Nyt puhututtaa GDPR eli EU:n tietosuoja-asetus

1024 576 Meri-Tuuli Nevala

Tiedätkö mitä tarkoittaa GDPR? Tai EU:n tietosuoja-asetus?

GDPR (General Data Protection Regulation) eli suomeksi EU:n tietosuoja-asetus tuntuu olevan nyt kaikkien (tai ainakin kaikkien henkilötietoja käsittelevien) huulilla, ja siitä tuotetaan tasaiseen tahtiin tietoutta.

Paljosta puheesta huolimatta tietosuoja-asetuksen käytännön vaikutukset yrityksille ovat vielä jossain määrin spekulaatiota vakiintuneiden käytänteiden puuttuessa.

Keräsin tähän kirjoitukseen mielestäni hyviä kirjoituksia aiheesta, ja pyrin avaamaan niitä kohtia, jotka itse koen tärkeimmiksi myynnin ja markkinoinnin näkökulmasta. On kuitenkin syytä huomioida, että tietosuoja-asetus on laaja kokonaisuus, johon tulisi perehtyä yrityksen kaikkien toimintojen kannalta, ei pelkästään myynnin ja markkinoinnin näkökulmasta.

 

Mikä tietosuoja-asetus ja miksi?

EU:n tietosuoja-asetus on EU:n laajuinen asetus, joka tulee korvaamaan EU:n henkilötietodirektiivin johon Suomessa nykyisin sovellettava henkilötietolaki perustuu. Tietosuoja-asetus on astunut voimaan jo vuosi sitten ja nyt elämme siirtymäaikaa, jonka jälkeen asetuksen soveltaminen alkaa. Siirtymäaika päätttyy 25.5.2018.

Yksi GDPR:n tavoitteista on yhtenäistää henkilötietojen käsittelyä EU alueella. Tämä helpottaa unionin sisällä tapahtuvaa kaupankäyntiä, kun toimijoiden ei tarvitse huomioida jokaisen maan omaa henkilötietolakia, vaan kaikki noudattavat samoja sääntöjä.

Uusi asetus tuo tietosuojan koskettamaan laajemmin koko yrityksen toimijoita. Nykyisin henkilötietojen käsittely ja tietosuoja ovat usein vain tietohallinnon projekteja, mutta tulevaisuudessa niiden käsittelyyn tulisi kiinnittää huomiota laajemmin yrityksessä. Esimerkiksi myynnin ja markkinoinnin tulee jatkossa ottaa entistä enemmän huomioon henkilötietoihin liittyvät asetukset, myös b2b-myynnin ja -markkinoinnin alueilla.

Kokonaisuudessaan suomenkielisen käännöksen tietosuoja-uudistuksesta löydät täältä.

Tietosuoja-asetuksen tarkoituksena on yhtenäistää EU:n henkilötietolainsäädäntöjä ja tuoda ne digiaikaan.

 

EU:n tietosuoja-asetuksen keskeisimmät muutokset nykyiseen lakiin verrattaessa

Tietosuojavaltuutetun toimisto nostaa verkkosivuillaan esiin viisi osa-aluetta tietosuoja-asetuksesta, jotka helpottavat yksityishenkilön henkilötietojen käsittelyn kontrollointia:

  • Oikeus tulla unohdetuksi: Kun käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoitus on taata kansalaisten yksityisyydensuoja, ei hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta.
  • Tiedonsaanti helpottuu: Ihmiset saavat tietoa siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla. Oikeus siirtää omat tietonsa tietojärjestelmästä toiseen helpottaa henkilötietojen siirtämistä palveluntarjoajalta toiselle.
  • Oikeus saada tieto tietoturvaloukkauksesta: Yritysten ja organisaatioiden on raportoitava kansalliselle tietosuojaviranomaiselle tietoturvaloukkauksista. Käyttäjille on ilmoitettava vakavista loukkauksista mahdollisimman pian, jotta nämä voivat ryhtyä tarvittaviin toimiin,.
  • Sisäänrakennettu ja oletusarvoinen tietosuoja: Tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa, ja yksityisyydensuojaa edistävät oletusarvot (asetukset) ovat automaattisesti käytössä esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa.
  • Tiukemmat seuraukset rikkomuksista: tietosuojaviranomaiset voivat antaa EU-sääntöjä rikkovalle yritykselle sakon, joka on jopa neljä prosenttia yhtiön maailmanlaajuisesta liikevaihdosta.

Uusi tietosuoja-asetus helpottaa tiedonsaantia henkilötietojen käsittelystä sekä tietoturvaloukkauksista, parantaa tietosuojaa ja tuo myös mukanaan tiukemmat seuraamukset rikkomuksista.

 

Miten EU:n tietosuoja-asetus määrittelee henkilötiedon ja niiden käsittelyn?

Uusi tietoturva-asetus määrittelee henkilötiedon seuraavasti:

’henkilötiedolla’ (tarkoitetaan) kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön , jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

 

Tietosuoja-asetuksen määritelmän mukaan henkilötieto on siis hyvinkin laaja ja verrattuna nykyisin voimassa olevan henkilötietolain määritelmään henkilötiedon käsite laajenee reippaasti kun mm. verkkotunnistetiedot lasketaan henkilötiedoiksi.

Myös henkilötietojen käsittely määritetään suhteellisen laajaksi toiminnaksi:

’käsittelyllä’ (tarkoitetaan) toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

 

Koska henkilötiedon ja henkilötietojen käsittelyn määritelmät ovat hyvinkin laajat, käsitellään näiden määritelmien puitteissa henkilötietoja lähes jokaisessa yrityksessä.

Henkilötietojen käsittelylle voi olla lakisääteinen peruste tai velvoite, kuten esimerkiksi yrityksen työntekijästä kerättävät tiedot, mutta niitä voidaan käsitellä myös esimerkiksi myynti- ja markkinointitarkoituksiin.

Lue lisää: Yrittäjät.fi kertoo, miksi jokaisen yrittäjän tulisi olla tietoinen tietosuoja-uudistuksesta

Henkilötiedon määritelmä laajenee ja lainsäädäntö tulee koskettamaan laajemmin koko yrityksen toimintoja.

 

Henkilötietojen käsittelijällä osoitusvelvollisuus

Uuden asetuksen myötä henkilötietojen käsittelijän tulee kuvata läpinäkyvämmin ja selkeämmin kerättyjen henkilötietojen käyttötarkoitukset. Henkilötietojen käsittelijän tulee myös pystyä osoittamaan tietosuojaviranomaisille, että tietosuoja-asetusta noudatetaan.

Tietosuoja-asetuksessa määritetään seuraavat vaatimukset, joita henkilötietojen suhteen on noudatettava:

  1. niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);
  2. ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”);
  3. henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);
  4. henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

Tietosuoja-asetuksen suhteen ei riitä, että kertoo noudattavansa lakia, vaan rekisterin pitäjän tai henkilötietojen käsittelijän on pystyttävä konkreettisesti osoittaamaan, että tietosuoja on huomioitu ja sääntöjä noudatetaan. Selkeästi kuvatut ja dokumentoidut prosessit henkilötietojen käsittelystä auttavat tässä.

Lue lisää: ASML:n blogi – Tietosuoja-asetus for dummies – 10 askeleen ohjelma.

Rekisterinpitäjällä ja henkilötietojen käsittelijällä on osoitusvelvollisuus: heidän tulee pystyä osoittamaan että lakia noudatetaan.

 

Henkilötietoja on käsiteltävä lainmukaisesti

Kuten nykyisinkin, myös tulevaisuudessa, henkilötietojen käsittelyn on tapahduttava lainmukaisesti. Tietosuoja-asetuksessa henkilötietojen käsittelyn lainmukaisuudesta sanotaan seuraavaa:

  1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
    1. Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
    2. Käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
    3. Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
    4. Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
    5. Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
    6. Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja vapaudet syrjäyttävät tällaiset edut, erityisesti jo rekisteröity on lapsi.

Ensimmäinen kohta, suostumuksen saaminen henkilötietojen käsittelyyn, on selkein tapa käsitellä henkilötietoja lainvoimaisesti. Kuitenkin, esimerkiksi asetuksen resitaalissa  47 sanotaan, viitateen kohtaan 6, seuraavaa:

”Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.”

Tähän 6:nen alakohdan soveltamiseen liittyy kuitenkin velvollisuus tiedottaa henkilöä hänen oikeudestaan vastustaa henkilötietojen käsittelyä, ja mikäli henkilö käyttää tätä oikeuttaan ja vastustaa käsittelyä, ei henkilötietoja saa käsitellä. Teoriassa siis esimerkiksi suoramarkkinoinnin tekeminen on mahdollista, mutta henkilön on nykyistä huomattavasti helpompi kieltää tämä.

Tietojen minimointi on myös yksi tietosuoja-asetuksen perusteista. Tulee siis vain kerätä sellaisia tietoja, jotka ovat käyttötarkoitukseen nähden oleellisia. Tämä herättääkin etenkin myynnin, markkinoinnin ja asiakassuhteiden hallinnan osalta kysymyksen siitä, mitkä tiedot ovat oleellisia.

Esimerkiksi tapahtuma-ilmoittautumisen yhteydessä, mitkä tiedot ovat oleellisia kerätä henkilöstä, ja tuleeko hänen tiedot poistaa välittömästi tapahtuman jälkeen? Entä saako henkilölle toimittaa tietoa esimerkiksi vastaavista tapahtumista, vai tuleeko tähän saada erikseen henkilöltä lupa?

Lue lisää: Myynti ja Markkinointi – Tarkkuutta asiakasrekistereihin – uusi tietosuoja-asetus tulossa

Rekisteröidyn suostumus henkilötietojen käsittelyyn on varmin tapa varmistaa henkilötietojen käsittelyn lainmukaisuus.

 

Laiminlyönneistä rokotetaan

Yksi suurimmista, ja mahdollisesti tuntuvimmista, muutoksista on laiminlyönneistä aiheutuvat rangaistukset. Tietosuojan laiminlyönneistä voidaan rangaista tuntuvilla sakoilla jotka ovat enintään neljä prosenttia yrityksen liikevaihdosta tai enintään 20 miljoonaa euroa.

Tekniikka&talous -lehden artikkelissa tietosuojavaltuutettu Reijo Aarnio myös linjaa, että siirtymäajan jälkeen sakkoja tullaan myös tarvittaessa määräämään.

Lue lisää: Tekniikka&talous – EU:n tietosuoja-asetus vaatii isot muutokset – suuri osa yrityksistä ei varautunut

Sanktiot rikkomuksista voivat olla jopa neljä prosenttia yrityksen kansainvälisesti liikevaihdosta tai enintään 20 miljoonaa euroa.

 

Ikupotkuraivarit vai mitä seuraavaksi?

Itkupotkuraivari ei tietosuoja-asetuksen suhteen auta. EU:n tietosuoja-asetus on hyväksytty ja astunut voimaan ja sen soveltaminen alkaa vuoden 2018 toukokuussa.

Jos et vielä ole tutustunut asetukseen tai miettinyt miten se vaikuttaa yrityksesi toimintaan, kannattaa aloittaa esimerkiksi tuosta alussa mainitsemastani Tietosuojavaltuutetun toimiston luomasta oppaasta. Ja sehän löytyi täältä.

Tietosuojavaltuutetun toimiston tammikuun lopussa julkaisema opas: ”Miten valmistautua EU:n tietosuoja-asetukseen?” antaa myös hyviä neuvoja ja ohjeita.

Myyntiin ja markkinointiin, kuten muuhunkin liiketoimintaan, uusi asetus varmasti tuo alkuun lisää työtä, uuden oppimista ja soveltamista, mutta ainakin itse uskon että läpinäkyvämpi ja tietoturvallisempi henkilötietojen käsittely lisää molemminpuolista luottamusta ja ymmärrystä.

Kun yritykset joutuvat miettimään laajemmin ja tarkemmin, mitä tietoja ja mihin tarkoituksiin he keräävät ja huolehtimaan tietojen käsittelyn tietoturvallisuudesta, yksittäisten henkilöiden voi olla helpompi luovuttaa tietojaan esimerkiksi markkinointitarkoituksiin.

Loppujen lopuksi asetuksen tarkoituksena on kuitenkin parantaa meidän jokaisen tietosuojaa sekä mahdollisuutta kontrolloida sitä, mitä tietoja meistä missäkin yhteydessä käsitellään.

Mikä sinua askarruttaa EU:n tietosuoja-uudistuksessa tai mikä mielestäsi on sen suurin vaikutus myyntiin ja markkinointiin? Oletko tutustunut jo asetukseen syvällisemmin, vai onko asetus vielä täysin tuntematon? Kommentoi alle!

 

AUTHOR

Meri-Tuuli Nevala

Meri-Tuuli on inbound strategist ja digitaalisen median osaaja. Hänen koulutustaustansa on informaatiotutkimuksen ja interaktiivisen median parista Tampereen Yliopistosta. Meri-Tuulin intohimona on käytettävyys, hakukoneoptimointi ja analytiikka. Käyttäjä- ja teknologiaorientituneella otteellaan Meri-Tuuli tuottaa toimivaa ja tehokasta sisältöä asiakkaiden markkinointikampanjoihin. Twitter: MeriTuuliNevala LinkedIn: Meri-Tuuli Nevala

All stories by: Meri-Tuuli Nevala

Leave a Reply

Your email address will not be published.