Mikä on yleinen tietosuoja-asetus (GDPR)?
Yleinen tietosuoja-asetus (GDPR) on oikeudellinen kehys, joka asettaa suuntaviivat Euroopan unionissa (EU) asuvien henkilöiden henkilötietojen keräämiselle ja käsittelylle. Koska asetusta sovelletaan riippumatta verkkosivustojen sijaintipaikasta, sen on noudatettava kaikkia sivustoja, jotka houkuttelevat eurooppalaisia kävijöitä, vaikka ne eivät erityisesti markkinoi tavaroita tai palveluita EU: n asukkaille.
GDPR velvoittaa EU: n vierailijoita ilmoittamaan useita tietoja. Sivuston on myös ryhdyttävä toimiin helpottaakseen EU: n kuluttajien oikeuksia oikea-aikaisena ilmoituksena, jos henkilötietoja rikotaan. Asetus annettiin huhtikuussa 2016, ja se tuli voimaan toukokuussa 2018 kahden vuoden siirtymäkauden jälkeen.
GDPR: n asiakaspalvelun vaatimukset
Säännösten mukaan kävijöille on ilmoitettava tiedot, jotka sivusto kerää heiltä, ja heillä on oltava nimenomainen suostumus kyseiseen tiedonkeruuseen napsauttamalla Hyväksy-painiketta tai muuta toimintaa. (Tämä vaatimus selittää suurelta osin niiden tietojen paljoa läsnäolon, joita sivustot keräävät "evästeet" - pienet tiedostot, joissa on henkilökohtaisia tietoja, kuten sivuston asetukset ja asetukset).
Sivustojen on myös ilmoitettava vierailijoille hyvissä ajoin, jos jotakin heidän sivustossaan olevaa henkilötietoaan rikotaan. Nämä EU: n vaatimukset voivat olla tiukempia kuin ne, joita vaaditaan lainkäyttöalueella, jolla toimipaikka sijaitsee.
Toimeksianto on myös arvio sivuston tietoturvasta ja siitä, onko palkattu erityinen tietosuojavastaava (DPO) vai voiko nykyinen henkilöstö suorittaa tämän toiminnon.
Tiedot siitä, kuinka ottaa yhteyttä tietosuojavaltuutettuun ja muihin asiaankuuluviin henkilöihin, on oltava saatavilla, jotta vierailijat voivat käyttää EU: n tietosuojaoikeuksiaan, joihin sisältyy muun muassa mahdollisuus poistaa heidän läsnäolonsa sivustolla. (Luonnollisesti sivuston on myös lisättävä henkilöstöä ja muita resursseja voidakseen suorittaa tällaiset pyynnöt.)
Muut yleisen tietosuoja-asetuksen (GDPR) säännöt ja valtuudet
Kuluttajien lisäsuojana GDPR vaatii myös, että kaikki sivustojen keräämät henkilötiedot (PII) joko nimetään (tehdään nimettömäksi, kuten termi viittaa) tai salanimet (kuluttajien henkilöllisyys korvataan salanimellä). Tietojen salanimitys antaa yrityksille mahdollisuuden tehdä laajempaa data-analyysiä, esimerkiksi arvioida tietyn alueen asiakkaiden keskimääräisiä velkasuhteita - laskelman, joka muuten saattaa olla lainan luottokelpoisuuden arvioimiseksi kerätyn tiedon alkuperäisten tavoitteiden ulkopuolella.
GDPR vaikuttaa muihin kuin asiakkailta kerättyihin tietoihin. Erityisesti kenties asetusta sovelletaan henkilöstörekisteriin työntekijöistä.
GDPR: ään liittyvät kiistat
GDPR on herättänyt kritiikkiä joillakin vuosineljänneksillä. Joidenkin mielestä vaatimus nimetä tietosuojavaltuutettuja tai yksinkertaisesti arvioida niiden tarvetta asettaa kohtuuttoman hallinnollisen taakan joillekin yrityksille. Jotkut valittavat myös, että ohjeet ovat liian epämääräisiä siitä, miten työntekijöiden tietoja käsitellä parhaiten.
Tietoja ei myöskään voida siirtää toiseen EU: n ulkopuolelle, ellei vastaanottava yritys takaa samaa suojaustasoa kuin EU vaatii. Tämä on johtanut valituksiin liiketoiminnan käytäntöjen kalliista häiriöistä.
Lisäksi on huolestuttavaa, että GDPR: ään liittyvät kustannukset kasvavat ajan myötä osittain siksi, että kasvava tarve kouluttaa asiakkaita ja työntekijöitä tietosuojauhista ja niiden korjaamisesta. On myös epäillystä siitä, kuinka toteutettavissa olevat tietosuojavirastot kaikkialla EU: ssa ja sen ulkopuolella voivat yhdenmukaistaa täytäntöönpanonsa ja asetusten tulkintansa ja varmistaa siten tasapuoliset toimintaedellytykset, kun GDPR: n täysimääräinen vaikutus tulee voimaan.
