Tällä viikolla perjantaina 25.5.2018 päivämäärällä astuu voimaan GDPR asetus. Mikä tämä on? Miksi tästä nyt kohistaan niin paljon? Minkä takia olen saanut sähköpostia tähän liittyen useammasta eri palvelusta? Tässä kysymyksiä mihin tällä kertaa keskitytään :)

Mikä on GDPR?

GDPR eli General Data Protection Regulation on EU:n säädös, jolla pyritään parantamaan ihmisten henkilökohtaisten tietojen turvaamista sekä niiden käsittelyn läpinäkyvyyttä. GDPR koskettaa EU:n alueella olevia ihmisiä. Jokainen yritys joka on tekemisissä EU:n alueella asuvan henkilön tietojen käsittelyssä, on velvoitettu noudattamaan GDPR:ia.

GDPR:in sisään lukeutuu mm. seuraavat tiedot:

- Nimi

- Valokuva

- Sähköpostiosoite

- Sosiaalisen median julkaisut

- Henkilökohtaiset potilastiedot

- IP-osoite

- Pankki- ja maksuvälinetiedot

Lyhykäisyydessään kaikki tieto, millä sinut voidaan tunnistaa, luetaan GDPR asetuksen sisäiseksi tiedoksi. 16-vuotiaiden ja sitä nuorempien ihmisten tietojen käsittelyyn tarvitaan huoltajan suostumus. GDPR erittelee erikseen tiedon käsittelijän sekä tiedon haltijan, molemmilla näillä on omat vastuualueensa.

Miksi GDPR on sitten niin suuri juttu?

Toistaiseksi vastaavan laajuista säädöstä ei ole vielä olemassa. Internet on alunperin vapaan tiedon mekka, josta johtuen sääntelyitä ei ole paljoa alunperin luotu. Esimerkiksi spammaaminen (roskapostittaminen) ei alunperin ollut kiellettyä, vaan tätä vain paheksuttiin.

Yrityksille GDPR merkitsee rahallisestikin paljon, sillä sanktiot voivat suurimmillaan olla joko 20 miljoonaa euroa tai 4% yrityksen liikevaihdosta, kumpi sitten onkaan suurempi rahallinen summa. Mikäli yritys ei pidä asiakasrekistereitään kunnossa, voi sanktiona olla 2% liikevaihdosta suuruinen sakko. Sakon suuruuden määrää kuitenkin rikkeen vakavuus, eli pienempiäkin sanktioita löytyy.

GDPR:in myötä on myös uutuutena vaatimus, että asiakkaalta joka luovuttaa tietonsa tulee varmistaa, että tämä on lukenut ja hyväksynyt tietojenkäsittelyn ehdot ja käyttötarkoitukset. Myöskin uutuutena löytyy vaatimus, että mikäli tietomurto sattuisi, tulee siitä tiedottaa sekä viranomaisille että asiakkaille joita murto koskee. GDPR tarjoaa myös mahdollisuuden tulla unohdetuksi, eli tietoa ei saa säilöä pidempään kuin sille on perusteltua tarvetta ja tiedot tulee poistaa asianomaisen henkilön näin pyytäessä (jäljelle saa jäädä yritystoiminnan kannalta välttämättömiä tietoja).

Miksi tästä tiedotetaan nyt niin paljon?

Yllä on listattuna aika vakavia syitä yrityksille ryhtyä vihdoin toimeen. Muutospäivä on tosiaan tuo 25.5, mutta säädös on asetettu olemaan jo 14.4.2016, jolloin säädöksen täytäntöönpanolle annettiin kahden vuoden siirtymäaika. GDPR:ista johtuen yritykset joutuvat nyt muuttamaan käyttöehtojaan ennen tuota 25.5 päivämäärää, minkä johdosta muutoksista tulee tiedottaa asiakkaita ja kertoa myös selvästi, miten tietojen keruu sekä käsittely jatkossa tapahtuu.

Omalla kohdallani tämä tiedottamisen määrä alkaa jo muistuttamaan spammaamista, tämä tosin johtunee siitä että olen tietoni rekisteröinyt aika moneen paikkaan vuosien saatossa. Arvostan kuitenkin sitä, että yritykset mukautuvat GDPR:iin eivätkä lopeta toimintaa EU:n alueella.

Elektronikkarin GDPR aiheinen läpinäkyvyyden lisääminen

Itse allekirjoittanut ei pidä erillistä rekisteriä, eli itse en erikseen tallenna kävijätietoja tai kommentoijien sähköposteja/nimimerkkejä/viestejä tai mitään muutakaan tietoa mihinkään. Kaikki tieto mitä itselläni tallentuu, on:

- Vuodatus.net sivuston (Rouhea Oy:n omistama blogisivusto) kommentointi sekä viikkotasoinen kävijämäärätieto (ainoastaan kävijöiden määrä, ei yksilöiviä tietoja)

- Google Analytics palvelun (Alphabet Inc yrityksen tytäryhtiön Google LLC:n toimittama palvelu) keräämät tiedot kävijöistä, joiden käyttötarkoitus on tarkentaa kohderyhmää sekä lukijakuntaa. Tietoja säilytetään alustalla 25.5 alkaen 14 kuukautta (lyhin aika mitä tarjolla) ja tiedot pohjautuvat Googlen keräämiin profilointeihin.

- Facebook yhteisöpalvelun (Facebook Inc) kommentit, tykkäykset sekä jaot.

- Sähköposti (Elisa Oyj:n tajoama sähköpostiosoite joka on ohjattu Googlen Gmail sähköpostiin). Tämä on käytössä siltä varalta, että joku haluaa anonyymimmin lähestyä minua kommentilla ja/tai palautteella

Koska toimin yksityishenkilönä tämän blogin osalta, ilman ammatillista tai kaupallista toimintaa, ei GDPR edes kosketa minua. Osaltani tahdon kuitenkin edistää tiedon käsittelyn avoimuuden kulttuuria ja tarjota havainnollistuksen siitä, miten paljon mahdollisuuksia yksinkertaisen blogin pitäminen jo tarjoaa tiedonkeruuseen. Myöskin avaamalla omaa datankeruutani, tahdon havainnollistaa käytännön tarkoituksia eri palveluiden käytön osalta.

Mikäli haluat estää omien yksilöintitietojesi keruuta tällä sivustolla ja sen johdannaisissa, tässä ohjeet:

- Vuodatus.net: Älä kommentoi julkaisuja

- Google Analytics: Estä JavaScriptin toiminta selaimesta

- Facebook: Älä kommentoi, tykkää tai jaa http://fb.com/elektronikkari sivun julkaisuja

- Sähköposti: Älä lähetä minulle sähköpostia (osoite yhä elektronikkari (miukumauku) netti (piste) fi )

 

Tietosuojavaltuuttamaton,

Elektronikkari