Perjantaina voimaan astuva EU:n uusi tietosuoja-asetuksen (gdpr) sanktioiden tiukennus on aiheuttanut monissa yrityksissä paniikkireaktion, minkä seurauksena on ollut viime aikoina suuri määrä turhia sähköposteja niin tavallisille kuluttajille kuin yritysten sidosryhmille, arvioivat Tekniikka&Talouden haastattelemat asianajaja ja viestinnän asiantuntija.

Viime päivien sähköpostitulvassa turhin on suoraan yritykselle tai yrityksen työntekijälle suunnattu viesti, joka pyytää antamaan suostumuksen uutiskirjeiden lähettämiseen jatkossa.

Näitä viestejä on saanut kuka tahansa, joka myy, ostaa, viestii tai on muuten tekemisissä muiden organisaatioiden kanssa. Yleisin viestityyppi on sellainen, joka pyytää antamaan luvan viestien lähettämiseen jatkossa, tai muuten ne loppuvat. Asiantuntijoiden mukaan tämä on yleensä väärinkäsitys.

Jopa paniikinomaiselta vaikuttava reagointi johtuu sitä, että tietosuoja-asetuksen laiminlyönti voi 25.5. alkaen johtaa tuntuviin sakkoihin, eli jopa 20 miljoonaan euroon tai neljään prosenttiin yrityksen liikevaihdosta.

Suoraan yritykselle suunnattu viesti ei ole edes gdpr-asetuksen tai muun tietosuojasääntelyn piirissä, Asianajotoimisto Castrén & Snellmanin asianajaja ja osakas Eija Warma toteaa.

Jos taas vastaanottaja on organisaation työntekijä, organisaatiolla on gdpr-asetuksen mukaan niin sanottu oikeutettu etu käsitellä yhteystietoja. Viestejä saa lähettää myös ilman suostumusta, jos viesti liittyy vastaanottajan työtehtäviin.

Kuluttajan tapauksessa oikeus kerätä tiedot syntyy, kun on esimerkiksi asiakassuhde. Sähköisten markkinointiviestien lähettäminen taas vaatii kuluttajan ennakkohyväksynnän. Näin on ollut Suomessa tähänkin asti.

Oli kyseessä sitten kuluttaja tai organisaation edustaja, hänellä on aina oikeus erikseen kieltäytyä vastaanottamasta markkinointiviestejä.

Sen sijaan oikeus omien tietojen poistamiseen rekisteristä on kinkkisempi, koska on monia tilanteita, joissa oikeutta omien tietojen poistamiseen ei ole vaan rekisterinpitäjän oikeus käsitellä henkilötietoja ajaa tällaisen pyynnön edelle.

Tällaisia tilanteita voivat olla tuotevastuu tai takuu, liiketoimintaan liittyvä asiakkaan tunnistaminen, lainsäädäntöön liittyvä tunnistetietojen tallennus, rahanpesun ehkäisy tai vaikka arkinen erääntynyt lasku.

Ylireagoitu paniikki, sanoo viestintäalan konsultti Christina Forsgård, joka on viestintäyritys Netprofilen osakas.

Suurin väärinkäsitys on Forsgårdin mielestä, ettei yrityksissä ole ymmärretty tietosuoja-asetuksen niin sanottua oikeutetun edun periaatetta.

Sen mukaan henkilötietoja on oikeus käsitellä, kun rekisterinpitäjän ja rekisterin välillä on jokin merkityksellinen suhde ilman, että kuluttaja tai organisaation työntekijä on erikseen antanut tähän lupaa.

”Pian yritykset huomaavat, että sähköposti on ollut turha, ja nyt niillä on pulma, kun tällainen lupakysely on kuitenkin jo lähetetty.”

Warman mukaan näyttää siltä, että gdpr-konsultoinnin markkina on niin ylikuumentunut, että neuvoja ovat jakaneet monenlaiset tahot, myös sellaiset, joilla ei ole syvällistä osaamista aiheesta. Pelkkä asetuksen läpilukeminen ei tee kenestäkään asiantuntijaa.

”Innolla odotan, että tämä turha viestintä loppuu. En ole yhteenkään näistä saamistani viesteistä vastannut.”

Ylireagointi on näkynyt monin tavoin. Taloyhtiöissä on epäilty, saavatko asukkaiden nimet olla listattuna rappukäytävän seinällä. Harrastusseurat ovat harkinneet jäsentensä nimien poistamista tulostaulukoista, ja paljon muuta. Nämä eivät ole kuitenkaan perustuneet tietosuoja-asetukseen.

Suuri muutos uudessa tietosuoja-asetuksessa on kuluttajan oikeus tarkistaa ja siirtää oma tietonsa.

Tarkastusoikeus on ollut kuluttajilla tähänkin asti, mutta vastaustekniikka ja -aika nopeutuvat, Eija Warma huomauttaa.

Tähän asti kuluttajalla on ollut oikeus saada tietonsa kolmen kuukauden kuluessa, ja perjantaista 25.5. alkaen vastausaika lyhenee kuukauteen.

Lue koko juttu Tekniikka&Taloudesta