General Data Protection Regulation tulee – oletko valmis?

GDPR. General Data Protection Regulation.

Joulukuussa 2015 EU pääsi yhteisymmärräykseen tekstistä, joka tulee vaikuttamaan kaikkeen digitaaliseen mainontaan ja digitalouteen laajemmin. Määräykset astunevat voimaan keväällä 2016 ja vaikutukset viimeistään 2018 keväällä.

Lyhyesti mistä GDPR:ssä on kyse:

1 Datasta tulee kaikkien (processors, controllers) ongelma. Kaikki osapuolet, jotka osallistuvat tiedon keruuseen, käsittelyyn ja valvontaan ovat jatkossa korvausvelvollisia tietovuodoissa.

2 Data Protection Officer on nimitettävä yrityksiin, joissa käsitellään suuria määriä yksityishenkilöiden tietoja

3 Korvaussummat ovat huomattavia, jopa 4% globaalista liikevaihdosta, mikäli yrityksen todetaan rikkoneen GDPR:n pykäliä.

4 Tiedon valvojien odotetaan 72 tunnin sisällä tietovuodosta ilmoittavan siitä viranomaisille. Tämä ulottunee myös salattuun informaatioon liittyvissä tietomurtoihin.

5 ”Privacy by design” ja ”Privacy by default” ovate jatkossa suunnittelun perusohjeet. Yritysten on keväällä 2018 osoitettava, että ne noudattavat GDPR:n sääntöjä.

6 GDPR ulottuu myös EU:n ulkopuolelle, jos vaikutuspiirissä on EU kansalaisia. Yksityiskohtana mielenkiintoiseksi tämän kohdan tekee esimerkiksi verkkomainonta EU:n ulkopuolelta EU kansalaisille. Kerättyyn käyttäytymisdataan vaikuttavat GDPR:n vaatimukset.

7 Henkilökohtaisiin tietoihin kuuluvat jatkossa myös IP-osoite ja kaikki online-tunnistamiseen liittyvät indikaattorit. Nimettömyys toki sallitaan edelleen.

8 Hyväksynnälle (esim hyväksyn, että tietojani kerätään) tulee kovemmat standardit. Enää kuluttajan hiljaisuutta, tekemättömyyttä tai jopa etukäteen ruksitettua boksia ei saa käyttää suostumuksen ilmaisemiseen. Lapset alle 16v ovat kokonaan suostumuspykälän ulkopuolella. Suomessa ikäraja sijoittuneen 13v ikävuoteen. Käytännössä meille annetaan oikeus tulla unohdetuksi jos niin haluamme sekä oikeus omiin tietoihimme ja jopa niiden siirtämisesi organisaatiosta toiseen (esim yhden mediatalon tiedoista toisen mediatalon tietoihin, jos niin haluamme)

9 Nettikäyttäjän profiloitiin vaaditaan kuluttajan ehdoton suostumus (explicit consent) mikäli profiloinnista syntyy merkittäviä vaikutuksia. Nykyisellään verkkomainontaan liittyvä profilointi ei kuulune merkittävän vaikutuksen piiriin.

Lisätietoja: http://europa.eu/rapid/press-release_IP-15-6321_en.htm

Toimistomme