Mikä sen tietosuojalain nimi olikaan? Ai niitä onkin useampia!
Tietosuoja on kasvava juridiikan ala. Myös oikeustieteellisen koulutuksen saaneelle tietosuoja-asiat ovat välillä monimutkaista. Siitä huolimatta yhä useamman ei-juristin tulisi ymmärtää siitä jotakin. Viimeistään siinä vaiheessa, kun juristit alkavat puhumaan eri lakien nimistä ja pykälien numeroista, suurin osa mainonnan ammattilaista menettää kiinnostuksensa. Tietosuojan osalta on kuitenkin hyvä ymmärtää, että tietosuojasääntelyä on useissa eri laeissa. Mitä nämä lait oikein ovat?
Tietosuoja on oikeudenala, jota säännellään EU:n tasolla. Tällä hetkellä voimassa oleva tietosuojan yleislaki on Suomessa vuodelta 1999 oleva henkilötietolaki. Se perustuu EU:n henkilötietodirektiiviin vuodelta 1995. Koska kyseessä on direktiivi, on se eri jäsenmaissa implementoitu eli saatettu voimaan hieman eri tavoin. Tämä tarkoittaa sitä, että esimerkiksi se, kuka saa käsitellä henkilötietoja ja mihin tarkoituksiin, eroaa hieman jäsenvaltiokohtaisesti. Suomessa valvova viranomainen henkilötietolain alla on tietosuojavaltuutettu, joka antaa suosituksia ja ohjeita.
Henkilötietodirektiivi ollaan korvaamassa EU:n tasolla uudella, toukokuusta 2018 alkaen sovellettavalla, yleisellä tietosuoja-asetuksella. Usein Suomessakin siihen viitataan sanalla ”GDPR”, joka on lyhennys asetuksen englanninkielisestä nimestä. Koska kyseessä on sääntelyinstrumenttina asetus, on se sellaisenaan sovellettavaa oikeutta, eikä vaadi varsinaista kansallista implementointia. Eri jäsenvaltiot ja viranomaiset siis tulkitsevat samoja sanamuotoja. Tällä hetkellä eri jäsenvaltioiden tietosuojaviranomaisten muodostamalla työryhmällä ”working party 29” eli WP29:llä on ollut lähinnä tulkintasuosituksia antava rooli, mutta jatkossa heidän muodostamallaan tietosuojaneuvostolla ja sen antamilla tulkinnoilla tulee olemaan entistä suurempi merkitys.
Yleisessä tietosuoja-asetuksessa on määritelty tiettyjä asioita, joista jatkossa säädetään tarkemmin kansallisesti. Esimerkiksi ns. lasten suojaikäraja tietosuoja-asioissa määritellään kunkin jäsenvaltion oman harkinnan mukaan välille 13-16 vuotta. Suomessa ns. Tatti-työryhmä on antanut kesällä 2017 esityksensä uudesta kansallisesta tietosuojalaista, jolla siis otetaan niihin asioihin kantaa, joiden osalta tietosuoja-asetus jättää kansallista liikkumavaraa. Työryhmän työ on edelleen kesken, sillä se ei ole vielä ottanut kantaa siihen, miten tietosuoja-asetuksen johdosta tulisi muokata niitä useita satoja muita kansallisia lakeja, joissa tietosuoja-asioista tällä hetkellä säädetään.
Kohdennetun verkkomainonnan kannalta sähköisen viestinnän tietosuojadirektiivi (”ePrivacy-direktiivi”) vuodelta 2002 on erityisen merkittävä. Se sisältää säännöt mm. evästeille, sähköiselle suoramarkkinoinnille ja sijaintitietojen käsittelylle. Suomessa kyseinen direktiivi on implementoitu tietoyhteiskuntakaarella vuodelta 2014, aiemmin lähes vastaavat pykälät olivat sähköisen viestinnän tietosuojalaissa. Siinä eroja muihin jäsenvaltioihin on mm. evästesuostumuksen tulkinnan osalta. Valvovana viranomaisena evästeiden osalta on tällä hetkellä viestintävirasto. On syytä huomata, että tietoyhteiskuntakaari sisältää monia muitakin asiakokonaisuuksia.
Sähköisen viestinnän tietosuojadirektiivi on myös parhaillaan uudistumassa ja uuden sähköisen viestinnän tietosuoja-asetuksen ensimmäinen luonnos on julkaistu tammikuussa 2017. Lopullista versiota tai sen voimaantuloajankohtaa ei kuitenkaan ole vielä tiedossa, jonka vuoksi sääntelykokonaisuuden tulkinta on tällä hetkellä haastavaa.
Juridisesti haastavan vaikkapa kohdennetun verkkomainonnan toimintaympäristöstä tekee etenkin se, että tähän asti moni alalla on ajatellut, että pelkkää ns. evästetietoa käsittelemällä ei tarvitse välittää henkilötietojen käsittelyyn liittyvistä velvoitteista. Uuden tietosuoja-asetuksen henkilötiedon määritelmä on kuitenkin sillä tavalla aiempaa laajempi, että evästeillä ja vastaavilla tekniikoilla kerätyt tiedot ovat usein myös henkilötietoja, jolloin tietosuoja-asetuksen velvoitteet koskevat niitä käsitteleviä toimijoita. Tämän vuoksi ei kannatakaan tuudittautua ajatukseen, että toimintaa voidaan jatkaa aivan kuten tähänkin asti, sillä yleisen tietosuoja-asetuksen sisältö on jo lopullinen.
Joka tapauksessa, vaikka ns. evästetiedon katsoisikin joltain osin ei-henkilötiedoksi, sääntelyä ei kuitenkaan pääse pakoon. Sähköisen viestinnän tietosuoja-asetuksen ensimmäisessä luonnoksessa lähtökohtana on ollut, että evästeiden ja vastaavien tekniikoiden avulla kerättyjä tietoja voitaisiin käsitellä verkkomainonnassa vain suostumuksen perusteella. Tämä on lähtökohta nykysääntelyssäkin, mutta edellytykset suostumukselle tulevat suurella todennäköisyydellä jatkossa olemaan nykysääntelyä ja nykytulkintaa tiukemmat. Koska evästesääntelyssäkin näyttäisi jatkossa olevan uhkana samanlaiset mittavat hallinnolliset sakot kuin tietosuoja-asetuksessa, kannattaa muutoksiin suhtautua riittävällä vakavuudella.
Kirjoittaja Tiina Kerttula on Alma Media -konsernin lakiosastolla työskentelevä juristi, jonka työtehtäviin kuuluu mm. tietosuoja- ja markkinointijuridiikka.
Lue IABlogista aiemmat kijoitukset koskien tietosuojaa:
Pelätty, kauhisteltu GDPR – muuttuuko CRM-velhon työnkuva totaalisesti? Onko muutos aina pahasta vai olisiko tässä jotain hyvääkin? - Heli Ojala, MTV
Luotettavaa digitaalista ympäristöä rakentamassa. - Johanna Tuohino, Liikenne- ja viestintäministeriö
Henkilötietojen pseudonymisointi – ai siis mikä? - Laura Tarhonen, Sanoma
Näkökohtia profiloinnista uudessa tietosuoja-asetuksessa. - Kaija Kuusimaa, Kesko
03.12.2024
Katsaus kuluneeseen vuoteen 2024: Ohjelmallinen Gaming
Gaming mainonta on ollut nousevia aiheita ohjelmallisessa ostamisessa vuoden 2024 aikana. Otimme IAB:n kanssa katsauksen kuluneeseen vuoteen gaming mainonnan parissa ja haastattelimme ohjelmallisen asiantuntijaa Nina Nordmania (Kinesso, IPG Mediabrands) sekä videomainonnan asiantuntijaa Aleksi Ylitaloa (RTL AdAlliance).
lue lisää29.11.2024
Mainostajat vahvasti mukana IAB Finlandin hallituksessa
Uusina IAB-painopisteinä tekoäly ja Retail Media - IAB Finlandin syyskokouksessa 27.11.2024 sovittiin vuoden 2025 painopisteet ja äänestettiin yhdistykselle uusi hallitus. Painopisteissä yhdistyy täysin uudet teemat, kuten tekoäly ja Retail Media, IAB:n perinteisiin vahvuuksiin liittyen digimainonnan kohdentamiseen sekä mittaamiseen. Uusina jäseninä hallitukseen valittiin seuraavaksi kahdeksi vuodeksi Clear Channel, Posti, Elisa, Veikkaus, Relevant ja IPG/Kinesso.
lue lisää29.11.2024
Kuinka hyödyntää tekoälyä vastuullisesti markkinoinnissa?
Tekoäly on noussut nopeasti markkinoinnin ammattilaisten tehokkaaksi työkaluksi, joka parantaa ideointia, sisällöntuotantoa ja analysointia. Vaikka tekoäly tuo mukanaan huomattavia etuja, kuten työprosessien nopeutumista ja automatisointia, sen käyttö edellyttää vastuullisuutta ja eettistä harkintaa. Tässä artikkelissa käsittelemme tekoälyn käyttöä markkinoinnin tukena ja vastuullisia käytäntöjä, jotka auttavat rakentamaan kestävää ja eettistä markkinointia.
lue lisää18.11.2024
Markkinoinnin vaikuttavuus: Mitä sinun tulee tietää lyhyen ja pitkän aikavälin mallintamisesta
Tutkimukset osoittavat, että markkinoinnilla on merkittävä rooli yrityksen kasvun edistäjänä. McKinseyn analyysin mukaan toimitusjohtajat, jotka ovat asettaneet markkinoinnin kasvusuunnitelmiensa keskiöön, saavuttavat kaksi kertaa todennäköisemmin yli 5 prosentin vuotuisen kasvun verrattuna kilpailijoihinsa. Jotta markkinointipanostukset voidaan kohdentaa oikein, tulee niiden vaikuttavuus olla todennettavissa.
lue lisää