Icon
Harhaluuloja liittyen rekisteröityjen tietosuoja-asetuksen mukaisiin oikeuksiin IABlogi

Harhaluuloja liittyen rekisteröityjen tietosuoja-asetuksen mukaisiin oikeuksiin

03.04.2019 | Mari Rusi

asiakasrekisteri, blogi, ePrivacy, IAB blogi, markkinointijuridiikka, markkinointirekisteri, suoramarkkinointi, tietosuoja, tietosuoja-asetus,

Tietosuoja-asetus tuli voimaan melkein vuosi sitten. Yrityksissä varauduttiin siihen, että rekisteröidyt alkavat heti käyttää aktiivisesti tietosuoja-asetuksen mukaisia oikeuksiaan. Monissa yrityksissä kuitenkin pyyntömäärät ovat olleet ennakoitua vähäisempiä. On kuitenkin käynyt ilmi, että rekisteröityjen käsitykset oikeuksistaan poikkeavat usein siitä, mitä ne tietosuoja-asetuksen mukaan ovat.

Rekisteröidyllä ei ole oikeutta saada yksityiskohtaista tietoa siitä, mitä tietoa on missäkin yrityksen järjestelmässä

Rekisteröidyllä on oikeus saada jäljennös käsiteltävistä tiedoista. Rekisteröidyllä ei ole oikeutta saada tietoa siitä, mitä erilaisia tietojärjestelmiä yrityksellä on käytössä ja mitä tietoja kuhunkin eri järjestelmään on tallennettu. Rekisteröidyn osoite voi olla esimerkiksi markkinointirekisterissä ja tilausrekisterissä, mutta riittää, että rekisteröidylle toimitetaan tieto siitä, että yritys käsittelee osoitetietoa. Käsittelyn tarkoitukset on kerrottava, mutta ne voidaan esittää jäljennöksen kanssa toimitettavassa tietosuojaselosteessa tai vastaavassa asiakirjassa.

Rekisteröidyllä ei ole absoluuttista oikeutta tulla unohdetuksi

Rekisteröidyllä ei ole yleistä oikeutta saada kaikki tietonsa poistetuksi yrityksen järjestelmistä, vaan oikeus koskee vain tilanteita, joista on säädetty tietosuoja-asetuksen 17 artiklassa. Tällainen tilanne on esimerkiksi se, että henkilötietojen käsittely perustuu rekisteröidyn suostumuksen ja rekisteröity peruuttaa suostumuksen. Vastaavasti jos henkilötietoja käsitellään ainoastaan suoramarkkinointitarkoituksiin ja henkilö vastustaa tietojen käsittelyä, tulee tiedot rekisteröidyn pyynnöstä poistaa järjestelmistä.

Sen sijaan, esimerkiksi työntekijän tietoja on säilytettävä varsin pitkään työsuhteen päättymisen jälkeenkin erinäisten lakisääteisten velvoitteiden täyttämiseksi (mm. palkkakirjanpito, työaikakirjanpito, työtodistuksen antamisvelvollisuus). Tietoja asiakkaalle tarjotuista palveluista on puolestaan tarpeen säilyttää niin kauan, kun asiakas voi esittää vaatimuksia palvelussa mahdollisesti olleen virheen johdosta ja laskut tulee säilyttää kirjanpitolaissa edellytetyn ajan. Näitä tietoja ei voida poistaa, vaikka rekisteröity poistopyynnön esittäisikin.

Kaikkea henkilötietojen käsittelyä ei voi vastustaa

Rekisteröidyllä on oikeus milloin tahansa vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksiin. Oikeus vastustaa henkilötietojen käsittelyä muutenkin on silloin, kun
i. käsittely perustuu yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun; ja
ii. perusteena vastustamiselle on rekisteröidyn henkilökohtainen erityinen tilanne.

Jos kuitenkin rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeudet ja vapaudet tai käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi, käsittelyä voidaan jatkaa vastustamisesta huolimatta.

Usein käsittelyn perusteena on sopimuksen täyttäminen. Tällöin vastustamisoikeutta ei ole muuhun käsittelyyn kuin käsittelyyn suoramarkkinointitarkoituksiin.

Suoramarkkinointi ei aina edellytä suostumusta

Tietosuojan korostaminen on johtanut siihen, että osa rekisteröidyistä olettaa, ettei mitään suoramarkkinointia saa kohdistaa rekisteröityyn ilman rekisteröidyn suostumusta. Näin ei ole, vaan ainoastaan sähköiseen suoramarkkinointiin eli tyypillisimmin sähköpostina ja tekstiviestinä lähetetty suoramarkkinointiin tarvitaan pääsääntöisesti suostumus. Tähänkin on vielä olemassa poikkeus koskien tilannetta, jossa yritys on saanut asiakkaana olevalta luonnolliselta henkilöltä sähköpostiviestiin tai tekstiviestiin liittyvän yhteystiedon tuotteen tai palvelun myynnin yhteydessä. Tällöin kyseinen yritys voi käyttää tätä yhteystietoa omien samaan tuoteryhmään kuuluvien tai muuten vastaavien tuotteiden ja palvelujen sähköisessä suoramarkkinoinnissa.

On syytä huomata, että tuleva EU:n ePrivacy -asetus tulee muuttamaan sähköistä suoramarkkinointia koskevaa sääntelyä.

Rekisteröidyllä ei ole oikeutta saada yksityiskohtaista kuvausta tietojen suojaamisesta

Jotkut rekisteröidyt pyytävät hyvinkin yksityiskohtaisia tietoja yrityksen tietoturvan toteuttamisesta tietosuoja-asetuksen perusteella varmistaakseen, että heidän tietonsa ovat turvassa. Tietosuoja-asetus ei kuitenkaan velvoita tällaisten tietojen antamiseen ja tietoturvan varmistamiseksi on myös tärkeää, ettei liian yksityiskohtaisia tietoja edes toimiteta rekisteröidyille.

Rekisteröidyllä ei ole oikeutta saada tietoa kaikista tietoturvaloukkauksista

Tietosuoja-asetuksen soveltamisen alkamisen jälkeen on esitetty myös vaatimuksia saada tiedot kaikista yrityksessä tapahtuneista tietoturvaloukkauksista. Tietosuoja-asetus ei kuitenkaan edellytä, että yritys raportoisi jokaisen tietoturvaloukkauksen kiinnostuneelle rekisteröidylle.

Pääsääntönä on se, että rekisteröidylle on ilman aiheetonta viivytystä ilmoitettava tietoturvaloukkauksesta, jos se todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Vähäinen riski ei siten edellytä ilmoittamista rekisteröidylle. Vaikka riski olisi todennäköisesti korkea, tiettyjen edellytysten täyttyessä ilmoitusta ei kuitenkaan vaadita.

Kirjoittaja Mari Rusi toimii asianajajana Eversheds asianajotoimisto Oy:ssa ja on IAB:n hallituksen jäsen.

blogidigimarkkinointiiabfinlandpodcastsisältömarkkinointidatateknologiaSosiaalinen mediajäsenetjäsenesittelymarko siltalaIABloginatiivimainontaDingledigimainonta

12.09.2025

IAB Insider: Retail media – kuka voittaa, kun kauppa muuttuu mediataloksi?

Retail media on noussut vauhdilla markkinoinnin kuumimmaksi ilmiöksi – ja hyvästä syystä. Kun kaupat muuttuvat mediataloiksi, mainostajille avautuu uusia mahdollisuuksia tavoittaa asiakkaat aivan ostopolun ytimessä. Mutta kuka tässä pelissä lopulta voittaa, ja mitä riskejä ja haasteita liittyy datan, kanavien ja kaupallisten kumppanuuksien hallintaan? Uusimmassa IAB Insider -podcast-jaksossa sukelletaan retail median maailmaan, avataan sen merkitys suomalaiselle markkinalle ja kerrotaan, mitä jokaisen markkinoijan tulisi tehdä pysyäkseen kehityksessä mukana.

lue lisää

29.08.2025

IAB Insider: Luovuuden merkitys digimainonnassa

Mainonnan vaikuttavuus syntyy usein luovuudesta – mutta mitä luovuus oikeastaan on, ja miten se voidaan kääntää mitattavaksi tulokseksi? Tässä IAB Insider -jaksossa dentsun Juha Halmesvaara ja Aleksi Auvinen keskustelevat luovuuden merkityksestä markkinoinnissa, Cannes Lions -festivaalin opeista sekä siitä, miten Suomi voisi ottaa askeleen kohti kansainvälistä luovuuden kärkeä.

lue lisää

15.08.2025

IAB Studio: Mitä vastuullisuus digimainonnassa tarkoittaa?

Digitaalinen mainonta nähdään usein teknisenä tehokkuuspelinä, jossa klikit, näkyvyydet ja ROI hallitsevat keskustelua. Mutta mitä tapahtuu, kun mukaan tuodaan sana vastuullisuus? IAB Studion podcastissa juontaja Jannina Niskala ja vieraana ollut koulutusvastaava Heidi Blomberg IAB Finlandilta pureutuvat aiheeseen, joka koskettaa koko mainosalaa. Jaksossa käydään läpi, mitä vastuullisuus digimainonnassa tarkoittaa, miksi se on ajankohtaisempaa kuin koskaan – ja miten jokainen alan toimija voi lähteä liikkeelle, vaikka täydellisyyteen ei kukaan pääsisikään.

lue lisää

13.08.2025

Nimitysuutinen: IAB Finlandin uusi vetäjä kasvoi digimarkkinoinnin osaajaksi nuorten mukana

Anni Lintula aloitti 1. elokuuta IAB Finlandin toiminnanjohtajana. Aiemmin hän on toiminut muun muassa A-lehtien B2B-liiketoiminnan johtajana, yritysasiakkuuksien luovana johtajana ja nuorten medioiden liiketoiminnan johtajana. Lintulalla on myös taustaa palkittujen digimainonnan konseptien kehittäjänä. Koulutukseltaan hän on valtiotieteiden maisteri Helsingin yliopistosta.

lue lisää