
Mikä sen tietosuojalain nimi olikaan? Ai niitä onkin useampia!
Tietosuoja on kasvava juridiikan ala. Myös oikeustieteellisen koulutuksen saaneelle tietosuoja-asiat ovat välillä monimutkaista. Siitä huolimatta yhä useamman ei-juristin tulisi ymmärtää siitä jotakin. Viimeistään siinä vaiheessa, kun juristit alkavat puhumaan eri lakien nimistä ja pykälien numeroista, suurin osa mainonnan ammattilaista menettää kiinnostuksensa. Tietosuojan osalta on kuitenkin hyvä ymmärtää, että tietosuojasääntelyä on useissa eri laeissa. Mitä nämä lait oikein ovat?
Tietosuoja on oikeudenala, jota säännellään EU:n tasolla. Tällä hetkellä voimassa oleva tietosuojan yleislaki on Suomessa vuodelta 1999 oleva henkilötietolaki. Se perustuu EU:n henkilötietodirektiiviin vuodelta 1995. Koska kyseessä on direktiivi, on se eri jäsenmaissa implementoitu eli saatettu voimaan hieman eri tavoin. Tämä tarkoittaa sitä, että esimerkiksi se, kuka saa käsitellä henkilötietoja ja mihin tarkoituksiin, eroaa hieman jäsenvaltiokohtaisesti. Suomessa valvova viranomainen henkilötietolain alla on tietosuojavaltuutettu, joka antaa suosituksia ja ohjeita.
Henkilötietodirektiivi ollaan korvaamassa EU:n tasolla uudella, toukokuusta 2018 alkaen sovellettavalla, yleisellä tietosuoja-asetuksella. Usein Suomessakin siihen viitataan sanalla ”GDPR”, joka on lyhennys asetuksen englanninkielisestä nimestä. Koska kyseessä on sääntelyinstrumenttina asetus, on se sellaisenaan sovellettavaa oikeutta, eikä vaadi varsinaista kansallista implementointia. Eri jäsenvaltiot ja viranomaiset siis tulkitsevat samoja sanamuotoja. Tällä hetkellä eri jäsenvaltioiden tietosuojaviranomaisten muodostamalla työryhmällä ”working party 29” eli WP29:llä on ollut lähinnä tulkintasuosituksia antava rooli, mutta jatkossa heidän muodostamallaan tietosuojaneuvostolla ja sen antamilla tulkinnoilla tulee olemaan entistä suurempi merkitys.
Yleisessä tietosuoja-asetuksessa on määritelty tiettyjä asioita, joista jatkossa säädetään tarkemmin kansallisesti. Esimerkiksi ns. lasten suojaikäraja tietosuoja-asioissa määritellään kunkin jäsenvaltion oman harkinnan mukaan välille 13-16 vuotta. Suomessa ns. Tatti-työryhmä on antanut kesällä 2017 esityksensä uudesta kansallisesta tietosuojalaista, jolla siis otetaan niihin asioihin kantaa, joiden osalta tietosuoja-asetus jättää kansallista liikkumavaraa. Työryhmän työ on edelleen kesken, sillä se ei ole vielä ottanut kantaa siihen, miten tietosuoja-asetuksen johdosta tulisi muokata niitä useita satoja muita kansallisia lakeja, joissa tietosuoja-asioista tällä hetkellä säädetään.
Kohdennetun verkkomainonnan kannalta sähköisen viestinnän tietosuojadirektiivi (”ePrivacy-direktiivi”) vuodelta 2002 on erityisen merkittävä. Se sisältää säännöt mm. evästeille, sähköiselle suoramarkkinoinnille ja sijaintitietojen käsittelylle. Suomessa kyseinen direktiivi on implementoitu tietoyhteiskuntakaarella vuodelta 2014, aiemmin lähes vastaavat pykälät olivat sähköisen viestinnän tietosuojalaissa. Siinä eroja muihin jäsenvaltioihin on mm. evästesuostumuksen tulkinnan osalta. Valvovana viranomaisena evästeiden osalta on tällä hetkellä viestintävirasto. On syytä huomata, että tietoyhteiskuntakaari sisältää monia muitakin asiakokonaisuuksia.
Sähköisen viestinnän tietosuojadirektiivi on myös parhaillaan uudistumassa ja uuden sähköisen viestinnän tietosuoja-asetuksen ensimmäinen luonnos on julkaistu tammikuussa 2017. Lopullista versiota tai sen voimaantuloajankohtaa ei kuitenkaan ole vielä tiedossa, jonka vuoksi sääntelykokonaisuuden tulkinta on tällä hetkellä haastavaa.
Juridisesti haastavan vaikkapa kohdennetun verkkomainonnan toimintaympäristöstä tekee etenkin se, että tähän asti moni alalla on ajatellut, että pelkkää ns. evästetietoa käsittelemällä ei tarvitse välittää henkilötietojen käsittelyyn liittyvistä velvoitteista. Uuden tietosuoja-asetuksen henkilötiedon määritelmä on kuitenkin sillä tavalla aiempaa laajempi, että evästeillä ja vastaavilla tekniikoilla kerätyt tiedot ovat usein myös henkilötietoja, jolloin tietosuoja-asetuksen velvoitteet koskevat niitä käsitteleviä toimijoita. Tämän vuoksi ei kannatakaan tuudittautua ajatukseen, että toimintaa voidaan jatkaa aivan kuten tähänkin asti, sillä yleisen tietosuoja-asetuksen sisältö on jo lopullinen.
Joka tapauksessa, vaikka ns. evästetiedon katsoisikin joltain osin ei-henkilötiedoksi, sääntelyä ei kuitenkaan pääse pakoon. Sähköisen viestinnän tietosuoja-asetuksen ensimmäisessä luonnoksessa lähtökohtana on ollut, että evästeiden ja vastaavien tekniikoiden avulla kerättyjä tietoja voitaisiin käsitellä verkkomainonnassa vain suostumuksen perusteella. Tämä on lähtökohta nykysääntelyssäkin, mutta edellytykset suostumukselle tulevat suurella todennäköisyydellä jatkossa olemaan nykysääntelyä ja nykytulkintaa tiukemmat. Koska evästesääntelyssäkin näyttäisi jatkossa olevan uhkana samanlaiset mittavat hallinnolliset sakot kuin tietosuoja-asetuksessa, kannattaa muutoksiin suhtautua riittävällä vakavuudella.
Kirjoittaja Tiina Kerttula on Alma Media -konsernin lakiosastolla työskentelevä juristi, jonka työtehtäviin kuuluu mm. tietosuoja- ja markkinointijuridiikka.
Lue IABlogista aiemmat kijoitukset koskien tietosuojaa:
Pelätty, kauhisteltu GDPR – muuttuuko CRM-velhon työnkuva totaalisesti? Onko muutos aina pahasta vai olisiko tässä jotain hyvääkin? - Heli Ojala, MTV
Luotettavaa digitaalista ympäristöä rakentamassa. - Johanna Tuohino, Liikenne- ja viestintäministeriö
Henkilötietojen pseudonymisointi – ai siis mikä? - Laura Tarhonen, Sanoma
Näkökohtia profiloinnista uudessa tietosuoja-asetuksessa. - Kaija Kuusimaa, Kesko
26.09.2025
IAB Insider: Attention pintaa syvemmältä – miksi huomio ratkaisee mediamainonnassa?
Digitaalinen mainonta elää murrosta, jossa pelkkä näkyvyys ei enää riitä. Markkinoijat ja mediatoimistot etsivät entistä tarkempia keinoja mitata, miten mainokset todella vaikuttavat yleisöön. Tässä keskustelussa nousee esiin yksi termi ylitse muiden: attention. Mutta mitä attention oikeastaan tarkoittaa, miksi se on noussut puheenaiheeksi juuri nyt ja millaista lisäarvoa se tuo mediaostamiseen?
lue lisää23.09.2025
Attention ja vastuullisuus – digimainonnan uusi voimapari
Digimainonnassa puhutaan yhä enemmän attentionista – siitä, että henkilö todennettavasti katsoo tai kuulee mainosta, jolle on altistunut. Samalla vastuullisuus on noussut keskeiseksi teemaksi, ei vain yritysten arvoissa vaan myös konkreettisissa mediavalinnoissa ja tuotantotavoissa. Kun suunnittelet kampanjaa, attentionin ja vastuullisuuden yhdistäminen ei ole vain mahdollista – se on luonnollinen osa modernia, eettistä ja tehokasta mainontaa.
lue lisää22.09.2025
Retail media selkeytyy: IAB Finlandin Retail median työryhmä määritteli alan keskeiset muodot ja hyödyt
Retail media on noussut vauhdilla yhdeksi digimarkkinoinnin puhutuimmista ilmiöistä. Se tarjoaa mainostajille mahdollisuuden tavoittaa kuluttajat suoraan ostopolun eri vaiheissa – aina myymälästä verkkosivuille ja ulkoisiin medioihin. IAB Finlandin retail median työryhmä on laatinut selkeät määritelmät alan keskeisistä muodoista (in-store, on-site ja off-site), avannut niiden hyödyt ja haasteet sekä koonnut ohjeistuksen markkinan kehittämisen tueksi.
lue lisää12.09.2025
IAB Insider: Retail media – kuka voittaa, kun kauppa muuttuu mediataloksi?
Retail media on noussut vauhdilla markkinoinnin kuumimmaksi ilmiöksi – ja hyvästä syystä. Kun kaupat muuttuvat mediataloiksi, mainostajille avautuu uusia mahdollisuuksia tavoittaa asiakkaat aivan ostopolun ytimessä. Mutta kuka tässä pelissä lopulta voittaa, ja mitä riskejä ja haasteita liittyy datan, kanavien ja kaupallisten kumppanuuksien hallintaan? Uusimmassa IAB Insider -podcast-jaksossa sukelletaan retail median maailmaan, avataan sen merkitys suomalaiselle markkinalle ja kerrotaan, mitä jokaisen markkinoijan tulisi tehdä pysyäkseen kehityksessä mukana.
lue lisää