GDPR:n purku: Kattava yleiskatsaus
Yleinen tietosuoja-asetus (GDPR) on maailman vaikutusvaltaisin tietosuojalaki. EU:n vuonna 2018 hyväksymä asetus on muovannut tapaa, jolla yritykset maailmanlaajuisesti käsittelevät henkilötietoja. Valvonnan tehostuessa vuonna 2026 tässä on kaikki, mitä sinun tulee tietää.
Mikä on GDPR?
GDPR on kattava tietosuojalaki, joka antaa EU-asukkaille hallinnan henkilötietojensa suhteen. Se koskee kaikkia organisaatioita — missä tahansa maailmassa — jotka käsittelevät EU-asukkaiden tietoja. Asetus kattaa tietojen keräämisen, tallentamisen, käsittelyn ja jakamisen.
GDPR:n keskeiset periaatteet
- Lainmukaisuus, kohtuullisuus ja läpinäkyvyys: Tietoja on käsiteltävä lainmukaisesti ja läpinäkyvästi.
- Käyttötarkoitussidonnaisuus: Tietoja voidaan kerätä vain määriteltyihin, lainmukaisiin tarkoituksiin.
- Tietojen minimointi: Kerää vain ehdottoman välttämättömät tiedot.
- Täsmällisyys: Henkilötiedot on pidettävä täsmällisinä ja ajan tasalla.
- Säilytyksen rajoittaminen: Tietoja ei tule säilyttää kauemmin kuin on tarpeen.
- Eheys ja luottamuksellisuus: Tietoja on käsiteltävä turvallisesti.
- Osoitusvelvollisuus: Organisaatioiden on osoitettava vaatimustenmukaisuus ennakoivasti.
Ketä GDPR koskee?
GDPR koskee kaikkia organisaatioita, jotka käsittelevät EU:ssa olevien henkilöiden henkilötietoja, riippumatta organisaation sijainnista. Tähän kuuluvat yritykset Yhdysvalloissa, Aasiassa tai muualla, joilla on EU-asiakkaita, verkkosivujen kävijöitä tai työntekijöitä.
Yksilöiden oikeudet GDPR:n nojalla
- Oikeus saada pääsy tietoihin: Käyttäjät voivat pyytää kopion tiedoistaan.
- Oikeus tietojen oikaisemiseen: Käyttäjät voivat korjata virheelliset tiedot.
- Oikeus tietojen poistamiseen: "Oikeus tulla unohdetuksi".
- Oikeus tietojen siirrettävyyteen: Käyttäjät voivat siirtää tietonsa toiseen palveluun.
- Oikeus vastustaa käsittelyä: Käyttäjät voivat vastustaa tiettyjä käsittelytyyppejä.
- Oikeus käsittelyn rajoittamiseen: Käyttäjät voivat rajoittaa tietojensa käyttötapaa.
Seuraamukset vaatimusten noudattamatta jättämisestä
GDPR-rikkomuksista voidaan määrätä sakkoja enintään 20 miljoonaa euroa tai 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi. Vuodesta 2018 lähtien viranomaiset ovat määränneet yli 4,5 miljardin euron sakot — suuret teknologiayritykset ovat saaneet joitakin suurimmista seuraamuksista. Valvonta on kiihtynyt merkittävästi vuosina 2025–2026, ja kansalliset tietosuojaviranomaiset lisäävät sekä seuraamusten tiheyttä että suuruutta.
GDPR ja digitaalisten markkinoiden asetus (DMA)
Vuodesta 2024 lähtien EU:n digitaalisten markkinoiden asetus toimii GDPR:n rinnalla säätelemällä sitä, kuinka suuret alustat käsittelevät käyttäjätietoja. DMA edellyttää, että nimetyt "portinvartijat" (kuten Google, Apple ja Meta) hankkivat nimenomaisen suostumuksen ennen käyttäjätietojen yhdistämistä eri palveluissa. Tällä on suorat vaikutukset siihen, kuinka suostumus kerätään ja välitetään mainonnan toimitusketjussa.
GDPR ja evästeet: Suostumuksenhallinnan rooli
GDPR:n ja sähköisen viestinnän tietosuojadirektiivin mukaan verkkosivustojen on hankittava nimenomainen suostumus ennen ei-välttämättömien evästeiden asettamista. Tämä tarkoittaa, että vaatimustenmukainen evästebanneri ei ole valinnainen — se on lakisääteinen vaatimus. Keskeisiä näkökohtia ovat:
- Ei-välttämättömät evästeet (analytiikka, markkinointi, mainonta) on estettävä, kunnes käyttäjä antaa nimenomaisen suostumuksen
- Suostumuksen on oltava vapaaehtoista — ei ennalta valittuja ruutuja tai evästeseiniä, jotka pakottavat hyväksymään
- Käyttäjien on voitava peruuttaa suostumus yhtä helposti kuin he sen antoivat
- Suostumusrekisterit on tallennettava ja oltava saatavilla auditointia varten
Google Consent Mode V2 ja GDPR
Maaliskuusta 2024 lähtien Google edellyttää, että Euroopan talousalueella (ETA) mainoksia näyttävät verkkosivustot käyttävät Google-sertifioitua CMP:tä ja ottavat käyttöön Consent Mode V2:n. Tämä integraatio varmistaa, että suostumussignaalit välitetään asianmukaisesti Googlen palveluille, mahdollistaen vaatimustenmukaisen mainosten näyttämisen säilyttäen mittausvalmiudet yksityisyyttä suojaavan mallinnuksen avulla.
IAB TCF 2.3 ja GDPR-vaatimustenmukaisuus
IAB:n läpinäkyvyys- ja suostumuskehys (TCF) versio 2.3 tarjoaa standardoidun tavan kerätä ja välittää suostumusta koko digitaalisen mainonnan ekosysteemissä. TCF 2.3 -yhteensopivan CMP:n, kuten FlexyConsentiin, käyttäminen varmistaa, että suostumussignaalit on oikein muotoiltu ja välitetty kaikille toimitusketjun mainostoimittajille.
GDPR-vaatimustenmukaisuus vuonna 2026
- Auditoi tiedonkeruu- ja käsittelytoimintasi
- Ota käyttöön Google-sertifioitu CMP, kuten FlexyConsent
- Varmista, että CMP:si tukee IAB TCF 2.3:a ja Google Consent Mode V2:ta
- Luo selkeät, helposti saatavilla olevat tietosuoja- ja evästekäytännöt
- Mahdollista rekisteröityjen tietopyyntöihin vastaaminen (DSAR)
- Kouluta tiimisi tietosuojavastuista
- Nimeä tietosuojavastaava (DPO) tarvittaessa
- Ota käyttöön tietoturvaloukkausilmoitusmenettelyt (72 tunnin sääntö)
- Tee säännöllisiä tietosuojan vaikutustenarviointeja (DPIA)