Mikä on GDPR? Ei ainakaan mitään, mitä olisi syytä pelätä tai ylitulkita

Jaakko Kilpeläinen
Kirjoittaja
Jaakko Kilpeläinen
Julkaistu
6.4.2021

EU:n yleinen tietosuoja-asetus eli GDPR on saanut monet yritykset ja organisaatiot ihan varmuuden vuoksi kysymään lupaa kaikilta vastaanottajilta siihen, että saako teille lähettää viestejä. Siksi käytämme #365vinkkiä-sarjan yhden osan tiiviihköön selontekoon siitä, mikä on GDPR ja miten se vaikuttaa media- sekä vähän muuhunkin viestintään.

Haastattelin tammikuussa 2020 Ansaittu julkisuus -kirjaani varten tietosuojavaltuutettu Reijo Aarniota, joka, jos kuka, on perillä kolmisen vuotta sitten voimaan tulleesta, joskin ainakin vielä haastatteluhetkellä monin tavoin keskeneräisestä GDPR:stä.

Haastattelu keskittyi, kuten myös kirjani GDPR:n keskeneräiset soveltamisohjeet -niminen alaluku, lähinnä siihen, kuinka asetus vaikuttaa mediaviestintään.

Viestinnän kohdentamista käsittelevän luvun kyseisessä alaluvussa, joka kirjan painetussa versiossa alkaa sivulta 98, on kuitenkin paljon myös sellaista asiaa, jota voit soveltaa muuhunkin viestintään tai markkinointiin.

Ote alaluvusta GDPR:n keskeiset soveltamisohjeet

”Viestijällä herää herkästi muutamakin kysymys liittyen siihen, miten mediaviestintää sitten pitäisi tehdä näitä linjauksia ja tulkintoja odoteltaessa. Tarvitaanko rekisteröidyiltä etukäteinen suostumus heidän yhteystietojensa käyttämiseen tiedotuksessa? Selkeitä kyllä- ja ei-vastauksia Aarniolta ei juuri saa, koska linjaukset ovat tosiaankin haastatteluhetkellä kesken ja koska tietosuojavaltuutetulla ei ole ennakkohyväksymistoimivaltaa rekisterinpitäjiin. Aarnio kertoo kuitenkin seikoista, joita viestijän voi olla hyödyllistä huomioida rekisterinpitäjän roolissaan.

Ensinnäkin: ennen GDPR:n voimaantuloa Suomessa oli noin 700 lakia, jotka sanoivat jotakin henkilötietojen käsittelystä. Uusi tietosuoja-asetus ei suinkaan mitätöinyt niitä kaikkia vaan sisältää erinäisiä mahdollisuuksia soveltaa kansallista lainsäädäntöä GDPR:n sijasta silloin, kun lait ovat keskenään ristiriidassa. Aarnio mainitsee esi- merkkinä pelastuslain, jonka mukaan pelastustoimen johtaja saa tehdä kaikki tarvittavat temput väestön suojelemiseksi. Vaikka tästäkään ei vielä ole lukkoonlyötyä linjausta, Aarnio pitää todennäköisenä, että pelastustoimi saa pitää rekistereissään toimittajien yhteystietoja voidakseen tiedottaa vaaratilanteista medialle ilman jokaisen toimittajan ennakkosuostumusta. Arvopaperimarkkinalaki puolestaan velvoittaa pörssiyhtiöt tiedottamaan tekemisistään tiedotusvälineille.”

”Ongelmia tuskin tulee, jos…”

Ja vaikka tiedotusta tekevä firma ei olisi pörssiyhtiö tai kansalaisten turvallisuutta valvova viranomainen, viestintä ilman etukäteislupaa saattaa olla sallittua siinäkin tapauksessa. Ansaittu julkisuus kertoo: 

”Tähän vaikuttaa muun muassa se tapa, jolla tiedot on kerätty. Ongelmia tuskin tulee, jos tiedot on saatu taholta, jolla on rekisteröidyiltä saatu lupa välittää näiden tietoja eteenpäin. Mediaviestinnässä tällainen taho voisi olla tiedotejakelupalvelu, joka on kerännyt journalistien yhteystiedot asianmukaisesti ja tehnyt näille selväksi tietojen käyttötarkoitukset. Etukäteistä suostumusta ei liioin tarvita, jos rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen ja merkityksellinen suhde, kuten jäsenyys, asiakkuus tai työsuhde (tätä tarkoittaa edellä mainittu ”oikeutettu etu”). Viestijän ja toimittajan välillä tällaisen suhteen tunnuspiirteenä voitaisiin pitää vaikkapa sitä, että viestijä on ennenkin auttanut toimittajaa jutunteossa.”

Muista kuitenkin, että vastaanottajaa on informoitava tietojensa käsittelystä ja tälle on tarjottava mahdollisuus kieltää se.

Voi olla hyvä muistaa sekin, että ainakaan vielä helmikuuhun 2020 mennessä, jolloin tarkistin asian asiantuntevimmasta mahdollisesta lähteestä, Suomessa ei ollut annettu ainuttakaan sanktiota GDPR:n rikkomisesta. Tässä valossa sakot eivät vaikuta kovin todennäköisiltä sinunkaan tapauksessasi, vaikka joskus esimerkiksi onnistuisit suututtamaan jonkun lähettämällä tälle viestin, jota tämä ei olisi halunnut.

Kunhan muistat informoida vastaanottajia näiden tietojen käsittelystä ja tarjota näille mahdollisuuden kieltää se.


GDPR:ään liittyvästä seikoista kerrotaan perusteellisemmin etenkin mediaviestinnän näkökulmasta tarkemmin kirjassa Ansaittu julkisuus (jonka voit tilata tästä linkistä)

(Ennen kuin tilaat, kannattaa pyytää minulta 20 prosentin alennuskoodia – sen saadaksesi laita viesti osoitteeseen jaakko@njkl.fi).

Blogin pääsivulle