90 päivän GDPR-sprintti

/ Peter Löfgren

90 päivän GDPR-sprintti_tekstillä.jpg

 

EU:n GDPR-tietosuoja-asetus astuu voimaan 25. toukokuuta. Ellet ole vielä varautunut, mitä ehdit ja pitäisi vielä tehdä? Lue vinkkimme viime hetken tietosuojasprinttiin!

Sähköisen viestinnän tietosuoja-asetuksen tarkoitus on säännellä ja suojata EU-kansalaisten yksityisyyden suojaa, henkilötietojen käyttöä, niiden avulla tapahtuvaa profilointia ja viestinnän kohdentamista. Se tulee 25.5.2018 pakottavana voimaan kaikille EU-alueella toimiville yrityksille, olivatpa ne Euroopasta tai Euroopan ulkopuolelta.

Uusi asetus, GDPR (General Data Protection Regulation), tuo ison määrään velvollisuuksia henkilötietojen käyttäjille (organisaatiot, yritykset, julkishallinto) ja uusia oikeuksia kansalaisille. Jos varautuminen uusien säädösten täyttämiseen on vielä vaiheessa, tee 90 päivän sprintti ja ryhdy laittamaan asioita kuntoon!
 

Kuukausi 1: Perehdy ja perkaa
 

Ota peruskäsitteet haltuun. Lue esimerkiksi kotimaisen tietosuojavaltuutetun sivuilta, mistä uudistuksessa on kysymys.

Perehdy omaan toimintaasi:

  • Mitä teet nyt?
  • Millaista tietoa (dataa) keräät?
  • Mistä kaikkialta tietoa kertyy? Mihin se tallentuu?
  • Kenellä on siihen pääsy? Jääkö kaikesta kerätystä tiedosta loki?
  • Mitä datalla tehdään? Kuinka pitkään sitä säilytetään?
  • Kulkeeko se kumppaneille?

Tarvitset tätä kaikkea tietoa, jotta voit varmistua, että toimit kaikissa vaiheissa uuden asetuksen mukaisesti.

Jo tässä saattaa olla enemmän työtä kuin arvaatkaan. Jos pelkkä sen kartoitus, missä tietoa kertyy, voi olla iso urakka. Tietoa kertyy esimerkiksi verkkosivustosi analytiikkaan, crm-järjestelmään, erp-järjestelmään, inbound-liideinä, sähköposteina, chat-palvelussa. Tietoa kertyy kuintekin myös rekrytoinnissa, kulunvalvonnassa, tapaamiskalentereissa, kameravalvonnassa, järjestelmiin kirjautumisissa, messutapahtumissa, kutsuvierastilaisuuksissa jne, jne.

 

Kuukausi 2: Tee toimintasuunnitelma


Suunnittele, kuinka toimit henkilötiedon kanssa GDPR:n voimaantultua.

Mieti, kuinka täytät esimerkiksi dokumentointivelvoitteet:

  • Miten syntyy dokumentoitu loki henkilötiedon käsittelystä, dokumentoitu käyttötarkoitus, dokumentoitu lista tietoon pääsevistä henkilöistä?
  • Tapahtuvatko nämä kirjaukset automaattisesti jonkin tietojärjestelmän avulla (käytännössä pakollista, mikäli tapahtumia on paljon) vai tehdäänkö se manuaalisesti (mahdollista, mikäli suoranaista henkilötietoa käytetään ja kysytään harvoin)?
  • Entä millä tavoin pyydät lupaa, dokumentoit sen saannin ja annat kuluttajalle mahdollisuuden peruuttaa antamansa lupa myöhemmin?


Isossa yrityksessä on tarpeen luoda sekä tietosuojan hallintomalli että käyttää jotakin automatisoitua järjestelmää velvoitteiden täyttämiseen. GDPR sijoittuu usein osaksi organisaation yleistä tietoturvan/turvallisuuden hallintomallia.

Pienemmissä yrityksissä tällaisia prosesseja ei välttämättä entuudestaan ole ja ne täytyy luoda.

Ratkaise tietosuojan hankintamalli:

  • Tietojen kerääminen: mitä tietoa keräät ja mihin tarkoitukseen
  • Tietojen säilytys ja dokumentointi
  • Tietojen käyttö ja asianosaisten informointi
  • Muutostenhallinta, luvat, päivitykset, mahdollinen hallinnointimalli, sisäiset tukiresurssit, tekniikka

 

Saatat myös joutua vastaamaan kumppaniyritystesi, päämiestesi tai asiakasyritystesi auditointipyyntöihin. Yritykset haluavat varmistua, että toimintaketjun kaikki osapuolet ovat GDPR:n suhteen tilanteen tasalla. Varaa tähän resursseja.
 

Kuukausi kolme: Palvelumuotoile tietosuojaasi

 

Lisätyötä aiheuttava velvollisuus on myös mahdollisuus luoda hyvä asiakas- ja asiointikokemus:

  • Miten perustelet toimintasi asiakkaillesi? Kuluttajista tulee aiempaa tietoisempia oikeuksistaan.
  • Miksi asiakkaasi kannattaisi antaa sinun analysoida heidän käyttäytymistään ja tietojaan?
  • Miksi asiakkaasi luottaisi siihen, että henkilötiedot ovat turvassa?
  • Kuinka viestit tämän kasvollisesti, ymmärrettävästi ja sympaattisesti? Mieti rehellisesti, teetkö asioita yrityksesi vai asiakkaan tarpeista lähtien!


Pitääkö GDPR:stä olla huolissaan?

 

Tosissaan pitää olla, mutta ei huolissaan mikäli dokumentaatiosi on kunnossa. GDPR-asetus mahdollistaa erittäin tuntuvat sakkorangaistukset lakia rikkoville yrityksille – ja muutamat yksittäiset ihmiset tai järjestöt saattavat haluta tehdä kiusaa uuden lain varjolla. 

Ennen rangaistuksia viranomaiset toimivat kuitenkin kuten yleensäkin: antavat huomatuksen, pyytävät korjausta määräaikaan mennessä, antavat varoituksen, antavat uhkasakon, asettavat väliaikaiseen toimintakieltoon – ja vasta sitten antavat sakon.

Mahdollista rikkomusta arvioidessaan viranomaiset ottavat huomioon ongelman vakavuuden, tahallisuuden ja sen, pyrittiinkö vahingot minimoimaan tai korjaamaan. Muun muassa Suomen tietosuojavaltuutetun toimisto on linjannut, että ensisijaisena tarkoituksena on opastaa ja valvoa, ei metsästää virheitä ja pohtia rangaistuksia heti lain voimaantultua.

Maineriskistä sen sijaan pitää aina olla huolissaan! Jos toimintasi kyseenalaistetaan asiakkaiden toimesta, maineesi kärsii helposti kolauksen somekanavien kaikukopassa, vaikka mitään vakavaa vahinkoa ei olisi tapahtunutkaan.

Huolehdi siis siitä, että suojaat arkaluontoiset henkilötiedot erityisen hyvin ja kysyt tarvittaessa lupaa tietojen käyttöön. Informoi tietojen käyttötarkoituksesta ja huolehdi dokumentoinnista. Vaikka olisit mattimyöhänen, pääset 90 päivässä hyvään vauhtiin. Toukokuussa pitää olla tosissaan, mutta ei vielä täydellinen.