rebecca-aldama-660180-unsplash

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat, jotka tarjoavat kanta-asiakasohjelmia.

Selvityksessä tarkasteltiin seuraavia kohtia:

  • Henkilötietojen käsittelyn oikeudelliset edellytykset
  • Käsiteltyjen henkilötietojen määrä
  • Rekisteröidylle toimitetut tiedot
  • Rekisteröidyn kieltäytyminen henkilötietojen käsittelystä suoramarkkinointia varten
  • Henkilötietojen säilyttämisen ehdot

Selvityksessä käsiteltiin 12 eri tapausta, joissa 11 löydettiin henkilötietojen käsittelyyn liittyviä tietoturvaloukkauksia. Selvityksen jälkeen, esiin nostettiin useita ehdotuksia kanta-asiakasohjelmien asiakkaiden henkilötietojen käsittelyn ja tietoturvan parantamiseksi. Ehdotuksien toivotaan auttavan ymmärtämään, miten virheitä voitaisiin ehkäistä kun henkilötietoja käsitellään GDPR:n vaatimusten mukaisesti.

Yrityksen oikeutettu etu ei saa toimia perustana suoramarkkinoinnille

Useat yritykset, jotka käsittelivät henkilötietoja suoramarkkinointia tai profilointia varten käyttivät käsittelyn perustana kohtuuttoman usein oikeutettua etua. Oikeutettua etua ei voida pitää henkilötietojen käsittelyn laillisena perustana läheskään kaikissa tapauksissa. Useimmissa tapauksissa rekisteröidyn (asiakkaan) edut ovat rekisterinpitäjän etuja tärkeämmät. Henkilötietoja voidaan käsitellä suoramarkkinoinnissa vain rekisteröidyn suostumuksella.

Ylimääräisen tiedon kerääminen

Tutkimuksen aikana havaittiin, että lähes 40 prosenttia yrityksistä kerää tietoa liian paljon suhteessa sen alkuperäiseen tarkoitukseen. Esimerkiksi kanta-asiakkaiden antaessa tietonsa asiakassuhteen muodostamiseksi, kysytään asiakkailta heidän tarkkaa syntymäaikaansa. Tietosuojaviranomaiset uskovat, että asiakassuhteen luomiseksi riittäisi pelkästään syntymävuosi ja ikä. Ylimääräisen tiedon kerääminen asiakkaasta katsottiin tarpeettomaksi, ellei se ole välttämätöntä kanta-asiakkuuden luomiseksi.

Tiedon siirto kolmansille osapuolille

Suurimmassa osassa tapauksia, yritykset eivät ilmoittaneet henkilötietojen siirrosta kolmansille osapuolille. Näin ollen, asiakkaat saavat harhaanjohtavaa ja epätarkkaa tietoa henkilötietojensa käsittelystä ja siitä mihin heidän tietonsa lopulta päätyvät.

Suoramainonnan estäminen

Rekisteröidyillä on oltava mahdollisuus kieltäytyä suoramarkkinoinnista. Jotkut selvityksessä mukana olleista yrityksistä eivät kuitenkaan tarjoa selkeitä, ilmaisia tai helppokäyttöisiä vaihtoehtoja estää suoramarkkinointia.

Henkilötietojen tallentamisen ja säilyttämisen ehdot

Yli 60 prosentilla selvityksessä mukana olleista yrityksistä oli ongelmia henkilötietojen tallentamisen ja säilyttämisen ehtojen osalta. Joillakin yrityksillä ei ollut tarvittavia ehtoja tai sopimusta tietojen säilyttämiseen tai ehdoissa oli kohtuuttoman pitkä säilytysaika.

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja, joita yritys käyttää tuotteidensa tai palveluidensa...

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data