Siis mikä GDPR?

Jengan 19.4. asiakkailleen järjestämä GDPR-aamiaistilaisuus saavutti suuren suosion. Tapahtumassa pureuduttiin 25.5.2018 voimaan tulevaan GDPR-asetukseen vaatimuksiin erityisesti markkinoinnin näkökulmasta asianajotoimisto Klingendahlin Kari Koskisen ja Pirkka Katajalan johdolla. Tulevasta ePrivacy-asetuksesta kertoi puolestaan Jengan Jipe Huikuri.

Alla on koottuna tapahtumassa läpikäytyjä GDPR-periaatteita:

1. Mikä?

GDPR eli asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä tietojen vapaasta liikkuvuudesta. Tulee voimaan kaikkialla EU:ssa 25.5.2018.

EU:n tietosuoja-asetuksen sisältö ja vaatimukset löytyvät kokonaisuudessaan EUR-Lex-sivustolta.

2. Miksi?

EU:ssa jokaisella on oikeus henkilötietojensa suojaan (EU:n perusoikeuskirja, 8 artikla). Jokaisella on oikeus tutustua tietoihin, joita hänestä on kerätty, ja oikaista ne tarvittaessa. Tietosuoja on ihmisten oikeutta omiin tietoihinsa.

3. Mitä henkilötiedot ovat?

Henkilötietoja ovat kaikki sellaiset tiedot, jotka voidaan yhdistää henkilöön tai tämän perheeseen (esimerkiksi nimi, osoite ja puhelinnumero). Henkilötiedot liittyvät luonnollisiin henkilöihin, ei siis esim. yrityksiin.

4. Mihin GDPR-asetus vaikuttaa?

Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista sekä muussa kuin automaattisessa muodossa olevien henkilötietojen käsittelyyn, kun ne muodostavat rekisterin osan tai joiden tarkoitus on muodostaa rekisterin osa. Lainsäädäntö määrää mitä henkilötietoja saa kerätä, miten tietoja tulee käsitellä ja kenelle tiedot saa näyttää.

5. Mikä on rekisteri ja kuka siitä vastaa?

Missä tahansa muodossa oleva lista/kooste/luettelo luonnollisten ihmisten henkilötiedoista. Rekisteri voi olla esimerkiksi excel-taulukko, CRM-järjestelmä tai paperille kirjattu lista. Rekisterissä olevista rekisteröityjen tiedoista vastaa aina rekisterinpitäjä. Jos rekisterinpitäjä käyttää rekisterin ylläpidossa tai säilytyksessä ulkoista apua, kutsutaan näitä tahoja henkilötietojen käsittelijöiksi.

6. Mikä henkilötietojen käsittelyssä muuttuu GDPR:n myötä?

GDPR:n myötä kansalaisten yksityisyydensuoja tulee laajenemaan. Ihmisillä on jatkossa oikeus saada tietoa siitä, miten heidän tietojansa käsitellään, pyytää tietojensa poistamista, oikeus siirtää omat tietonsa tietojärjestelmästä toiseen ja oikeus saada tieto tietoturvaloukkauksista. Yritysten on noudatettava tiukempia periaatteita tietojen käsittelyssä ja myös seuraukset rikkomuksista ovat tiukemmat.

7. Miten henkilötietoja on jatkossa käsiteltävä?

Yritykset voivat edelleen kerätä henkilötietoja ja muodostaa rekistereitä. Tiedonkäsittelyssä on kuitenkin noudatettava lainmukaisuutta, käyttötarkoitussidonnaisuutta ja tietojen minimointia. Myös osoitusvastuu siirtyy yrityksille eli niiden on pystyttävä osoittamaan tietojenkäsittelyn täsmällisyys, säilytyksen rajoittaminen sekä eheys- ja luottamuksellisuus. Henkilötietoja saa jatkossa käsitellä vain, jos joku näistä käsittelyperusteista täyttyy:

  •  Suostumus – henkilö antaa selkeästi ja vapaaehtoisesti luvan henkilötietojensa käsittelyyn
  •  Sopimus – henkilö ja yrityksen välillä on sopimus, jonka puitteissa on sovittu myös tietojen käsittelystä (esim. asiakassopimus)
  • Lakisääteinen velvoite
  • Elintärkeiden etujen turvaaminen
  • Yleinen etu tai julkisen vallan käyttäminen
  • Oikeutettu etu – yritys voi esimerkiksi lähestyä potentiaalisia asiakkaita markkinointikirjeellä oikeutetun edun puitteissa.

8. Mitä olisi hyvä muistaa tehdä ennen GDPR-asetuksen voimaantuloa 25.5.2018?

  • Laadi tietosuojaselvitys (tai päivitä nykyinen rekisteriseloste) kaikista keräämistäsi henkilötiedoista. Selvitys on hyvä lisätä esim. omille verkkosivuille, josta se on helposti löydettävissä, mikäli joku kysyy lisätietoja keräämistäsi henkilötiedoista.
  • Jos rekistereitäsi käsittelee joku ulkopuolinen toimija (= henkilötietojen käsittelijä), tee kirjallinen sopimus heidän kanssaan.
  • Selvitä kerätäänkö verkkosivustollasi henkilötietoja esim. palautelomakkeen yhteydessä- Tietojen keruusta tulee ilmoittaa selkeästi ja niihin tulee pyytää käyttäjän suostumus.
  • Selvitä käytetäänkö verkkosivustollasi evästeitä, joilla seurataan kävijän liikkeitä. Evästeiden käytöstä tulee kertoa käyttäjille ja niihin tulee pyytää käyttäjän suostumus.
  • Tarkista, että lähettämissäsi uutiskirjeissä ja muissa markkinointiviesteissä on selkeästi kerrottu, millä perusteella ja miksi viesti on lähetetty kyseiselle vastaanottajalle ja miten vastaanottaja voi halutessaan poistua listalta. Mikäli hyödynnät vanhoja rekistereitä, tarkista, että henkilötiedot on kerätty aikoinaan asianmukaisesti.
  • Valmistaudu lähettämään sähköisesti ja viivytyksettä rekisterissäsi oleville henkilöille tiedon heistä kerätyistä henkilötiedoista, mikäli he pyytävät tietoja. Lähettäessä liitä oheen tietosuojaselvitys.
  • Mikäli joku pyytää poistamaan tietonsa rekisteristäsi, tee se viipymättä ja tarkasti.

9. Mikä on ePrivacy-asetus?

ePrivacy on asetus, joka täydentää GDPR-asetusta sähköisen viestinnän osalta. Se koskee kaikkia sähköisiä viestintäpalveluja EU:n alueella ja sillä pyritään suojaamaan sähköisen viestinnän luottamuksellisuutta ja yksityisyyden suojaa viestinnässä. ePrivacy-asetus on vielä käsittelyssä EU:n komissiossa –  asetuksen odotetaan valmistuvan syksyllä 2018.

Lopullisesta asetuksen voimaantuloajankohdasta ei ole vielä varmuutta. ePrivacy-asetus tulee täydentämään tietosuoja-asetusta muun muassa evästeiden, sähköisen suoramainonnan ja somemarkkinoinnin osalta.

Tarvitsetko juridista apua GDPR-asioissa?
Kysy lisää Asianajotoimisto Klingendahlin tarjoamista palveluista:
Kari Koskinen, kari.koskinen@klingendahl.com