GDPR tietosuoja-asetus: Mitä yritysten pitää tietää ja tehdä

/ Petri Räsänen

EU-tasoinen yleinen tietosuoja-asetus astuu voimaan toukokuussa 2018. Lainsäätäjä käyttää nyt isoa keppiä ja on valmis koviinkin sanktioihin saadakseen yritykset ja organisaatiot toimimaan halutulla tavalla. Miten GDPR-asetukseen pitää varautua?

Lainsäätäjä ajaa tietosuojaa EU-kansalaisen perusoikeutena.

Säätely lisääntyy ja yhdenmukaistuu. Tämä koskettaa kaikkia, joilla on markkinointi- tai asiakashallintatarkoituksiin laadittu tilapäinen tai pysyvä rekisteri tai jotka keräävät asiakkaistaan tietoja tai jotka analysoivat verkkopalveluidensa vierailijoita. Käytännössä siis kaikkia yrityksiä ja organisaatioita.

Haaste on tämä: Ihmiset ovat huolestuneita tietosuojasta. Media ruokkii kohuja. Kaikki “tietävät”, että Facebook ja Google tietävät meistä kaiken. Ja samaan aikaan ihmiset kuitenkin haluavat personoituja, yksilöllisiä palveluja, jotka voivat perustua vain datan analysointiin ja hyväksikäyttöön.

Onnistuminen GDPR-säännösten kanssa edellyttää neljää asiaa. Jos yksikin puuttuu, ongelmia seuraa ennemmin tai myöhemmin.

 

1. Varmista lainmukainen toimintatapa ja dokumentointi

Ensimmäinen askel on kouluttaa oma tietosuojavastaava ja tarvittaessa käyttää muutoksiin varautumisessa asiantuntija-apua.

Käytännön työ alkaa aina samoista lähtökohdista:

  • Mitä tietoa käsittelet nyt? Kuinka laajasti? Kenen toimesta?
  • Mikä on tosiasiallinen tarkoituksesi tietojen käsittelyssä?  Mihin pyrit?

 

Nämä kysymykset auttavat ymmärtämään, millaisia toimintatapoja laki kussakin tietojenkäyttötilanteessa edellyttää. Näihin lukeutuvat mm. seuraavat:

  • Asiakasta/käyttäjää on aina informoitava tietojen käsittelystä.
  • Rekisterinpitäjän vastuut kasvavat.
  • Tietojen käsittelystä on oltava suunnitteludokumentti.
  • Tietojen sijainti ja niihin pääsy täytyy dokumentoida.
  • Asiakkaalla on oikeus poistaa antamansa suostumus (esimerkiksi markkinointilupa) ja tämän on tapahduttava helpolla tavalla.
  • Asiakkaalla on oikeus päästä tietoihinsa, oikeus oikaista niitä, oikeus poistaa niitä, oikeus rajoittaa niiden käsittelyä ja oikeus olla joutumatta automaattisen päätöksenteon kohteeksi.
  • Tietojen käsittely vaatii erityistä tarkkuutta, kun niistä voi tunnistaa henkilön. Käytännössä tämä voi ulottua jopa niinkin perustasolle, kuin yrityksen sivuilla vierailevan selaimen IP-osoitteen käsittelyyn, jos siitä voitaisiin jatkokäsittelyn avulla tunnistaa yksittäinen henkilö.  
  • Henkilöiden profilointi voi edellyttää vaikuttavuusarviointia ja voi edellyttää, että henkilöitä informoidaan profiloinnin kohteeksi joutumisesta.
  • Rikkeistä voidaan langettaa sakkoja sekä yritykselle että tietoja käsittelevälle henkilölle.

 

2. Muotoile tietosuojan käyttökokemus

Ylivoimaisesti suurin syy, miksi ongelmia syntyy ja kärjistyy riitatilanteiksi, on asiakkaan saama huono palvelukokemus.  Siksi tärkein osa-alue yleisen tietosuoja-asetuksen soveltamisessa on käyttäjäkokemuksen suunnittelu.

Tämä yllättää monet, jotka ajattelevat, että tietosuoja on hallinnollinen toimenpide, jossa vain täytetään lain muodolliset vaatimukset.

Kyseessä ei ole enää juristien homma, vaan luovaa suunnittelua edellyttävä palvelumuotoilu. Onnistunut toteutus hyödyntää tunniste- ja analytiikkatietojen mahdollisuudet niin, että asiakkaat ovat tyytyväisiä kokemukseensa ja luottavat palveluntarjoajaan.

Ihmisten informoinnin on muututtava ymmärrettäväksi ja palvelulliseksi.

Asiakkuusmarkkinointiliitto ASML:n vetäjä ja lakimies Jari Perko opastaa: “Lue oma tietosuojatekstisi kiireessä ja väsyneenä! Miltä se silloin tuntuu? Miten se toimii?”

Perko antaa käyttökokemuksen muotoiluun yksinkertaisen ohjeen. Kun asiakas tulee tietosuojaan liittyvien asioiden kanssa tekemisiin yrityksesi kanssa (verkossa, mobiiliapissa, palveluportaalissa, asiakaspalvelussa) asiakkaalla on oltava tunnekokemus siitä, että:

  • Tunnen itseni arvostetuksi.
  • Asiani ratkotaan ripeästi.
  • Minulle puhutaan ymmärrettävästi, ihmisten kielellä.

 

Tämä haastaa kaikki vaikeaselkoiset, kapulakieliset, monimutkaisilla termeillä puhuvat ja kaikki oikeudet itselleen varaavat lakitekstit, joita yritykset esimerkiksi verkkopalveluissaan viljelevät.

 

3. Tehosta toimintaa teknisillä ratkaisuilla

Tekniset ratkaisut helpottavat tietosuoja-asetuksen säädösten noudattamista ja varmistavat, että olet asianmukaisesti hoitanut informointivelvoitteesi verkkopalveluissa ja mobiilisovelluksissa. Käytännössä:

  • Tietojen käsittelystä on oltava dokumentti.
  • Käyttäjää on todistettavasti informoitava tietojen käytöstä ja tietosuojasta.
  • Sitoumusten ja lupien pyytäminen on kyettävä todistamaan.
  • Asiakkaan on pystyttävä perumaan antamansa suostumus, esimerkiksi markkinointilupa. Perumisen pitäisi olla yhtä helppoa kuin luvan antamisen.
  • Henkilötunnistetietojen käyttäjien ja käyttöhetkien täytyy olla seurattavia. Eri käyttäjien oikeudet on dokumentoitava.
  • Arkaluontoisen tiedon kanssa on noudatettava erityistä varovaisuutta. Tällaista tietoa voi olla mm. terveydentilaa koskeva tieto.
  • Asiakkaan/käyttäjän tietopyyntöihin on pystyttävä vastaamaan.

 

Viisasta olisi tehdä kriisiharjoitus, jossa kokeillaan käytännössä toimia tilanteessa, jossa tietosuoja pettää: kuka viestii ja mitä; kuinka lokitiedot käydään läpi; mitä kerrotaan asiakkaille; kuinka kaatunut tai tietomurron kohteeksi joutunut järjestelmä palautetaan pystyyn jne.

 

4. Levitä ymmärrys koko organisaatioon ja kumppaneille

Asetus tulee voimaan 25.5.2018. Keskeinen sisältö on tiedossa, mutta asetuksen yksityiskohtia hiotaan vielä. Käytännössä voimaantuloa seuraa siirtymäaika.

Siksi osa yrityksistä ja organisaatioista ajattelee, että asiaan ei ole vielä kiirettä varautua. Sääntöjen rikkojaa odottaa kuitenkin potentiaalisia sakkoja (jopa kymmeniä miljoonia euroja yrityksen liikevaihdon mukaan) suurempi uhka: kimpaantunut asiakas ja tilanteen retostelu mediassa. Viestintäkatastrofi on valmis, jos yritys yrittää selitellä, että heillä on vielä lain voimaantulonkin jälkeen siirtymäaika kesken. Siihen tilanteeseen ei somekohujen aikakaudella kukaan halua.

Fiksu yritys varmistaa, että kaikki organisaatiossa ymmärtävät, miten uusi GDPR-asetus muuttaa tietosuojan käytäntöjä. Kaikilla pitäisi olla perusymmärrys siitä, millaisista asioista täytyy informoida, mitä täytyy dokumentoida ja miten tietoja sa käyttää.

Yrityksen pitää lisäksi tarkistaa kumppanien osaaminen, sillä uuden lain myötä yritys on vastuussa myös kumppanien sille toteuttamasta tietojen käsittelystä.

Varaudu nyt ja käännä tilanne mahdollisuudeksi. Muotoile tietosuojan käyttökokemus palvelulliseksi ja luottamusta herättäväksi – ole kilpailijoita edellä!