Icon
Mikä sen tietosuojalain nimi olikaan? Ai niitä onkin useampia! Uutiset & blogi

Mikä sen tietosuojalain nimi olikaan? Ai niitä onkin useampia!

31.08.2017 | Alma Media

Tietosuoja on kasvava juridiikan ala. Myös oikeustieteellisen koulutuksen saaneelle tietosuoja-asiat ovat välillä monimutkaista. Siitä huolimatta yhä useamman ei-juristin tulisi ymmärtää siitä jotakin. Viimeistään siinä vaiheessa, kun juristit alkavat puhumaan eri lakien nimistä ja pykälien numeroista, suurin osa mainonnan ammattilaista menettää kiinnostuksensa. Tietosuojan osalta on kuitenkin hyvä ymmärtää, että tietosuojasääntelyä on useissa eri laeissa. Mitä nämä lait oikein ovat?

Tietosuoja on oikeudenala, jota säännellään EU:n tasolla. Tällä hetkellä voimassa oleva tietosuojan yleislaki on Suomessa vuodelta 1999 oleva henkilötietolaki. Se perustuu EU:n henkilötietodirektiiviin vuodelta 1995. Koska kyseessä on direktiivi, on se eri jäsenmaissa implementoitu eli saatettu voimaan hieman eri tavoin. Tämä tarkoittaa sitä, että esimerkiksi se, kuka saa käsitellä henkilötietoja ja mihin tarkoituksiin, eroaa hieman jäsenvaltiokohtaisesti. Suomessa valvova viranomainen henkilötietolain alla on tietosuojavaltuutettu, joka antaa suosituksia ja ohjeita.

Henkilötietodirektiivi ollaan korvaamassa EU:n tasolla uudella, toukokuusta 2018 alkaen sovellettavalla, yleisellä tietosuoja-asetuksella. Usein Suomessakin siihen viitataan sanalla ”GDPR”, joka on lyhennys asetuksen englanninkielisestä nimestä. Koska kyseessä on sääntelyinstrumenttina asetus, on se sellaisenaan sovellettavaa oikeutta, eikä vaadi varsinaista kansallista implementointia. Eri jäsenvaltiot ja viranomaiset siis tulkitsevat samoja sanamuotoja. Tällä hetkellä eri jäsenvaltioiden tietosuojaviranomaisten muodostamalla työryhmällä ”working party 29” eli WP29:llä on ollut lähinnä tulkintasuosituksia antava rooli, mutta jatkossa heidän muodostamallaan tietosuojaneuvostolla ja sen antamilla tulkinnoilla tulee olemaan entistä suurempi merkitys.

Yleisessä tietosuoja-asetuksessa on määritelty tiettyjä asioita, joista jatkossa säädetään tarkemmin kansallisesti. Esimerkiksi ns. lasten suojaikäraja tietosuoja-asioissa määritellään kunkin jäsenvaltion oman harkinnan mukaan välille 13-16 vuotta. Suomessa ns. Tatti-työryhmä on antanut kesällä 2017 esityksensä uudesta kansallisesta tietosuojalaista, jolla siis otetaan niihin asioihin kantaa, joiden osalta tietosuoja-asetus jättää kansallista liikkumavaraa. Työryhmän työ on edelleen kesken, sillä se ei ole vielä ottanut kantaa siihen, miten tietosuoja-asetuksen johdosta tulisi muokata niitä useita satoja muita kansallisia lakeja, joissa tietosuoja-asioista tällä hetkellä säädetään.

Kohdennetun verkkomainonnan kannalta sähköisen viestinnän tietosuojadirektiivi (”ePrivacy-direktiivi”) vuodelta 2002 on erityisen merkittävä. Se sisältää säännöt mm. evästeille, sähköiselle suoramarkkinoinnille ja sijaintitietojen käsittelylle. Suomessa kyseinen direktiivi on implementoitu tietoyhteiskuntakaarella vuodelta 2014, aiemmin lähes vastaavat pykälät olivat sähköisen viestinnän tietosuojalaissa. Siinä eroja muihin jäsenvaltioihin on mm. evästesuostumuksen tulkinnan osalta. Valvovana viranomaisena evästeiden osalta on tällä hetkellä viestintävirasto. On syytä huomata, että tietoyhteiskuntakaari sisältää monia muitakin asiakokonaisuuksia.

Sähköisen viestinnän tietosuojadirektiivi on myös parhaillaan uudistumassa ja uuden sähköisen viestinnän tietosuoja-asetuksen ensimmäinen luonnos on julkaistu tammikuussa 2017. Lopullista versiota tai sen voimaantuloajankohtaa ei kuitenkaan ole vielä tiedossa, jonka vuoksi sääntelykokonaisuuden tulkinta on tällä hetkellä haastavaa.

Juridisesti haastavan vaikkapa kohdennetun verkkomainonnan toimintaympäristöstä tekee etenkin se, että tähän asti moni alalla on ajatellut, että pelkkää ns. evästetietoa käsittelemällä ei tarvitse välittää henkilötietojen käsittelyyn liittyvistä velvoitteista. Uuden tietosuoja-asetuksen henkilötiedon määritelmä on kuitenkin sillä tavalla aiempaa laajempi, että evästeillä ja vastaavilla tekniikoilla kerätyt tiedot ovat usein myös henkilötietoja, jolloin tietosuoja-asetuksen velvoitteet koskevat niitä käsitteleviä toimijoita. Tämän vuoksi ei kannatakaan tuudittautua ajatukseen, että toimintaa voidaan jatkaa aivan kuten tähänkin asti, sillä yleisen tietosuoja-asetuksen sisältö on jo lopullinen.

Joka tapauksessa, vaikka ns. evästetiedon katsoisikin joltain osin ei-henkilötiedoksi, sääntelyä ei kuitenkaan pääse pakoon. Sähköisen viestinnän tietosuoja-asetuksen ensimmäisessä luonnoksessa lähtökohtana on ollut, että evästeiden ja vastaavien tekniikoiden avulla kerättyjä tietoja voitaisiin käsitellä verkkomainonnassa vain suostumuksen perusteella. Tämä on lähtökohta nykysääntelyssäkin, mutta edellytykset suostumukselle tulevat suurella todennäköisyydellä jatkossa olemaan nykysääntelyä ja nykytulkintaa tiukemmat. Koska evästesääntelyssäkin näyttäisi jatkossa olevan uhkana samanlaiset mittavat hallinnolliset sakot kuin tietosuoja-asetuksessa, kannattaa muutoksiin suhtautua riittävällä vakavuudella.

Kirjoittaja Tiina Kerttula on Alma Media -konsernin lakiosastolla työskentelevä juristi, jonka työtehtäviin kuuluu mm. tietosuoja- ja markkinointijuridiikka.

Lue IABlogista aiemmat kijoitukset koskien tietosuojaa:

Pelätty, kauhisteltu GDPR – muuttuuko CRM-velhon työnkuva totaalisesti? Onko muutos aina pahasta vai olisiko tässä jotain hyvääkin? - Heli Ojala, MTV
Luotettavaa digitaalista ympäristöä rakentamassa. - Johanna Tuohino, Liikenne- ja viestintäministeriö
Henkilötietojen pseudonymisointi – ai siis mikä? - Laura Tarhonen, Sanoma
Näkökohtia profiloinnista uudessa tietosuoja-asetuksessa. - Kaija Kuusimaa, Kesko

IABlogin Facebook kommentit

BLOGI
Anni Lintula IAB Finlandin toiminnanjohtajaksi

IAB Finlandin hallitus on nimittänyt Anni Lintulan organisaation uudeksi toiminnanjohtajaksi. Hän aloittaa tehtävässään 1.8.2025.

lue lisää

19.06.2025

Anni Lintula IAB Finlandin toiminnanjohtajaksi

IAB Finlandin hallitus on nimittänyt Anni Lintulan organisaation uudeksi toiminnanjohtajaksi. Hän aloittaa tehtävässään 1.8.2025.

lue lisää

16.06.2025

Euroopan digitaalinen mainonta huippukasvussa vuonna 2024

IAB Europen fasilitoima vuoden 2024 AdEx Benchmark -raportti tarjoaa kattavan kuvan Euroopan digitaalisen mainonnan kehityksestä – nyt jo 19. kertaa. Tänä vuonna mukana oli ennätykselliset 30 maata, joista uusimpana tulokkaana Portugal. Raportti osoittaa, että digitalisoituminen ja digitaalisen mainonnan vahva kasvu jatkuu. Digitaaliset mainosinvestoinnit Euroopassa kasvoivat 16% edellisvuoteen verrattuna ja saavuttivat huikean 118,9 miljardin euron tason. Kaiken kaikkiaan 67 % kaikesta Euroopan mediamainonnasta oli digitaalista vuonna 2024.

lue lisää

16.06.2025

Vaikuttajamarkkinoinnin määrä jatkoi kasvua vuonna 2024

IAB Finlandin ja vaikuttajatoimistojen yhteisen selvityksen perusteella vaikuttajamarkkinoinnin kokonaismarkkina Suomessa vuonna 2024 oli 59,6 miljoonaa euroa. Vuoteen 2023 verrattuna kasvua oli noin 6 %.

lue lisää

05.06.2025

Asiakasdata on liiketoimintasi todellinen moottori – mutta osaatko käynnistää sen?

Yritykset ovat vuosien saatossa rakentaneet asiakastietojärjestelmistään (CRM) valtavia digitaalisia datavarastoja. Näihin järjestelmiin on tallennettu parhaimmillaan tai pahimmillaan kaikki mahdollinen: asiakkaiden ostohistoria, asiakaskohtaamiset, kiinnostuksen kohteet – joskus jopa hiusten väri. Mutta mitä tapahtuu, jos kaikki tämä data jää pölyttymään järjestelmän perukoille?

lue lisää