Uutinen

GDPR-muistilista ja peruskäsitteet: näin valmistaudut tulevaan EU:n tietosuoja-asetukseen

Ota yhteyttä 7
GDPR-muistilista ja peruskäsitteet: näin valmistaudut tulevaan EU:n tietosuoja-asetukseen Henkilörekisterien rekisterinpitäjien on huolehdittava ja osoitettava, että ne noudattavat tietosuoja-asetusta henkilötietoja käsitellessään ja huolehtivat henkilötietojen tietoturvasta.

Mitä jokaisen markkinoijan ja viestijän olisi hyvä tietää EU:n uudesta tietosuoja-asetuksesta eli GDPR:stä? Vaikka aihe on nyt pinnalla ja siitä on saatavilla paljon tietoa, voi olennaisten asioiden hahmottaminen valtavasta tietomäärästä olla haastavaa.

Tämän takia koostimme GDPR:stä tiiviin tietopaketin, jossa käymme läpi asetuksen keskeisiä sisältöjä ja käsitteitä. Teimme myös asetukseen valmistautumisesta muistilistan, jonka avulla voit tarkistaa, oletteko varautuneet kaikkiin asetuksen tuomiin muutoksiin riittävän huolella.

GDPR – mistä on kyse?

GDPR (General Data Protection Regulation) tulee EU:n jäsenvaltioiden – eli myös Suomen – sovellettavaksi toukokuussa 2018. Asetuksen tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa.

Asetus koskee kaikkia niitä Suomessa toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja, olipa kyseessä sitten iso pörssiyritys, säätiö, yhdistys tai julkishallinnon organisaatio. Koska lähes kaikissa organisaatioissa ylläpidetään jonkinlaista henkilörekisteriä (mm. asiakas- tai jäsenrekisteriä), on asetuksen soveltamisala varsin laaja.

GDPR:ään on syytä suhtautua vakavasti, sillä siihen liittyvien rikkomusten hallinnollinen sakko on maksimissaan 20 miljoonaa euroa tai 4 % yhtiön edellisen vuoden kokonaisliikevaihdosta, riippuen siitä kumpi näistä on suurempi.

GDPR:n peruskäsitteitä

Ennen kuin syvennymme tarkemmin asetuksen sisältöihin, käydään läpi siihen liittyviä keskeisiä käsitteitä:

Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.

Henkilörekisteri: Henkilötietoja sisältävä jäsennelty tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Rekisterinpitäjä: Luonnollinen henkilö, yhteisö, virasto, säätiö tai joku muu, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Henkilötietojen käsittelijä: Luonnollinen henkilö, viranomainen, virasto tai joku muu, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, esimerkiksi uutiskirjetyökalun toimittaja.

Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö.

Opt-in: Henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn.

GDPR:n tuomat oikeudet, velvollisuudet ja vastuut

GDPR:n myötä rekisteröityjen oikeudet kasvavat samalla, kun henkilötietojen rekisterinpitäjien vastuut ja velvollisuudet lisääntyvät. Uuden asetuksen mukaisesti rekisteröidyt voivat pyytää organisaatioilta tietoja omista henkilötiedoistaan ja niiden käytöstä. Lisäksi heillä on oikeus siirtää ja poistaa omia tietojaan sekä vastustaa tietojensa käsittelyä.

Rekisterinpitäjien on huolehdittava siitä, että ne kykenevät toimittamaan rekisteröidyille näiden pyytämät tiedot sekä vastaamaan pyyntöihin tietojen poistamisesta. Lisäksi rekisterinpitäjiä koskee osoitusvelvollisuus, jonka mukaan niillä on oltava laillinen oikeusperuste henkilötietojen keräämiselle ja käsittelylle. Henkilötietojen käsittelyn suhteen rekisterinpitäjien on vuorostaan noudatettava GDPR-asetuksen antamia vaatimuksia.

Uuteen asetukseen liittyy keskeisesti oletusarvoisen ja sisäänrakennetun tietosuojan periaate (privacy by design and default). Tämä tarkoittaa sitä, että organisaatioilla on velvollisuus ottaa tietoturva-asiat huomioon järjestelmiensä, palveluidensa ja toimintamalliensa suunnittelussa, jos ne liittyvät jollain tapaa henkilötietojen käsittelyyn (privacy by design). Organisaatioiden tulee myös huolehtia siitä, että ne keräävät ja käsittelevät vain asianmukaisia henkilötietoja, joiden käyttö on perusteltua (privacy by default).

Käytännössä GDPR tuo henkilötietojen keräämiseen ja käsittelyyn lisää läpinäkyvyyttä ja turvallisuutta. Aikaisemmin esimerkiksi tavallinen kuluttaja saattoi joutua itse nostamaan metelin siitä, jos organisaation tietoturva oli pettänyt ja hänen henkilötietojaan oli käytetty vääriin tarkoituksiin. Nyt henkilörekisterien rekisterinpitäjien on huolehdittava ja osoitettava, että ne noudattavat tietosuoja-asetusta henkilötietoja käsitellessään ja huolehtivat henkilötietojen tietoturvasta.

GDPR-muistilista – näin valmistaudut tietosuoja-asetukseen:

1. Tunnista roolisi – oletko rekisterinpitäjä vai henkilötiedon käsittelijä?

Tee itsellesi selväksi, mikä on organisaationne rooli henkilötietojen käsittelyssä: toimitteko rekisterinpitäjänä, henkilötietojen käsittelijänä vai molempina? Rooli vaikuttaa keskeisesti siihen, millaisia velvollisuuksia ja vastuita teillä on.

2. Tarkista henkilötietojen käsittelyn laillisuus

  • Kartoita, mitä henkilötietoja organisaatiossanne kerätään, miten tietoja käsitellään ja missä järjestelmissä ne sijaitsevat. Ota huomioon mahdolliset henkilötietojen käsittelyn ulkoistukset.
  • Varmista, että käsittelet henkilötietoja GDPR-periaatteiden mukaisesti, ja päivitä tarvittaessa toimintatapojasi. Tarkista myös, onko sinun helppo noudattaa näitä periaatteita kaikissa niissä järjestelmissä, joissa henkilötietoja käsitellään lukuunne (esimerkiksi uutiskirjetyökalu).
  • Varmistu siitä, että rekisterissäsi olevat henkilöt ovat antaneet luvan rekisterin keruuseen, tai että henkilötietojen käsittelylle on joku muu GDPR:n laillinen oikeusperuste.
  • Jos kaikille rekistereissäsi säilötyille henkilötiedoille ei löydy yksiselitteistä laillista perustetta, pohdi, voitko kerätä rekisteröidyiltä suostumuksia (opt-in). Varaudu tarkistamaan toimintatapojasi ja mahdollisesti luopumaan ”harmaalla alueella” olevista rekistereistäsi. Huomioi, että Suomen GDPR:ää täsmentävä ja täydentävä lainsäädäntötyö on vielä kesken.

3. Huomioi rekisteröidyn oikeudet

  • Varaudu toimittamaan rekisteröidyille tiedot heidän omista henkilötiedoistaan ja niiden säilytyksestä elektronisessa muodossa. Tietojen tulisi olla tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa.
  • Tarkista, että rekisteröidyillä on mahdollisuus siirtää itseään koskevia tietoja sekä poistaa tiedot kokonaan rekistereistä.
  • Jos henkilörekisteriä säilytetään EU:n ulkopuolella, varmista, että rekisteröidyiltä on saatu lupa tietojen siirtoon EU:n ulkopuolelle.


Twitter on pyytänyt palvelun käyttäjiä hyväksymään uudet yksityisyyskäytännöt. Näissä kerrotaan, että palvelun käyttäjien tietoja säilytetään myös EU:n ulkopuolella. 

4. Huolehdi tietoturvasta

  • Varmista, että henkilötietojen tietoturvasta on huolehdittu asianmukaisesti, ja tee riskiarviointi mahdollisista uhkatilanteista. Dokumentoi organisaationne tietoturvakäytännöt omaan tietoturvadokumenttiin, jossa vastaat ainakin seuraaviin kysymyksiin: miten henkilötietoja käsitellään ja millä perustein, miten tietoturvasta huolehditaan, miten mahdollisen tietomurron aikana toimitaan ja ketkä ovat tekemisissä henkilötietojen kanssa.
  • Selvitä, miten järjestelmätoimittajasi ovat valmistautuneet tietoturva-asioihin. Pyydä heiltä tieto kirjallisena dokumenttina, jonka voit tallentaa itsellesi.

5. Päivitä rekisteriselosteet ja sopimusehdot

  • Huolehdi, että kaikista henkilörekistereistä on olemassa rekisteriseloste, ja että selosteet ovat helposti saatavilla.
  • Lisää tietoturvakäytänteet osaksi sopimusehtoja. Tarkista sopimustilanne asiakkaiden, palvelutuottajien, alihankkijoiden sekä järjestelmätoimittajien kanssa. Huomioi, että henkilötietojen käsittelijä ei saa käsitellä henkilötietoja ilman rekisterinpitäjän kanssa solmittua kirjallista sopimusta (tai muuta oikeudellista asiakirjaa). Sopimuksen tulee sisältää kaikki GDPR-asetuksen artiklan 28 edellyttämät tiedot.
  • Varmista, että henkilötietojen käyttöä ja käytäntöjä koskeva sisältö on sopimuksissa kohdemaan tietosuojalainsäädännön mukainen. Erillisillä tietosuojasopimuksilla varmistat, että kaikki osapuolet huolehtivat tietosuoja-asetuksen tuomista vastuista ja velvollisuuksista.

6. Nimeä tietosuojavastaava

Tietosuojavastaavan nimittäminen on pakollista, jos henkilötietojen käsittelyä suorittaa viranomainen tai julkishallinnon elin. Lisäksi vastaava tulee olla nimitettynä, mikäli rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä. Lisätietoa tietosuojavastaavan nimittämisestä löytyy EU:n tietosuoja-asetuksen artiklasta 37 sekä Tietosuojavaltuutetun ohjeista.

7. Kouluta henkilöstöä

Tarjoa henkilötietoja käsittelevälle henkilöstölle aiheeseen liittyvää koulutusta, jotta he ovat perillä tietosuoja-asetuksen tuomista muutoksista.

Lue lisää aiheesta:

Haluatko keskustella tarkemmin GDPR:n vaikutuksista digitaaliseen markkinointiinne? Pyydä asiantuntijamme käymään, niin jutellaan lisää.

Artikkelin käsitteiden määrittelyssä on hyödynnetty Suomen henkilötietolain määritelmiä.

Artikkeli on julkaistu 27.10.2017 ja päivitetty 6.3.2018.

Artikkelin sisältöä ei tule ymmärtää juridisena neuvontana.

 /media/henkilokuvat/articles-authors/mari-maunu_300x420.jpg

Mari työskentelee Koodiviidakolla markkinointikoordinaattorina. Hän on kokenut sisällöntuottaja, jonka mielestä parasta kirjoittamistyössä on mielenkiintoisiin ja päivän polttaviin aiheisiin perehtyminen sekä uuden oppiminen. GDPR-muistilista on tärkeä työväline ja parhaillaan työn alla myös Koodiviidakossa, jossa valmistaudutaan muiden yritysten tapaan GDPR-muutoksiin. Artikkeli on toteutettu tiiviissä yhteistyössä Koodiviidakon tietosuojavastaavan sekä asiakastyötä päivittäin tekevien asiantuntijoidemme kanssa.

Oliko artikkeli mielestäsi mielenkiintoinen?

Tilaa kuukausittainen uutiskirjeemme joka sisältää aina uusimmat mielenkiintoiset artikkelit.

Tilaa uutiskirje tästä

Kommentit (7)

05.03.2018

päin seiniä

tietosuojavastaavan nimitysvelvollisuus on ohjeistettu päin seiniä, älkää vaan uskoko tätä. ei anna luotettavaa kuvaa muustakaan ohjeistuksesta

-

06.03.2018

Kiitos kommentista!

Olemme nyt tarkistaneet ja päivittäneet artikkelista tietosuojavastaavan nimittämistä koskevan kohdan. Kyseisessä kohdassa oli alunperin tietoa tietosuoja-asetuksen väliversiosta, joka poikkesi hieman asetuksen lopullisesta versiosta. Nyt tiedot on päivitetty tietosuoja-asetuksen uusimpaan versioon perustuen. Lisäsimme artikkeliin myös linkit, joista löytyy lisätietoa aiheesta.

- Mari Maunu, Marketing Coordinator | Koodiviidakko

18.03.2018

Vielä korjattavaa

Teksti henkilörekisteristä kaipaa korjaamista.

- Tutkija

20.03.2018

Henkilörekisterin määritelmä

Artikkelissa esitettyjen käsitteiden määrittelyssä on hyödynnetty yhä voimassa olevaa Suomen henkilötietolakia. GDPR-asetuksen sisältämiin määritelmiin pääsee tutustumaan asetuksen artiklasta 4 (http://bit.ly/2FV5ENK). Jää nähtäväksi, tarkentuvatko määritelmät ePrivacy-asetuksen ja vielä valmisteilla olevan, Suomen GDPR:ää täydentävän ja täsmentävän uuden tietosuojalain myötä.

- Mari Maunu, Marketing Coordinator | Koodiviidakko

03.05.2018

virheellisiä tietoja

ottakaa nyt tämä artikkeli pois netistä, onhan tämä nyt noloa, että olette esittelevinänne uutta mutta kerrotte vanhasta

- turunen

23.05.2018

Hyvä artikkeli

Minusta tämä on hyvä kiteytys, jota voi vielä hieman tarkentaa joiltakin osin.

- Marko

25.05.2018

liipalaa

kaikki tieto on hyvästä oli se sit oikeeta tai väärää

- eduardo snowmän

 

Artikkelin kommentointi

Lisää uutisia

Tehokas tiedottaminen: näin onnistut lehdistötiedotteen lähettämisessä [infograafi]

Selvittääksemme, mikä on hyvän tiedottamisen salaisuus, päätimme kysyä asiasta suoraan toimittajilta. Toteutimme yhdessä Mediaviikon kanssa kansainvälisen toimittajakyselyn, johon vastasi yhteensä 618 media-alan ammattilaista kuudesta eri maasta.

Lue lisää

Sähköpostimarkkinoinnin listat ja GDPR: näin pidät tilaajasi (ja kerrytät samalla lisää)

Meistä lähes jokaisella on listoillamme henkilöitä, joiden kohtalo markkinoinnin kohderyhmänämme asetuksen voimaantulon jälkeen epäilyttää. Moni pohtiikin tällä hetkellä, miten saada olemassa olevat listat ajoissa mahdollisimman GDPR-varmoiksi. Koska sähköpostimarkkinointi on useimmille tuotto-panos -suhteeltaan sitä tuottavinta markkinointia, olisi tilaajien menettäminen myös menetettyä tuloa. Se tarkoittaa, ettei kannata hätiköidä tai ylireagoida, mutta valmistautua kyllä.

Lue lisää

6 tapaa kertoa asiakkaillesi, että välität

Markkinoinnin automaation avulla voit luoda ja lähettää asiakkaillesi relevanttia sisältöä juuri oikeaan aikaan perustuen heidän ostokäyttäytymiseensä tai asiakashistoriaansa. Listasimme kuusi tapaa hyödyntää markkinoinnin automaatiota asiakasviestinnässä.

Lue lisää

Mikä on hyvä CTR?

Kuulemme lähes päivittäin asiakkailtamme ja prospekteilta kysymyksiä siitä, mitä onnistunut uutiskirjeviestintä oikeastaan tarkoittaa. Mikä on hyvä avaus- tai klikkausprosentti?

Lue lisää