Vuonna 2018 voimaan tullut GDPR-asetus on mullistanut tietosuojan, käyttäjätietojen keräämisen sekä evästeiden käytön pysyvästi. GDPR eli General Data Protection Regulation on tietosuojalaki, joka sääntelee henkilötietojen käsittelyä, sekä niiden keräämistä.
Käytännössä GDPR-uudistus mahdollistaa paremman suojan henkilötiedoillesi sekä laajemmat mahdollisuudet hallita omien tietojen käsittelyä. Uudistuksen myötä myös yritysten vastuu henkilötietojen salassapidosta kasvoi merkittävästi.
GDPR laki ja asetus
Uusi tietosuoja-asetus astui voimaan toukokuussa 2018. Koska kyseessä on Euroopan Unionin asetus, koskee se kaikkia EU-alueella toimivia yrityksiä.
GDPR-uudistuksen tavoitteena on vähentää ylimääräistä kävijätietojen keräämistä, tehdä käyttäjätietojen hyödyntämisestä läpinäkyvää, vastata uusiin tietosuojakysymyksiin sekä edistää digitaalisten markkinoiden kehittymistä.
Asetuksen mukaan jokaisen organisaation on osoitettava, että heidän sivustonsa ja datan keruu noudattavat GDPR:ää.
Tietosuojauudistuksen vaikutukset
GDPR:n mukaan yritykset ovat velvollisia tiedottamaan entistä läpinäkyvämmin henkilötietojen keräämisestä. Kun avaat verkkosivuston, ilmestyy esiin pieni pop up -ilmoitus joka kysyy lupaa evästeiden käyttöön ja tiedonkeruuseen.
Asetuksen mukaan tiedonkeruu pitää perustella, ja yksilöllä on oltava mahdollisuus kieltäytyä tiedonkeruusta. Yksittäisellä ihmisellä on myös oikeus nähdä, mitä tietoja yritys on hänestä kerännyt ja halutessaan pyytää yritystä korjaamaan tai poistamaan virheelliset tai ylimääräiset tiedot.
Koska henkilöt voivat kulkea usean organisaation tai yrityksen kautta, täytyy suuremmissa organisaatioissa nimetä tietosuojavastaava joka huolehtii henkilötietojen asianmukaisesta hallinnoinnista sekä hyödyntämisestä.
Tietosuojavastaava on nimettävä, mikäli yritys hyödyntää suuria määriä henkilötietoja jatkuvasti, tai sen liiketoiminta perustuu tietotekniikkaan. Jos henkilötietoja hyödynnetään vain satunnaisesti, ei tietosuojavastaavan nimeäminen ole välttämätöntä.
GDPR:n alaiset henkilötiedot – Mitä yritykset tietävät sinusta
GDPR:n puitteissa yrityksen voivat kerätä sinusta erilaisia henkilötietoja, joita he voivat hyödyntää muun muassa segmentoinnissa ja markkinoinnin kohdentamisessa.
Henkilötiedoiksi luetaan kaikki tiedot, mitkä liittyvät vahvasti tunnistettavissa olevaan henkilöön.
GDPR:n alaisia henkilötietoja ovat muun muassa
- Henkilön nimi
- Yhteystiedot (puhelinnumero, osoite, sähköpostiosoite)
- Henkilökortin numero
- IP-osoite
- Potilastiedot ja -historia
- Auton rekisterinumero
- Sijaintitiedot
GDPR:n mukaan yritykset eivät saa kerätä muun muassa
- Etnisyyten liittyviä tietoja
- Poliittista vakaumusta tai mielipiteitä
- Mihin uskontoon henkilö kuuluu
- Terveydellisiä tai geneettisiä tietoja
- Rikosrekisteriä
- Seksuaalista suuntautumista
Yksilön tietosuojaoikeudet
Yksi tietosuoja-asetuksen pääkohdista on yksilön tietosuojaoikeuksien parantaminen. GDPR:n mukaan jokaisella henkilöllä on oikeus nähdä, mitä tietoja yritys on hänestä kerännyt. Asetus velvoittaa yritykset poistamaan ja korjaamaan kerättyjä tietoja asiakkaan niin vaatiessa.
Yksilöllä on oikeus
- Selvittää mitä tietoja yritys on hänestä kerännyt
- Selvittää henkilötietojen käyttötarkoitus
- Vaatia henkilötietojen poistamista ja korjaamista
- Siirtää tiedon toiselle organisaatiolle
Jos haluat selvittää, mitä yritys tietää sinusta, voit olla heihin yhteydessä. Yrityksellä on velvollisuus joko vahvistaa ettei henkilö ole tietorekisterissä, tai lähettää henkilöstä kerätyt tiedot sähköisessä muodossa.
GDPR ja evästeet
GDPR-asetus määrittää tarkat raamit myös evästeiden käyttöön. Evästeet ovat pieniä koodinpätkiä, joiden avulla yritykset voivat kerryttää markkinoinnissa hyödynnettävää tietoa asiakkaista.
GDPR:n mukaan yritys on velvollinen
- Pyytämään GDPR:n mukaisen vahvan luvan evästeiden käyttöön. Tietosuojadirektiivin mukaan suostumuksen kuuluu olla yksilöity, tietoinen sekä täysin vapaaehtoinen. GDPR-asetuksen mukaan henkilön tulee ymmärtää selkeästi mihin suostuu.
- Ilmoittamaan asiakkaalle evästeiden käytön tarkoitus sekä mihin kerättyjä tietoja hyödynnetään
- Mahdollistamaan evästeiden käytön sekä tietojen käsittelyn kieltämisen asiakkaan toimesta
- Huolehtimaan, ettei evästeiden kieltäminen aiheuta minkäänlaista haittaa
Vaikka evästeiden käyttö vaatii aina vahvan luvan, ei pakollisten evästeiden käyttö vaadi erillistä lupaa. Pakolliset evästeet ovat tärkeitä verkkosivuston toimivuuden kannalta. Esimerkki pakollisesta evästeestä on verkkokaupan ostoskori, jolloin sivusto muistaa valintasi, vaikka siirtyisit sivulta toiselle.
GDPR rikkomukset
Euroopan Unionin tietosuoja-asetuksen rikkominen voi johtaa mittaviin sanktioihin. Törkeä GDPR-rikkomus voi johtaa sakkoihin, jotka voivat olla jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen liikevaihdosta. Seuraamuksena voi olla myös tietosuojaviranomaisen määräämä tietojen keräämisen ja käsittelyn lopettaminen.
Jos epäilet, täyttääkö verkkosivustosi GDPR-määräykseen, kannattaa konsultoida lakimiestä. Toimimalla oikein ja pelaamalla varman päälle vältät GDPR-rikkomukset, jotka tulevat kalliiksi yrityksellesi.
Kirjoittaja: Jere Rautiainen / Muutos Digital