
EU:n uusi tietosuoja-asetus ei ole maailmanloppu – siirtymävaihe voi olla sujuva, kun vain tiedät mitä tehdä
Kirjainyhdistelmä GDPR pyörii nyt kaikkien huulilla ja sen lausuminen ääneen herättää meissä enemmän tai vähemmän pelkoa. Mutta EU:n ensi toukokuussa voimaan tuleva tietosuoja-asetus (General Data Protection Regulation eli GDPR) ei ole niin suuri mörkö kuin miltä se näyttää. Muutoksesta on mahdollista selviytyä voittajana ja jopa kohtuullisella vaivalla – kun vain tietää mitä tekee.
Uusi tietosuoja-asetus vahvistaa yksilön oikeuksia ja lisää henkilötietoja keräävien toimijoiden velvollisuuksia. Käytännössä tämä tarkoittaa, että jatkossa yksilön tulee antaa suostumus henkilötietojen keräämiseen ja yritysten tulee kerätä ja käyttää tietoja vain hyväksyttyyn tarpeeseen. Asetuksen rikkomisesta seuraa ankara sakkorangaistus.
Sakon pelossa ja asiantuntemuksen puutteessa monet yritykset ovat päättäneet tuhota kaiken aiemmin kerätyn datan ja pidättäytyä kaikenlaisen datan keräämisestä jatkossa. Tämä ei kuitenkaan ole ainoa vaihtoehto, eikä se ole myöskään suositeltavaa. Yrityksen koosta ja toimialasta riippuen muutoksesta on nimittäin mahdollista selvitä varsin helpolla ja kohtuullisin kustannuksin. Puhumattakaan siitä, kuinka tärkeää asiakasdata on yrityksen liiketoiminnalle ja markkinoinnin kohdentamiselle.
Millaisia muutoksia uusi asetus edellyttää?
Jatkossa käyttäjältä pitää saada suostumus henkilötietojen käsittelyyn digitaalista mainontaa ja markkinointia varten. Pelkkä ok:lla kuitattava evästeilmoitus ei enää riitä, ja suostumuslausekkeen tulee olla selkeä ja ymmärrettävä.
Lisäksi datan keräämiselle pitää olla hyväksyttävä syy ja sille on määriteltävä säilytysaika. Lopuksi yrityksen on varmistettava, että se tallentaa datan oikein, käyttää sitä oikein ja poistaa sen oikein. Kyse on siis prosessien määrittelystä ja tietojärjestelmien päivittämisestä.
Tekniset ratkaisut ovat yksinkertaisia
Uuden tietosuoja-asetuksen vaatimukset kuulostavat siltä, että niiden noudattaminen vaatii suuria investointeja teknologisiin ratkaisuihin. Tämä ei pidä paikkansa, vaan tilanteesta on mahdollista selvitä pienin muutoksin nykyisiin järjestelmiin. Suurin työ on datan läpikäymisessä, muutostarpeiden kartoittamisessa ja prosessien määrittelyssä. Käytännössä muutokset ovat muun muassa päivityksiä nykyisiin lomakkeisiin, tietokantoihin ja tietosuojalausekkeisiin.
Muutoksen läpivientiin tarvitaan kumppani
Tälläkin hetkellä monessa yrityksessä istutaan palaveripöydän ääressä ja mietitään, mitä GDPR:n suhteen pitäisi oikein tehdä. Ja yhtä monessa yrityksessä ei tehdä senkään vertaa, sillä ei tiedosteta uuden asetuksen koskevan myös heitä. Useimmissa yrityksissä kerätään jonkinlaista dataa – joko asiakkaista tai henkilöstöstä tai molemmista – joten käytännössä asetus koskee ihan kaikkia yrityksiä. Harvassa yrityksessä kuitenkaan on muutoksen edellyttämää lainopillista ja teknistä osaamista, joten muutoksen läpivientiin tarvitaan aina kumppani.
Kumppanin valintaan kannattaa kiinnittää huomiota, sillä muutoksen läpiviejällä ja tulevalla datan käsittelijällä tulee olla tarvittava asiantuntemus. Tätä edellyttää jo uusi asetuskin, jonka mukaan henkilötietoja keräävän yrityksen (=rekisterinpitäjä) on käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet asiantuntemuksesta, luotettavuudesta ja resursseista.
Toimiva yhteistyö rekisterinpitäjän ja tietojen käsittelijän välillä on ensiarvoisen tärkeää. Kumppanukset käyvät yhdessä läpi asiakkaan datan, tekevät tarvittavat muutokset järjestelmiin ja määrittelevät prosessit. Asiantuntevan kumppanin valinnalla vältetään karikot ja saadaan projekti vietyä läpi mahdollisimman tehokkaasti.
Asetukseen valmistautuminen voi sujua myös helposti ja nopeasti
Uuteen asetukseen valmistautuminen saattaa kuulostaa työläältä ja kalliilta projektilta, mutta helpoimmillaan se voi olla parin, kolmen päivän homma. Näin on erityisesti pienten yritysten kohdalla, joilla on vain vähän asiakasdataa. On vain käytävä data yhdessä läpi, laitettava prosessit kuntoon ja tehtävä tarvittavat muutokset lomakkeisiin, tietokantoihin ja tietosuojalausekkeisiin. Suurilla yrityksillä, jotka keräävät runsaasti arkaluontoisia henkilötietoja, projekti on toki isompi ja kalliimpi, mutta asiantuntevan kumppanin kanssa sekin sujuu niin tehokkaasti kuin mahdollista.
Dataa ei pidä pelätä, vaan sitä voi ja pitää jatkossakin kerätä!
Ratkaisu tilanteeseen ei ole kaiken datan poistaminen ja keräämisen lopettaminen. Päinvastoin. Uusi asetus kannattaa nähdä mahdollisuutena, sillä sen myötä asiakasdataa voidaan hyödyntää entistä tehokkaammin ja innovatiivisemmin.
Tiivistettynä siis, ei pidä ajatella, että uuden asetuksen myötä dataa joudutaan heittämään roskiin, vaan että siivoustalkoiden jälkeen hyvä data on perattu huonosta datasta ja jäljelle on jäänyt vain hyvä ja käyttökelpoinen.
Kirjoittaja Juha Karonen on Mirum Agencyn Pohjois-Euroopan Chief Technology Officer ja Senior Technical Architect. Hänellä on yli 14 vuoden kokemus eri rooleissa työskentelystä teknologia-alalla. Hän on erikoistunut verkkoalustoihin, sovelluksiin ja verkkokauppaprojekteihin. Juha on IAB:n tietosuojatyöryhmän jäsen ja ollut mukana tietosuojaan liittyvissä keskusteluissa useiden vuosien ajan.
IABlogin Facebook kommentit

Verkkomainonnan määrä vuoden 2025 toisella kvartaalilla oli noin 179 miljoonaa euroa. Vuoden 2024 vastaavaan kvartaaliin verrattuna digimainonnan määrä nousi +1,4 prosenttia. Verkkomainonnan osuus kaikesta mediamainonnasta oli Q2/2025 aikana +56 %.
lue lisää23.09.2025
Verkkomainonta maltillisessa kasvussa vuoden toisella kvartaalilla
Verkkomainonnan määrä vuoden 2025 toisella kvartaalilla oli noin 179 miljoonaa euroa. Vuoden 2024 vastaavaan kvartaaliin verrattuna digimainonnan määrä nousi +1,4 prosenttia. Verkkomainonnan osuus kaikesta mediamainonnasta oli Q2/2025 aikana +56 %.
lue lisää23.09.2025
Attention ja vastuullisuus – digimainonnan uusi voimapari
Digimainonnassa puhutaan yhä enemmän attentionista – siitä, että henkilö todennettavasti katsoo tai kuulee mainosta, jolle on altistunut. Samalla vastuullisuus on noussut keskeiseksi teemaksi, ei vain yritysten arvoissa vaan myös konkreettisissa mediavalinnoissa ja tuotantotavoissa. Kun suunnittelet kampanjaa, attentionin ja vastuullisuuden yhdistäminen ei ole vain mahdollista – se on luonnollinen osa modernia, eettistä ja tehokasta mainontaa.
lue lisää13.08.2025
Nimitysuutinen: IAB Finlandin uusi vetäjä kasvoi digimarkkinoinnin osaajaksi nuorten mukana
Anni Lintula aloitti 1. elokuuta IAB Finlandin toiminnanjohtajana. Aiemmin hän on toiminut muun muassa A-lehtien B2B-liiketoiminnan johtajana, yritysasiakkuuksien luovana johtajana ja nuorten medioiden liiketoiminnan johtajana. Lintulalla on myös taustaa palkittujen digimainonnan konseptien kehittäjänä. Koulutukseltaan hän on valtiotieteiden maisteri Helsingin yliopistosta.
lue lisää19.06.2025
Anni Lintula IAB Finlandin toiminnanjohtajaksi
IAB Finlandin hallitus on nimittänyt Anni Lintulan organisaation uudeksi toiminnanjohtajaksi. Hän aloittaa tehtävässään 1.8.2025.
lue lisää