ei voitu katsoa olleen yhteisöille kohdistettua (vaan luonnollisille
henkilöille), rekisterinpitäjän olisi pitänyt pyytää sähköiseen suoramarkkinointiin suostumus.
▪ TSV:n seuraamuskollegio määräsi yritykselle 7000 euron seuraamusmaksun (3,3 % liikevaihdosta).
→ Johtopäätös: varmista, että vastaanottaja edustaa yhteisöä nimenomaan markkinoinnin aiheeseen
liittyvissä asioissa, jos sähköistä suoramarkkinointia tehdään ilman suostumusta.
Lähde: Tietosuojavaltuutetun toimisto, 5.8.2020, https://tietosuoja.fi/-/yritykselle-seuraamusmaksu-sahkoisen-suoramarkkinoinnin-harjoittamisesta-ilman-ennalta-annettua-
suostumusta-ja-rekisteroidyn-oikeuksien-laiminlyonnista
• Rekisteröidyt kantelivat yrityksen lähettämistä markkinointiviesteistä
(tekstiviesteistä), joihin ei oltu pyydetty suostumuksia.
• Rekisterinpitäjän mukaan vastaanottajien puhelinnumerot olivat sen
asiakassegmenttiin kuuluvien yritysten nimissä.

10. Suoramarkkinointi ja asiakasviestintä GDPR:n kannalta
10
▪ Sähköinen suoramarkkinointi kuluttajille: suostumus (opt-in)
▪ Sähköinen suoramarkkinointi esim. sähköpostit, tekstiviestit ym.
▪ Suostumus pitää saada etukäteen. Mahdollisuus kieltoon ei riitä.
▪ Kerro rekisteröidylle selvästi, jos
▪ markkinoinnissa käytetään automaattista profilointia
▪ tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
▪ Perinteinen ja B2B-suoramarkkinointi: rekisterinpitäjän oikeutettu etu
▪ Perinteinen (”osoitteeton”) suoramarkkinointi puhelimitse ja postitse
▪ B2B-markkinointi esim. yritysten yhteyshenkilöille, mutta aseman oltava varma.
▪ Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus.
▪ Tiedotus: rekisterinpitäjän oikeutettu etu, lainmukaiset tehtävät tai muu peruste
▪ Asiakassuhteen aloittamiseen, lopettamiseen tai sopimukseen liittyvä viestintä
▪ Muut asiakkaan käyttämiin palveluihin ja tuotteisiin liittyvät asiat ja tiedotteet
▪ Tee toimintoja, joilla rekisteröidyt voivat itse valita, mitä viestejä he saavat.

11. Muista markkinointiviesteissä: kieltomahdollisuus ja linkki tietosuojaselosteelle!
Kuva: Pixabay
11
Privacy policy

12. Informointivelvollisuus =
rekisteröidyn oikeus saada läpinäkyvää
tietoa henkilötietojen käsittelystä
12
Lisätietoa: TSV, Rekisteröidyn informointi, https://tietosuoja.fi/rekisteroidyn-informointi
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit

13. Informoi selkeästi henkilötietojen käsittelystä
Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf
13
Pääsy omiin
henkilötietoihin
Tietojen oikaisu Tietojen poisto Käsittelyn
rajoittaminen
Käsittelyn
vastustaminen
Tietojen siirto
toiseen järj.
Automaattinen
päätöksenteko
Oikeus valittaa
valvonta-
viranomaiselle
Käsittelyn
oikeusperuste
Tietojen
säilytysaika
Käsiteltävät
henkilötiedot
Henkilötietojen
käsittelijät
Tietojen siirto
kolmansiin maihin
Tietosuojavastaavan
yhteystiedot
Rekisterinpitäjä ja
yhteystiedot

14. Rekisteröidyn oikeudet Suostumus sähköiseen
suoramarkkinointiin
Oikeutettu etu esimerkiksi B2B-
markkinoinnissa
Oikeus saada tietoa henkilötietojen
käsittelystä
Kyllä Kyllä
Oikeus saada pääsy tietoihin Kyllä Kyllä
Oikeus oikaista tietoja Kyllä Kyllä
Oikeus poistaa tietoja Kyllä Kyllä
Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä
Oikeus vastustaa tietojen käsittelyä Ei (suostumuksen voi perua) Kyllä
Oikeus siirtää tiedot järjestelmästä
toiseen
Kyllä, jos käsittely tapahtuu
autom. ja tiedot on saatu
rekisteröidyltä itseltään
Ei
Oikeus olla joutumatta autom.
päätöksenteon ml. profiloinnin
kohteeksi ilman laillista perustetta
Rekisteröity voi antaa erikseen
suostumuksen automaattiseen
päätöksentekoon ja profilointiin
GDPR ei salli tällä perusteella
automaat. päätöksentekoa, jolla on
merkittäviä vaikutuksia rekisteröityyn
Oikeus valittaa
valvontaviranomaiselle
Kyllä Kyllä
Rekisteröityjen oikeudet sähköisessä markkinoinnissa
Lähteet: GDPR, Tietosuoja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
14

15. Henkilötietojen vastaanottajia ovat kaikki, joille
rekisterinpitäjä luovuttaa tietoja tai jotka
käsittelevät niitä rekisterinpitäjän lukuun.
15

16. Sähköiset markkinointialustat ja profilointi

17. Google on
todennäköisesti
”räätälöinyt mainoksesi”
kymmenillä eri
datapisteillä.
Ikä, sukupuoli, perhetilanne, ammatti,
harrastukset, tuotteet, matkat,
kiinnostuksen kohteet jne.
Täällä voit tarkistaa tietosi ja asetukset:
https://myadcenter.google.com/
17

18. Eniten henkilötietoja kerääviä yrityksiä
Useimmin kerättyjä tietoja:
▪ Sähköpostiosoite
▪ Nimi
▪ Syntymäaika/ikä
▪ Sukupuoli
▪ Kielet
▪ Reaaliaikainen sijainti
▪ Kotiosoite
▪ Työtilanne
▪ Puhelinnumerot
▪ Puhelimen ja muiden laitteiden mallit
▪ Kiinnostuksenkohteet
▪ Pankkikortin tiedot
▪ Sosiaalinen profiili ja verkostot
▪ Kännykän kontaktilista
▪ Kännykän kuvagalleria
▪ Kasvojen, paikkojen ja tuotteiden
tunnistus kuvista
Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022,
https://clario.co/blog/which-company-uses-most-data/
18

19. Erota oma ja ulkopuolinen rekisteri
19
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(toinen rekisterinpitäjä tai
henkilötietojen käsittelijä)
Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle tai
verkkopalvelulle vain, jos
1) palvelun kanssa on sopimus henkilötietojen käsittelystä
2) tai luovutukseen on saatu rekisteröidyn suostumus.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite tulee
rekisteröidyltä. Tätä voidaan pitää
suostumuksena ko. palvelun käyttöön.
Jos henkilötietoja kerätään
ulkopuolisen palvelun kautta, siihen
tulee olla oikeusperuste. Samalla
pitää hoitaa informointivelvollisuus.

20. Monet yritykset vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalustan kautta.
Voit tarkistaa tietosi
Facebookin mainosasetusten
”Kohderyhmään perustuva
mainonta” -kohdasta:
https://www.facebook.com/a
dpreferences/ad_settings
20
Ei käy ilman
suostumusta!

21. “
Mainonnan kohteena oleville henkilöille on kerrottava, miksi heille
kohdennetaan tietoa, kuka vastaa mainonnasta ja miten he voivat
käyttää tietosuojaoikeuksiaan.
Jos tietosuojasäännöksiä ei noudateta, kohdennettu mainonta ja
profilointi voivat aiheuttaa vakavia riskejä yksityisyyden suojalle ja
demokratialle. Cambridge Analytica -tapaus osoitti, että henkilötietojen
suojan rikkominen voi vaikuttaa myös muihin perusoikeuksiin, kuten
mielipiteenvapauteen ja mahdollisuuteen ajatella vapaasti ilman
manipulointia.
21
Lähde: Silloinen tietosuojavaltuutettu Reijo Aarnio, 23.9.2019,
https://tietosuoja.fi/-/kohdennettu-poliittinen-mainonta-voi-olla-riski-perusoikeuksille-ja-demokratialle-myos-sosiaalisen-median-kautta-kerattyjen-henkilotietojen-kasittelys

22. GDPR:n tarkoittama profilointi
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
4 artikla
4) ’profiloinnilla’ mitä tahansa henkilötietojen
automaattista käsittelyä, jossa henkilötietoja
käyttämällä arvioidaan luonnollisen henkilön tiettyjä
henkilökohtaisia ominaisuuksia, erityisesti
analysoidaan tai ennakoidaan piirteitä, jotka liittyvät
kyseisen luonnollisen henkilön työsuoritukseen,
taloudelliseen tilanteeseen, terveyteen,
henkilökohtaisiin mieltymyksiin, kiinnostuksen
kohteisiin, luotettavuuteen, käyttäytymiseen,
sijaintiin tai liikkeisiin,
Profilointiin ja automaattiseen päätöksentekoon tarvitaan suostumus tai sopimus, jos
sillä on oikeusvaikutuksia tai se vaikuttaa muulla tavoin rekisteröityyn merkittävästi.
22

23. Jos mainonnassa käytetään kehittynyttä profilointia ja automatiikkaa…
Lähde: Tietosuojavaltuutetun toimisto,
https://tietosuoja.fi/automaattinen-paatoksenteko-profilointi (7.10.2020)
23

24. 24
Facebookin
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
synt.aika, kaupunki, laitetunniste ym.
Googlen
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Markkinointi manuaalisesti
valituille kohderyhmille.
Markkinoinnissa käytetään profilointia ja autom. päätöksiä → suostumus! Ei profilointia
Twitterin
räätälöidyt yleisöt
Sähköposti, laitetunniste,
Twitter-tunnus, Twitter-ID
Datan
kerääjät,
hallinnoijat ja
myyjät
LinkedInin
vastaavat yleisöt
Nimi, sähköposti,
laitetunniste, yritys, ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät

25. Kohdennettu mainostaminen Facebookissa ja Instagramissa
Mainoksen kohdennus:
▪ Ikä ja sukupuoli
▪ Sijainti
▪ Kiinnostuksenkohteet
▪ Retargetointi: kotisivuille
asennetun mainospikselin
avulla mainoksia voidaan
näyttää niille, jotka kävivät
nettisivuillanne
▪ Mainoksia voidaan näyttää
myös niille, jotka
muistuttavat nettisivujen
kävijöitä
25

26. Meta-pikseli
26
▪ Meta-pikseli on nettisivuille
liitettävä seurantakoodi, jolla
välitetään tietoa nettisivujen
vierailijoista Metan
mainosalustalle.
▪ Pikselin avulla voidaan tehdä
uudelleenmarkkinointia
sivujen vierailijoille tai luoda
mainokselle kohderyhmä,
joka muistuttaa sivuston
vierailijoita
▪ Huom. pikselin käyttö
nettisivuilla edellyttää
vierailijoiden suostumusta
Metan seurannalle ja
evästeiden käytölle (GDPR)
Meta-pikselin luonti Business Suitessa: Kaikki työkalut → Asetukset →
Yrityksen resurssit → Lisää → Pikselit → Meta-pikseli

27. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics
2. Selain lähettää Googlelle:
selaimen tiedot + sivun tiedot + Googlen evästeet
27
Sivulle ladataan
Google Tag
Managerin skripti
1
Sivulle ladataan
Google
Analyticsin skripti
2
Google seuraa kävijän
toimintaa sivustolla
ja rikastaa sillä tästä
kerättyä profiilia
3
Oy-yritys-ab.com
4. Google palauttaa selaimelle
kävijäseurantaskriptin ja uudet evästeet
3. Google
tunnistaa
käyttäjän* ja
kerää tiedot
1
*) Käyttäjän ei tarvitse olla
kirjautuneena, jos Googlen
eväste on jo laitteella.
1. Käyttäjä
avaa yrityksen
verkkosivun
2
3
5. Kaikki talteen
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-
1234567-8"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-1234567-8');
</script>
Pyydä suostumus kaikille
ei-välttämättömille evästeille!

28. Ennakkotapaus: Google Analyticsin käyttö verkkosivujen kävijäseurantaan
28
▪ Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle.
▪ Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita.
▪ Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa.
▪ Päätöksessä viitataan EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin
siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla on pääsy niihin. Lisäksi
rekisteröidyillä ei ole Yhdysvalloissa käytössä riittäviä oikeussuojakeinoja.
▪ Päätös ei ottanut kantaa, voisiko henkilötietojen siirrossa Yhdysvaltoihin käyttää GDPR:n 49 artiklan
poikkeusta kuten rekisteröityjen nimenomaista suostumusta. Jos niin tehtäisiin, tulisi:
▪ A) pyytää erikseen suostumus kaikkiin eri käyttötarkoituksiin ja henkilötietojen siirtoon Yhdysvaltoihin.
▪ B) kertoa, miten eri tahot käyttävät henkilötietoja ja mitä riskejä siihen liittyy.
→ Johtopäätös: Käytännössä päätös tekee selväksi, että Google Analyticsia ei tulisi enää käyttää EU:ssa.
Lisätietoa: Innowise, 24.3.2023, Onko Google Analytics 4 -kävijäseuranta GDPR:n mukainen? Mitä GA:n tilalle?,
https://www.innowise.fi/fi/onko-google-analytics-4-kavijaseuranta-gdprn-mukainen/
• Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan
käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa.
• Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3)
tietojen siirtoon ETA-alueelta Yhdysvaltoihin.

29. Mitä eri suostumuksia pitää tarvittaessa pyytää verkon mainosalustojen käytölle?
▪ Kun henkilötietoja aiotaan käyttää sähköiseen suoramarkkinointiin.
⬞ → Suostumus, jos markkinointi kohdistuu kuluttajille (=aihe ei liity henkilöiden työrooliin).
▪ Kun käytetään profilointia, jolla voi olla merkittäviä vaikutuksia rekisteröityyn.
⬞ → Suostumus profiloinnille sähköisen markkinoinnin kohdentamista varten.
▪ Kun käytetään luovutetaan henkilötietoja taholle tai käytetään henkilötietojen käsittelijää,
joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin.
⬞ → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.
▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille.
⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.
▪ Kerrotaan kaikkien suostumusten yhteydessä mahdollisista riskeistä.
▪ Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta.
29

30. 30
Lähde: Information is beautiful, 9/2022, https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

31. Esimerkki: MailChimpin tietovuoto
▪ MailChimp on laajasti käytetty
sähköpostimarkkinointityökalu.
▪ Hakkeri oli päässyt 11.1.2023 Mailchimpin
hallintajärjestelmään ”sosiaalisen
manipuloinnin” avulla käyttäen
työntekijöiden käyttäjätunnuksia.
▪ Hakkeri pääsi käsiksi 133 Mailchimpin
asiakkaan tunnukseen. Yksi vuodon
kohteista oli esimerkiksi suosittu
verkkokauppajärjestelmä WooCommerce.
▪ Murtautuja sai käsiinsä yritysten
markkinointirekistereissä olevien nimet ja
sähköpostiosoitteet.
▪ Lukumääriä ei ole julkaistu, mutta
todennäköisesti kyse on vähintään
kymmenistä tuhansista henkilöistä.
▪ Viimeksi Mailchimpille kävi samalla tavalla
elokuussa 2022.
Lähde: TechCrunch, 18.1.2023, https://techcrunch.com/2023/01/18/mailchimp-hacked/
Mailchimpin tiedote: https://mailchimp.com/en-gb/january-2023-security-incident/
31

32. 32
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!