Yleinen tietosuoja-asetus (GDPR) asettaa uudet tietosuojavaatimukset kaikille tahoille, jotka käsittelevät henkilötietoja millään tavalla, jota kaikkien olemassa olevien aktiivisten yritysten on noudatettava. Haluamme tarjota perustavanlaatuisen ja informatiivisen katsauksen tärkeimmistä elementeistä ja velvollisuuksista mainosalan näkökulmasta, jotka on otettava huomioon asetuksen osalta.
Mitkä tiedot luokitellaan henkilötiedoiksi?
Henkilötietoja ovat tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Henkilökohtaisiksi tiedoiksi käsitetään nimi, valokuva, sähköpostiosoite, pankkitiedot, sosiaalisen median sivustojen viestit, kuluttajien käyttäytymistä koskevat tiedot, sijaintitiedot, lääketieteelliset tiedot tai jopa IP-osoite. Jos tietoa ei voi yhdistää yksittäiseen henkilöön, se ei ole henkilökohtaista tietoa, joten sitä ei säännellä tietosuoja-asetuksessa. Tästä syystä kaikki nimettömät tai salatut tiedot (Pseudonymisaatio parantaa yksityisyyttä korvaamalla useimmat tietokentän tunnistekentät yhdellä tai useammalla keinotekoisella tunnistimella tai salasanalla) jätetään pois tietosuoja-asetuksesta (esimerkiksi yleiset tilastotiedot).Tämä tarkoittaa sitä, että markkinointi yritykset voivat välttää monia GDPR:n asettamia velvoitteita, jos henkilötiedot ovat nimettömiä tai depersonalisoituja eivätkä niitä voi yhdistää yksittäiseen henkilöön.
Mitä on tietojenkäsittely?
Tietojenkäsittelyllä tarkoitetaan erilaisia toimintoja, jotka kohdistetaan henkilötietoihin. Käsittely voi olla manuaalista tai automatisoitua. Henkilötietojen keräys, tallentaminen, järjestäminen, jäsentäminen, analysointi, muuttaminen, levitys, käyttö, luovutus, poistaminen tai siirto ovat erilaisia tietojenkäsittely menetelmiä joita säännellään tietosuoja-asetuksessa.
Tietojenkäsittelyn velvoitteet
Yleisiä tietojenkäsittely velvoitteita, joita on noudatettava ovat seuraavat:
- Tietojenkäsittelylle on oltava oikeudellinen perusta: esimerkiksi rekisteröityjen suostumus (tyypillisesti tietosuojakäytännön hyväksyminen), tietojenkäsittely on välttämätöntä palvelujen tarjoamiseksi asiakkaalle tai oikeus tietojen käsittelyyn on nimenomaisesti mainittu laissa. Jos sinulla ei ole laillista perustaa tietojen käsittelyyn, et voi käsitellä tai käyttää kyseisiä tietoja.
- Yrityksellä on oltava riittävät tekniset ja hallinnolliset toimenpiteet tietojen suojaamiseksi luvattomilta kolmansilta osapuolilta. Riippuen tietojen arkaluonteisuudesta , sitä korkeampi tekninen standardi tulee tietojen suojaamisella olla. (esimerkiksi terveystiedot on salattava).
Rekisterinpitäjän Seloste Käsittelytoimista
Jos markkinointi yrityksillä (rekisterinpitäjä) on pääsy kuluttajan henkilötietoihin ja tietoja aiotaan käyttää markkinointiin, tulee yrityksen tällöin laatia seloste henkilötietojen käsittelystä. Tietosuojaselosteen on sisällettävä yleiskuva siitä, mitä tietoja käsitellään, mihin tarkoitukseen tietoja käsitellään, tietoja rekisterinpitäjästä (tietojen käsittelijä), joille tietoja siirretään ja yleiskatsaus siitä, kuinka kauan tietoja pidetään ja miten tiedot on suojattu.
Seloste on säilytettävä kirjallisessa muodossa ja voit käyttää kirjaamiseen tiedostomuotoja (Excel, Word) tai soveltuvia palveluntarjoajia.
Vaikutustenarviointi
Vaikutustenarviointi on asiakirja, jossa arvioidaan olisiko yrityksen tietojenkäsittelytoiminta suuri riski rekisteröityjen oikeuksille tai vapauksille. Vaikutustenarviointi on tarpeellinen, kun yritys alkaa käyttää uutta teknologiaa tietojenkäsittely toiminnassaan tai muutoin muuttaa tietojenkäsittely toimintaansa merkittävästi, joka voi aiheuttaa suuren riskin rekisteröityjen oikeuksille ja vapauksille (mikä on todennäköistä, jos yritys käsittelee tuhansien ihmisten henkilötietoja). Automatisoidut tietojenkäsittely toimet, jotka päättävät kuluttajan nimen tai kuvan perusteella minkälaisia mainoksia kuluttajalle ohjataan kuuluvat esimerkiksi tähän kategoriaan.
Tietosuojavastaavan nimittäminen
Kuka on tietosuojavastaava ja mitä he tekevät? Lyhyesti sanottuna tietosuojavastaava on yrityksen nimeämä henkilö, joka on vastuussa siitä että organisaatio noudattaa tietosuoja-asetuksen säännöksiä. Tietosuojavastaava voi olla kuka tahansa yrityksen työntekijä, mutta hänellä on oltava asiantuntemus tietosuojalainsäädännöstä ja standardeista sekä kyettävä noudattamaan tietosuojavastaavan lakisääteisiä velvoitteita. Kaikkien yritysten ei tarvitse nimetä tietosuojavastaavaa. Monien markkinointi yritysten liiketoimintamalli kuitenkin tarkoittaa sitä, että yrityksen käytössä on paljon henkilötietoja. Markkinointi yrityksille pääsääntönä on se, että jos yritys pääsee yksittäisten asiakkaiden henkilötietoihin, on yrityksillä todennäköisesti velvollisuus nimetä tietosuojavastaava. Jos henkilötiedot sisältävät terveystietoja, biometrisiä tietoja, poliittisia/ ideologisia mielipiteitä tai muita arkaluonteisia tietoja, tietosuojavastaavan nimeäminen on pakollista.
Entä jos käsittelen tietoja asiakkaani puolesta?
Rekisterinpitäjä on pääsääntöisesti vastuussa tietojenkäsittelystä, tietojen käsittelijä taas on rekisterinpitäjän valtuuttama taho, jolla on rekisterinpitäjän lupa käsitellä kyseisiä tietoja rekisterinpitäjän puolesta. Tietojenkäsittelijä ei saa käsitellä tietoja mistä tahansa syystä eikä käyttää tietoja muulla tavoin kuin nimenomaisesti siihen tarkoitukseen, johon rekisterinpitäjä on antanut lupansa. Tällöin osa markkinointi yrityksistä mielletään tietojenkäsittelijöiksi, ei rekisterinpitäjiksi. Tietojenkäsittelijöillä täytyy olla asianmukaiset tekniset sekä hallinnolliset käytännöt riittävän tietosuojan varmistamiseksi.