Tietosuoja-asetus muuttaa digimainonnan käytäntöjä
Järjestimme 14.4.2016 tietosuojaseminaarin, jossa halusimme tuoda esiin tietosuoja-asetuksen vaikutukset niin julkaisijan, käsittelijän, digitaalisen markkinoijan kuin toimialan lobbarin näkökannan kautta, ja painottaa sitä, että tietosuoja-asetus vaikuttaa merkittävällä tavalla lähes kaikkiin digitaalisen liiketoiminnan parissa toimiviin yrityksiin. Seminaarin aineiston löydät tämän linkin takaa. Tässä blogissa käsittelemme tietosuoja-asetuksen vaikutusta erityisesti digitaaliselle mainonnalle.
Tietosuoja-asetus koskee lähes kaikkia ja kaikkea
Tietosuoja-asetus tulee voimaan keväällä 2018, ja se on sellaisenaan sovellettavaa lainsäädäntöä kaikissa EU:n jäsenvaltioissa. Asetusta sovelletaan myös ulkomaisiin yrityksiin siltä osin kuin ne tarjoavat palveluita EU:ssa oleville kuluttajille tai seuraavat heitä.
Toinen soveltamisen kannalta merkittävä asia on henkilötiedon määritelmän laajuus. Kaikki data, jonka avulla luonnollinen henkilö on suoraan tai epäsuorasti tunnistettavissa kenen tahansa toimesta, on henkilötietoa. Tunnistaminen voi asetuksen mukaan tapahtua esimerkiksi verkkotunnistetietojen, IP-osoitteiden, evästeiden tai muiden vastaavien tunnisteiden avulla, ja näin ollen digimainonnassa tyypillisesti käytettävät tunnisteet – erityisesti jos niitä yhdistetään muuhun tietoon profiilin rakentamiseksi tai käyttäjän tunnistamiseksi yli laitteiden – tulevat tietosuojasääntelyn piiriin. Argumentti anonyymitiedon käsittelystä – ”yksilöimme vain laitteen, emmekä tiedä käyttäjän nimeä” – on tulevaisuudessa yhä vaikeammin puolustettavissa.
Sopimuskäytännöt tarkentuvat
Henkilötiedon laajan määritelmän vuoksi yritykset joutuvat pohtimaan uudelleen roolinsa digitaalisen mainonnan ekosysteemissa. Osa toimijoista, jotka ovat aiemmin vedonneet käsittelevänsä anonyymia tietoa, ovat uuden sääntelyn näkökulmasta rekisterinpitäjiä, jotka vastaavat tietosuojasääntelyn noudattamisesta kokonaisuudessaan. Toisista tulee henkilötietojen käsittelijöitä, jotka käsittelevät tietoa sopijakumppaninsa eli rekisterinpitäjän ohjeistuksessa ja lukuun. He voivat käsitellä omiin tarkoituksiinsa, esimerkiksi kehittääkseen tuotteitaan tai palveluitaan, ainoastaan anonymisoitua tietoa eli tietoa, joka on pysyvästi muutettu sellaiseen muotoon, ettei luonnollinen henkilö ole siitä tunnistettavissa. On tärkeää ymmärtää näiden roolien erot ja kuvata ne tietojen käsittelysopimuksissa. Asetus asettaa sopimuksille mm. kirjallisen muodon vaatimuksen ja käsittelijöille lähtökohtaisen kiellon käyttää alihankkijoita ilman rekisterinpitäjän suostumusta.
Rekisterinpitäjän ja käsittelijän välisten tietojen käsittelysopimusten lisäksi tietosuoja-asetus tullee vaikuttamaan myös julkaisijoiden ja julkaisijoiden sivuilta dataa keräävien kolmansien osapuolien välisiin käytäntöihin. Jollei dataa hyödyntävällä yrityksellä ole suoraa suhdetta rekisteröityyn, se joutunee sopimaan julkaisijan kanssa siitä, että rekisteröityä informoidaan tiedon käsittelystä ja luovuttamisesta, tarvittaessa erillinen suostumus pyytäen.
Valmistautuminen kannattaa aloittaa jo nyt
Yritysten tulee ymmärtää sääntelyn vaikutus omalla liiketoimintamallille ja aloittaa tietosuoja-asetuksen voimaantuloon valmistautuminen tekemällä toiminnan nykytila-analyysi. Joillekin yrityksille tämä analyysi osoittaa, että tietosuoja-asetuksen vaatimusten toteuttaminen edellyttää monien uusien prosessien ja dokumentaation luomista sekä muutoksia tekniseen ympäristöön. Toiminnan analysointi on kuitenkin myös oivallinen hetki pohtia, miten dataa voi hyödyntää tai kuluttajien oikeuksia innovatiivisesti toteuttaa. Tietosuoja ei ole vain lakimiesten asia, vaan yhä suuremmassa määrin teknologiaa, palvelumuotoilua ja ymmärrettävää kieltä.
Muutokset eivät lopu tähän
EU on käynnistänyt julkisen kuulemisen sähköisen viestinnän tietosuojadirektiivistä, joka säätelee mm. evästeiden käyttöä, sijaintitietoja ja sähköistä suoramarkkinointia. Asetuksen ja direktiivin suhdetta on syytä tarkentaa tulkintaepäselvyyksien välttämiseksi, mutta pelkona on, että uudistusten myötä yrityksille seuraa nykysääntelyä tiukempia velvoitteita, mm. velvoite tarjota maksullisia palveluita kohdennetun mainonnan kautta rahoitettujen palveluiden rinnalle, luoda selaimia tai käyttöjärjestelmiä, jotka hylkäävät oletusarvoisesti kolmannen osapuolen evästeet taikka kunnioittaa do not track -standardeja. Lainsäädäntöehdotusta odotetaan tämän vuoden loppuun mennessä.
IAB Europe seuraa lainsäädäntötyötä tarkasti, ja pyrkii vaikuttamaan toimialalle suotuisaan sääntely-ympäristöön. IAB Finlandin tietosuojatyöryhmä pyrkii tiedottamaan jäsenille alan lainsäädännön ja itsesääntelyn kehityksestä.
Anna Paimela, Senior Legal Counsel & Group Privacy Officer, Sanoma Oyj
Anna Paimela johtaa Sanoman tietosuojaohjelmaa ja IAB Finlandin tietosuojatyöryhmää. Innostuu digitaalisen liiketoiminnan juridisista haasteista ja mahdollisuuksista. Siirtyy Iconics Consulting Oy:n osakkaaksi 1.8.2016 alkaen.
12.01.2017
Quo vadis, evästesääntely?
Komissio on julkaissut luonnoksen sähköisen viestinnän tietosuoja-asetuksesta.
lue lisää13.09.2016
Tietosuojatyöryhmän kuulumisia – workshopit käynnistyvät
IAB pyrkii vaikuttamaan toimialalle suotuisiin tulkintoihin tuomalla viranomaisten tietoon käytännön esimerkkejä sekä muovaamalla toimialan parhaita käytäntöjä itsesääntelyn ja suositusten kautta.
lue lisää04.05.2016
Tietosuoja-asetus muuttaa digimainonnan käytäntöjä
Yritysten tulee ymmärtää sääntelyn vaikutus omalla liiketoimintamallille ja aloittaa tietosuoja-asetuksen voimaantuloon valmistautuminen.
lue lisää