GDPR:n eli EU:n yleisen tietosuoja-asetuksen soveltaminen alkaa 25.5.2018, ja se tuo mukanaan merkittäviä muutoksia henkilötietojen käsittelyyn niin yritysten kuin yksityishenkilöidenkin kannalta. Tässä kirjoituksessa avaamme hiukan GDPR:n sisältöä ja sitä, miten asetuksen soveltaminen vaikuttaa Spotmoren asiakkaisiin ja loppukäyttäjiin.

Terminologiaa

GDPR = General Data Protection Regulation, tietosuoja-asetus

Henkilötieto = tieto, jonka perusteella henkilö voidaan yksilöidä, kuten nimi, osoite, puhelinnumero, syntymäaika, käyttäjätunnus, salasana ja IP-osoite

Rekisterinpitäjä = taho, joka vastaa henkilötietorekisteristä, esim. Spotmorea käyttävä asiakasyritys

Rekisteröity henkilö = henkilö, jonka henkilötietoja käsitellään rekisterissä, esim. Spotmoren asiakasyrityksen loppuasiakas (kuluttaja)

Henkilötietojen käsittely = kaikenlaiset henkilötietoihin automaattisesti tai manuaalisesti kohdistettavat toimet, kuten henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, luovuttaminen ja poistaminen

Henkilötietojen käsittelijä = taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta, esim. Spotmore

GDPR:n tavoitteet

Uuden tietosuoja-asetuksen tavoitteena on

  • yhtenäistää tietosuojakäytäntöjä kaikissa EU-maissa
  • parantaa henkilötietojen suojaa ja lisätä yksityishenkilöiden oikeuksia omiin tietoihinsa
  • vastata digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin
  • edistää digitaalisten sisämarkkinoiden kehittymistä.

Lähtökohtaisesti tietosuoja-asetusta tullaan soveltamaan kaikkeen henkilötietojen käsittelyyn, ja sitä voidaan myös täydentää ja täsmentää kansallisella lainsäädännöllä.

Velvoitteita ja läpinäkyvyyttä

Vaikka yrityksille GDPR tuo lisää velvoitteita, yhdenmukaisen lainsäädännön ansiosta palveluiden tarjoaminen Euroopan Unionin alueella helpottuu. Yrityksillä on osoitusvelvollisuus eli niiden on pystyttävä osoittamaan, että ne ovat huolehtineet henkilötietojen käsittelyn eri osa-alueista, kuten lainmukaisuudesta ja läpinäkyvyydestä, käyttötarkoitussidonnaisuudesta sekä eheydestä ja luottamuksellisuudesta.

Käytännössä tämä tarkoittaa, että useimpiin yrityksiin on nimettävä tietosuoja-asioista vastaava henkilö ja laadittava tietosuojaseloste, josta käy ilmi, mitä henkilötietoja kuluttajista tallennetaan ja mihin tarkoitukseen niitä käytetään.

Rekisteröityjen henkilöiden kannalta henkilötietojen käsittely muuttuu läpinäkyvämmäksi; heillä on jatkossa oikeus tarkistaa, mitä tietoja heistä on tallennettu esimerkiksi verkkopalveluihin, ja tulla myös unohdetuksi eli pyytää henkilötietojen poistamista eri rekistereistä.

Miten kaikki tämä vaikuttaa Spotmoren käyttöön?

Spotmore voidaan luokitella kolmannen osapuolen palveluksi ja tietojen käsittelijäksi, jolloin palvelun käytöstä on hyvä mainita yrityksen omassa tietosuojaselosteessa. Spotmore noudattaa GDPR:n vaatimuksia, ja palveluun on lisätty toiminto, jolla rekisteröidyt henkilöt voivat tarkistaa Spotmoren rekisteriin kerätyt tiedot.

Rekisterinpitäjien on hyvä huomata, että henkilötietojen käsittely edellyttää jatkossakin henkilön itsensä antamaa suostumusta. Tämä tarkoittaa, että markkinointiviestien lähettämiseen tarvitaan suostumus, jonka käyttäjä on antanut vapaaehtoisesti ja omalla aktiivisella toiminnallaan. Valmiiksi rastitettu suostumusruutu ei kuitenkaan ole enää ole sallittu. Suostumuksen voi pyytää esimerkiksi lähettämällä nykyiselle vastaanottajarekisterille sähköpostiviesti, jossa vastaanottajaa pyydetään sallimaan markkinointiviestien lähettäminen jatkossakin.