Miten GDPR vaikuttaa tavallisen ihmisen toimiin verkossa?

Kirjainlyhennelmä GDPR (General Data Protection Regulation), eli EU:n tietosuoja-asetus, esiintyy yhä useammin eri yhteyksissä. Yleisesti puhuttaessa ilmassa on jopa pientä hypeä aiheen tiimoilta, sillä siirtymäaika päättyy 25. toukokuuta 2018, jolloin lakia ruvetaan soveltamaan. Rekisterin ylläpitäjillä on ollut kaksi vuotta aikaa reagoida uuteen lakiin. Jaakko Koivula pohti asetuksen tuomia velvollisuuksia jo vuosi sitten, mutta miten asetus vaikuttaa tavallisen ihmisen toimiin verkossa?

EU:n tietosuoja-asetuksen myötä rekisterin kerääjien on pitänyt laatia tietosuojaseloste, jossa informoidaan rekisteröidyn oikeudet. Seloste on rekisteriselosteiden laajennettu versio, jonka pitäisi löytyä viimeistään siirtymäajan jälkeen palveluntarjoajan verkkosivuilta. Vain harva jaksaa lukea selosteen läpi, mutta jos on asioinut viime aikoina esimerkiksi verkkokaupassa, on todennäköisesti antanut suostumuksensa tietojen keräilyyn.

GDPR antaa suojaa käyttäjälle ja ensimmäinen ehto tietojen keräämiselle on, että niitä saa kerätä vain, jos keräämiselle on perusteltu tarkoitus. Tietosuojaselosteesta tulisi käydä ilmi mitä tietoja kerätään, mihin käyttöön niitä kerätään ja kuinka kauan tietoja säilötään, sekä maininta tietojen käyttäjästä ja miten rekisteröity voi tarkastaa tietonsa.

Asetuksen tarkoituksena on lisätä läpinäkyvyyttä sekä mahdollisuus omien tietojen hallinointiin. Rekisteröidyllä on siis oikeus nähdä omat tietonsa, korjata tietojaan, poistatuttaa tietonsa, eli rekisteröidyllä on myös oikeus tulla unohdetuksi. Rekisteröidyllä on myös oikeus saada tietonsa itselleen sähköisesti siirrettävässä muodossa.

Toinen huomattava uudistus on rekisteröitävän suostumuksen antamisen aktiivisuus. Suostumus ei saa jatkossa olla valmiiksi valittu optio kyselylomakkeessa vaan vaatii omatoimisen valinnan tietojen rekisteröimiseen. Myöskään passiivinen hyväksyminen ei ole sallittua, eli jos rekisteröity ei aktiivisesti hyväksy tai kiellä asiaa, se ei oikeuta tietojen käyttöön.
Käyttäjien pitäisi myös saada tieto rekisterin päivittyvistä ehdoista, jos sähköpostiosoite on rekisterissä ennen muutosta. Moni onkin jo varmaan huomannut, että osa palveluntarjoajista osallistavat uusilla arvonnoilla ja palkinnoilla rekisteröityjä päivittämään tietonsa ja antamalla suostumuksensa uusiin ehtoihin myös tätä kautta.

Kevään aikana jokaisella rekisterinpitäjällä on tietosuoja-asetuksen osalta selvitystöitä listatessaan mitä rekistereitä organisaatiolla on käytössään, mitä tietoja rekisterit sisältävät tai millaisia riskejä ja prosesseja niiden käytössä on. Toukokuu lähestyy nopeasti ja asioihin on nyt viimeistään tartuttava.

Tämä artikkeli on kirjoitettu osioon Blogi.