GPDR: 10 uutta tietosuojasääntöä, jotka markkinoijan pitää tietää

/ Petri Räsänen

EU:n uusi tietosuoja-asetus kulkee nimellä GDPR. Sen astuessa voimaan toukokuussa 2018 moni asia muuttuu. Lue kymmenen uutta asiaa, jotka sinun markkinoijana pitää ymmärtää.

Tietosuoja-asetus koskee kaikkia jäsenmaita 25.5.2018 alkaen. Myös EU:n ulkopuolisten yritysten on noudatettava lain vaatimuksia EU:ssa toimiessaan. 

Lyhykäisyydessään kyse on yksityisyydensuojan tiukennuksesta ja aiempaa tarkemmasta säätelystä markkinointirekisterien sekä henkilötietojen keräämisessä. 

Toisaalta laki mahdollistaa henkilötietojen vapaamman liikkuvuuden EU:n alueella ja yhtenäistää kansallisia käytäntöjä.  Ajatuksena on, että henkilö voi esimerkiksi pyytää tietojensa siirtoa kilpailevan yrityksen järjestelmään ja näin kilpailuttaa yrityksiä aiempaa vapaammin – myös kansallisten rajojen yli.

Laki on paikoin tiukka. Laissa näkyy, kuinka huolissaan monissa EU-maissa ollaan yksityisyydensuojasta ja kuinka vähän niissä luotetaan alan toimijoiden itsesäätelyyn. Suomalaisille yrityksille uusi laki tuo tarpeettomaltakin kuulostavaa byrokratiaa. 

Epävarmuutta tuo myös pykälien tulkinta – oikeuskäytäntöä ei vielä ole ja kansallisten viranomaistenkin ohjeistus on vasta rakentumassa. Soveltamisohjeita tulee vielä ennen lain voimaantuloa ainakin EU-komissiolta ja EU:n tietosuojaneuvostolta.

Säädöksiä on kuitenkin noudatettava. Mokailusta syntyy maineriski, joka voi somessa ryöpsähtää isoksi ongelmaksi. Tässä kymmenen perehtymisen arvoista asiaa, joihin GDPR-asetus vaikuttaa:

 

1. Asiakkaiden, käyttäjien ja yleisöjen yksityisyydensuoja kasvaa

Laki pyrkii luomaan ihmisille tiedollisen itsemääräämisoikeuden. Ihminen voi entistä tarkemmin päättää, mihin hänen tietojaan saa käyttää tai mihin hän itse haluaa niitä siirrettävän. Ihmiset saavat oikeuden saada etukäteistieto tietojen keräämisestä ja käsittelystä; oikeuden päästä tietoihinsa; oikeuden rajoittaa ja vastustaa tietojensa käsittelyä; oikeuden poistaa tietojaan sekä oikeuden siirrättää tietojaan. 

 

2. Rekisterinpitäjän vastuut ja velvoitteet laajenevat

Kaikilla yrityksillä on rekistereitä. Ne voivat olla asiakasrekistereitä, markkinointirekistereitä tai nettisivujen kävijöistä kerättäviä analytiikkatietoja. Yritysten on aiempaa laajemmin kerrottava asiakkailleen, mihin heidän tietojaan kerätään ja millaisiin tarkoituksiin niitä käytetään. Tietojen käytöstä ja tulevasta käsittelystä on informoitava etukäteen. Ihmisillä on laajat oikeudet kieltää osittain tai kokonaan henkilötietojensa käsittely. Verkkokäyttäjillä on halutessaan oikeus pysyä tunnistamattomana. 

 

3. Markkinointikontakteista ja asiakkaista kerättäviä tietoja rajoitetaan

Tiukimmin tulkittuna uusi laki sanoo, että nimen ja yhteystietojen lisäksi voit ilman eri lupaa tallettaa henkilöstä yhden (1) muun tiedon. Käytännössä tämä tarkoittaisi, että asiakkaasta, jonka palvelemiseksi ei tarvita muuta kuin perustiedot, ei saa tallettaa mitään muuta tietoa, vaikka tätä muuta tietoa olisi helposti saatavilla. 

 

4. Tietojen käyttö on suunniteltava ja dokumentoitava etukäteen

Ei riitä, että noudatat lakia. Se on myös osoitettava dokumenteilla, jotka teet ennen käyttöä. Esimerkiksi kaikki markkinointirekisteriisi perustuvat seulonnat, joiden perusteella kohdennat markkinointitoimenpiteitä, edellyttävät kirjaamista, josta selviää tarkoitus, ajankohta, tietojen käsittelijä, toimipakka ja merkintä siitä, mihin tämän toimenpiteen kirjaustieto on varastoitu.

 

5. Tietosuojavastaava joutuu oikeasti vastuuseen – mutta niin joutuu jokainen muukin tietojen käsittelijä

Asiattomasta tietojen käytöstä tuomittu henkilö on Suomessa saanut tähän saakka lähinnä vähäisiä päiväsakkoja. GDPR-säädökset tiukentavat vastuuta ja sanktioita. Yritykseesi valitun tietosuojavastaavan täytyy nyt aidosti tietää, kuinka lakia noudatetaan ja ajaa sen vaatimia muutoksia. Asiantuntija-apua kannattaa ja pitää käyttää. Jokainen, joka käsittelee henkilötietoja, on vastuussa toiminnastaan.  

 

6. Yritys on vastuussa myös alihankkijoidensa suorittamasta tietojen käsittelystä

Olennaista on ymmärtää, että tätä vastuuta ei voi sopimusteitse purkaa. Jos olet laatinut tiukan sopimuksen, joka velvoittaa alihankkijasi noudattamaan kaikkia uuden tietosuoja-asetuksen säädöksiä pilkulleen, ja alihankkijasi siitä huolimatta sössii, sinä olet vastussa. Voit toki hakea korvauksia alihankkijaltasi, mutta se on erillinen, kahden yrityksen välinen riitaprosessi. Omaa vastuutaan ei voi siirtää ja siksi kaikkien yritysten on syytä todella ymmärtää, mistä GDPR-säädöksissä on kysymys. Käytännössä tämä edellyttää auditointeja, joilla varmistat alihankkijasi kyvyn toimia lain määräämällä tavalla. 

 

7. Ihmiset saavat oikeuden vastustaa henkilötietojensa käsittelyä

Käytännössä tämä johtaa tilanteisiin, jossa vain tietojen käsittelyn sallivat asiakkaat saavat täyttä palvelua. Vasta oikeustapaukset lopulta selventävät, pitääkö yrityksen tästä huolimatta ottaa asiakkaikseen myös henkilöitä, jotka kieltävät tietojensa kaikenlaisen käsittelyn. Kuten tähänkin asti, henkilö voi myös aina vastustaa tietojensa käsittelyä suoramarkkinointiin.

 

8. Ihmiset saavat oikeuden siirrättää tietonsa yrityksestä toiseen

Kyse ei ole siitä, että mitä tahansa tietoja voi siirtää. Yrityksillä säilyy oikeus luoda tietosisältöjä, jotka ovat niiden intellektuaalista omaisuutta ja joita siirto-oikeus ei koske. Rajanveto voi olla kuitenkin hankalaa. On helppo siirrättää esimerkiksi perusvakuutuksia koskevat tiedot yhtiöstä toiseen. Mutta entä, kun kyse on terveyspalveluyrityksen tekemästä lääkätieteellisestä hoitodiagnoosista ja –suunnitelmasta? Onko se intellektuaalista omaisuutta? Käytännössä tämän lakipykälän rajat testataan oikeustapauksilla.

 

9. Ihmiset saavat oikeuden profiloinnin kieltämiseen

Jos profiloit ihmisiä, ja tarjoat sen perusteella esimerkiksi eri hintaisia lainoja tai vakuutuksia tai terveyspalveluja, joudut tekemään etukäteen kirjallisen vaikutusarvioinnin – sekä lopettamaan profiloinnin, jos ihminen kieltää sen. Lue lisää profiloinnista ICO:n teettämästä selvityksestä.

 

10. Automatisointi on käytännössä ainoa keino hoitaa lain velvoitteet tehokkaasti

Laajamittaiset ja aktiivisesti käytettävät rekisterit edellyttävät tuekseen automatisoitua järjestelmää. Kuten yllä luetellut kymmenen kohtaa osoittavat, manuaalinen käsittely olisi työlästä. Epätodennäköisenä, mutta erityisesti suuryrityksille todellisena uhkana on se, että manuaalinen käsittely menee helposti tukkoon, jos asiakkaat keksivät vaikkapa tehdä “käsittelyhyökkäyksen” ja pyytävät laajasti tietojaan nähtäville. Siksi isoja asiakasmassoja käsittelevät yritykset joutuvat käytännössä luomaan tai hankkimaan automatisoidun tietojärjestelmän GDPR-vaateiden toteuttamiseen.

Tarvitsetko lisätietoja GDPR-tietosuoja-asetuksesta? Lue lisää aiheeesta täältä.