Mitä spämmerin on otettava huomioon henkilörekisteriasioissa EU:ssa?

Vaikka Euroopan unionissa ei vielä ole varsinaista yhtenäistä spämmilainsäädäntöä, niin tietosuojadirektiivi (95/46/EY) rajoittaa henkilörekisterien käyttöä. Vaikka sähköpostispammaus voisi periaatteessa olla laillista, niin spämmäyksessä käytetty henkilörekisteri ei sitä välttämättä ole. Jos spämmeri näkee tarpeeksi vaivaa tehdäkseen rekisteristään laillisen, niin samalla hän luultavasti myös havaitsee, että spämmäys ei kannata -- ei PR-mielessä eikä muutenkaan.

Unionin tietosuojaviranomaiset tekevät yhteistyötä. Tästä on säädetty laissa, joten ainakin periaatteessa Suomen tietosuojaviranomaisille voi valittaa muissa EU-maissa tapahtuneista itseään koskevista väärinkäytöksistä (valittaminen mm. viranomaisille).

Seuraavassa on lueteltu joitakin asioita, joita henkilörekisterin pitäjän on tietosuojadirektiivin mukaan otettava huomioon, jos rekisterissä on yksityishenkilöiden nimiä ja sähköpostiosoitteita:

Markkinoinnissa Suomessa tulee noudattaa Suomen lainsäädäntöä (4 artikla), joka muun muassa kieltää ei-toivotut sähköpostimainokset. 6 artikla kohdan 1b mukaan henkilötietoja saa kerätä vain laillista tarkoitusta varten.
Henkilörekisteriä on käsiteltävä hyvää rekisteritapaa noudattaen (6 artikla) (tarkoituksenmukaisuus, virheettömyys, tietosuoja, ...).
Jos rekisteröity ei tiedä rekisteröinnistä, on rekisterinpitäjän kerrottava rekisteröidylle seuraavat tiedot viimeistään tietoja ensi kertaa luovutettaessa (11 artikla).
1. rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys,
2. tietojenkäsittelyn tarkoitukset,
3. kaikenlaiset lisätiedot, kuten kyseessä olevat tietoryhmät, tietojen vastaanottajat tai vastaanottajaryhmät, onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun, siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tietojaa käsitellään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.
Rekisterinpitäjän on ilmoitettava rekisteröidylle rekisteristä, jota käytetään suoramarkkinointiin. Ilmoituksen on tapahduttava ennen kuin tietoja luovutetaan sivullisille tai käytetään sivullisen laskuun (14 artikla). Rekisteröidylle on annettava mahdollisuus kieltää tietojen käsittely.
Rekisterinpitäjän on ilmoitettava rekisteristä ennen sen perustamista tietosuojaviranomaisille (18 artikla). Suomessa ilmoitusaika on vähintään 30 vuorokautta. Ilmoitusvelvollisuutta ei henkilötietolain mukaan kuitenkaan ole, jos rekisteröidyllä on asiakassuhde tms., johon rekisterin pitäminen kuuluu luonnollisella tavalla, tai jos rekisterin pitämiselle on kaikkien rekisteröityjen suostumus (muut poikkeukset on lueteltu henkilötietolain 36 §:ssä).
Henkilötietoja ei saa siirtää Euroopan unionin ulkopuolelle maahan, jossa ei ole komission arvion mukaan tarpeeksi korkeaa tietosuojan tasoa (esimerkiksi Yhdysvallat), jos siihen ei ole rekisteröityjen suostumusta (25 artikla).

Suostumus tietojen käsittelyyn tarkoittaa tässä yhteydessä yksiselitteisesti annettua lupaa. Esimerkiksi REMOVE-pyynnön tekemättä jättäminen ei ole suostumus.

Suomalainen henkilötietolaki on joissain suhteissa tietosuojadirektiiviä ankarampi.