EU:n tietosuoja-asetus GDPR on uusi musta

Ensi vuoden (2018) toukokuu lähestyy. Tietohallinnon ja data-ihmisten otsalla kiiltelevät tuskanhien pisarat ja tietosuojajuristit hierovat yhteen ahneita käsiään. Tilanne on toivoton tai ainakin lähellä sitä. Kohta joka toiselle suomalaiselle yritykselle mätkähtää tuntemattomasta lähteestä suuret sanktiot, jotka pahimmillaan kaatavat koko liiketoiminnan. Vai onko sittenkään ihan näin? Mitä tietosuoja-asetus käytännössä tarkoittaa ja mihin sillä pyritään?

Henkilön oikeus hallita omia tietojaan on pääosassa

EU:n tietosuoja-asetus, hienolta nimeltään GDPR eli General Data Protection Regulation, korvaa aiemmin käytössä olleita EU-alueen maakohtaisia sääntöjä henkilöiden tietosuojaan liittyen ja laajentaa niitä. Suurin osa tietosuoja-asetuksen määrittelemistä säännöistä on jo ollut pitkään käytössä suomalaisessa lainsäädännössä. Oleellisinta on, että nyt tietosuojan laiminlyönti on sanktioitu – joissain tapauksissa jopa suhteellisen rankasti. On kuitenkin epätodennäköistä, että sääntöjä laiminlyöviä yrityksiä aletaan jahdata vaan haasteita tulee siinä vaiheessa, jos yritys joutuu tietomurron uhriksi, eikä tietosuojaan ole kiinnitetty asiaankuuluvaa huomiota ja suunnitelmat tietosuojan varmistamiseksi puuttuvat.

Tietosuojamarkkina käy kuumana

Koska kyseessä on asia, josta erilaisia huhuja on kaikki paikat täynnä, on tilanne myös omiaan kasvattamaan kaikenlaisia GDPR-ammattilaisia kuin sieniä sateella. Mukana kilpailussa pienten ja suurten yritysten tietosuoja-asiakkuuksista on sekä yksittäisiä asianajajia että suuria konsultointiyrityksiä. Markkinan ylikuumentumisen näkee mm. siitä, että kaikki EU:n tietosuoja-asetukseen liittyvät hakusanat maksavat Googlen hakusanamainonnassa useita kymmeniä euroja per klikkaus, kun parhaimmillaan kilpailluillakin aloilla klikkauksesta joutuu maksamaan 3 ja 5 euron välimaastossa. Kun vedenpitävää tietoa ja osaamista on vaikea saada, on sitä myös vaikea ostaa. Jotkut toimijat käyttävät tätä hyväksi häikäilemättä, koska tietävät jonkin verran asiasta – sokeiden planeetalla kyklooppikin voi olla kuningas. Kannattaa siis suhtautua varauksella siihen, mitä ostaa ja mistä.

Mikä sitten on oleellista?

Tietosuoja-asetus koskee kaikkea henkilötietoa, eli mitä tahansa yksityiseen tai yrityksessä toimivaan henkilöön liittyvää tietoa, josta henkilö on tunnistettavissa. Tietosuoja pitää olla siis hallussa sekä yritysten yhteyshenkilöiden että kuluttaja-asiakkaiden osalta, eikä unohtaa saa myöskään yrityksen omia työntekijöitä ja heidän henkilötietojaan. Oleellista on se, että yrityksen pitää pystyä osoittamaan mistä ja milloin lupa henkilötietojen säilyttämiseen on saatu. Jo aiemmin lupa sähköiseen viestintään (poislukien puhelimitse tapahtuva soittaminen) on pitänyt olla kanavakohtaisena, eli jos lähetetään sähköpostia, pitää olla selkeä osoitus siitä, että lupa sähköpostin lähettämiseen on annettu. SMS-viestejä ei saa lähettää, jos siihen ei ole erikseen lupaa. Henkilön yksilöivää tietoa ovat myös vaikkapa verkkosivustojen selailun tiedot käyttäjän IP-osoitteesta.

Yrityksen pitää pystyä osoittamaan, missä ja miten henkilötietoja säilytetään ja kuka yrityksessä vastaa tietojen turvallisuudesta ja käsittelystä. Tätä varten tietosuoja-asetuksen vaatimus on, että yrityksessä pitää olla tietosuojavastaava, joka valvoo, että yrityksessä noudatetaan tietosuoja-asetusta ja toimii tarvittaessa yhteyshenkilönä viranomaisten suuntaan.

Ostetut markkinointirekisterit

Monet yritykset tekevät uusien asiakkaiden hankintaa ostamalla rekisteritietoja niitä myyvältä taholta. Tätä voi jatkossakin tehdä, mutta yrityksen pitää pystyä osoittamaan, että tiedot on tuhottu markkinointitoimenpiteen jälkeen, eikä niitä tallenneta yrityksen omaan järjestelmään ilman viestin vastaanottajan lupaa. Tämä ei ole uusi asia, mutta todistustaakka on jatkossa suurempi ja prosessi, jolla tietojen tuhoaminen varmistetaan täytyy olla esitettävissä, jos sitä viranomaisten puolelta vaaditaan. Myös tietoja myyvältä toimijalta on hyvä pyytää selvitys siitä, miten EU:n tietosuoja-asetus on otettu huomioon.

Järjestelmien ulkopuolella olevat tiedot

Monien yritysten yhteyspäälliköillä ja myyjillä sekä muulla henkilökunnalla on erillisiä henkilölistauksia, joita on aikojen saatossa hankittu erilaisista lähteistä. Pahimmillaan näitä Exceleitä ja henkilölistauksia on siellä täällä ympäri yrityksen palvelimia, sähköpostilaatikoita ja sovelluksia. Myös nämä rekisterit ovat tietosuoja-asetuksen alaisia, eli jos niitä on, niistä pitää olla samanlaiset kuvaukset kuin järjestelmien rekistereistäkin sekä rekisteriselosteet, joissa kerrotaan, mitä tietoja rekisteri sisältää. Rekistereiden tietosuoja pitää myös olla hallinnassa. Kannattaakin harkita aika tarkkaan, mitä henkilötietolistoja on oleellista säilyttää ja mitä ei.

Mitä sitten tulisi tehdä, jotta kaikki olisi kuten pitää?

Kysymykseen ei voi antaa suoraa vastausta, sillä oikea vastaus riippuu siitä, mitä ja miten yrityksesi henkilöt ja järjestelmät henkilötietoja tallentavat ja käsittelevät. Tietosuoja-asetus kannattaa kuitenkin nähdä mahdollisuutena laittaa yrityksen asiakas- ja henkilötietojen hallinta ajan tasalle ja kerralla kuntoon. Nyt siihen on viranomaisen taholta valtuutus ja vaatimus. Mitä paremmin yrityksen henkilö- ja asiakastietorekisterit ovat hallinnassa, sen parempi se on myös yrityksen liiketoiminnan kannalta. Tässä yksi toimintamalli, jota yritys voi noudattaa:

  • Yritys nimeää tietosuojavastaavan, jonka tehtävänä on lukea läpi tietosuoja-asetus ja peilata sitä yrityksen toimintaan
  • Tietosuojavastaava tekee kokonaiskuvan yrityksen henkilötietojen hallinnasta ja rekistereistä
  • Tietosuojavastaava ohjeistaa yrityksen henkilöitä varmistamaan, että heidän keräämänsä asiakas-ja henkilötieto on määritetyssä paikassa ja tuhoamaan muut yksittäiset listat, jotka sisältävät henkilötietoja (joista henkilö voidaan tunnistaa) – samassa yhteydessä voidaan löytää hyödyllisiä rekistereitä, joiden olemassaolosta ei ole ennen edes tiedetty
  • Tietosuojavastaava varmistaa, että ylläpidettävissä henkilörekistereissä on tarvittavat tiedot siitä, miten ja mistä lupa tietojen tallentamiseen on saatu ja mihin tietoa voidaan käyttää
  • Tietosuojavastaava määrittää prosessin, millä rekisteriin kuuluvalla henkilöllä on mahdollisuus tarkastaa hänestä rekisterissä olevat tiedot ja poistaa ne niin halutessaan
  • Tietosuojavastaava päivittää henkilörekistereihin liittyvät rekisteriselosteet ja lisää ne nähtäväksi yrityksen verkkosivuille

Olellista on, että tietosuojavastaavan tehtävää ei voi ulkoistaa vaan yrityksestä pitää löytyä henkilö, jonka vastuulla henkilötietojen suoja on ja hän on tietoinen rekisterien käsittelystä laillisesti. Tietosuojavastaavalle on syytä antaa myös mahdollisuus käyttää ulkopuolista asiantuntijaa apuna tarvittavien toimenpiteiden suorittamiseen.

Koko EU-tietosuoja-asetus löytyy ilmaiseksi luettavana täältä.

Me MarkkinointiAkatemiassa haluamme varmistaa, että markkinointiin käyttämäsi asiakastieto käsitellään oikein ja tekemänne markkinointi on lain mukaista. Otamme siksi tietosuoja-asetuksen huomioon myös käyttämissämme digitaalisen markkinoinnin järjestelmissä. Jos haluat meiltä sparrausta tietosuoja-asetuksen osalta, ota meihin yhteyttä.

Jari Lindholm

Jari työskentelee MarkkinointiAkatemialla kaiken digimarkkinoinnin ja yritysten digitalisaatioon liittyvien haasteiden parissa luotsaten samalla markkinoinnin tuotantoa. Tämän blogikirjoituksen pohjana on vankka kokemus asiakastietojen käsittelystä ja hyödyntämisestä markkinoinnissa. 20 vuoden aikana sudenkuoppia tulee vastaan, mutta niistä selviää suunnittelulla. Ja jos välillä kompastuu, oppii aina uutta.

takaisin ylös