Kuuntele blogi
EU:n uusi tietosuoja-asetus astui voimaan jo 2016, mutta 25.5.2018 on viimeinen päivä ryhtyä soveltamaan uuden asetuksen määräyksiä.
“Aiemmasta henkilötietodirektiivistä uusi asetus poikkeaa siinä, että se on nimenomaan asetusmuotoinen. Tämä tarkoittaa sitä, että kansallista lainsäädäntöä ei tarvita, ja asetus on pätevää oikeutta kaikissa jäsenmaissa, Suomi mukaan lukien. Tämä taas tarkoittaa sitä, että yksityinen henkilö voi suoraan vedota tähän lakiin”, Iso-Markku selvensi GDPR:n taustoja.
“Suomessa oikeusministeriön työryhmä miettii asetuksen ympärille tehtävää lainsäädäntöä, ja se on esittänyt, että tietosuojavaltuutetun tilalle perustetaan kansallinen tietosuojavirasto, joka resursoidaan paremmin vastaamaan uuden asetuksen viranomaistehtäviä.”
Iso-Markun mukaan digimarkkinoijien on hyvä huomioida GDPR:n ohella myös EU:n vasta valmisteilla oleva ePrivacy-asetus, joka tulee vaikuttamaan myös markkinoinnin ja myynnin työhön. Tavoitteena on, että ePrivacy astuu voimaan samaan aikaan kuin GDPR.
Iso-Markku totesi, että GDPR on tärkeä, sillä digitaalisena aikana käytännössä kaikilla yrityksillä on hallussaan henkilötietoja.
“Myös tekniset tiedot luetaan henkilötiedoiksi, ja myös niihin pätee sääntely. Jos yritys ei toimi uuden lainsäädännön mukaisesti, valvova viranomainen tulee ensin kehottamaan rekisterinpitäjää korjaamaan toimintaansa, ja jos ei asia korjaannu, kieltämään tietojen keräämisen. Jos edelleen rikotaan lakia, seuraamukset ovat kovat: kovimmillaan 20 miljoonaa euroa tai neljä prosenttia edellisen vuoden liikevaihdosta. Meillä valvova viranomainen olisi suunnitteilla oleva tietosuojavirasto.”
Vaikka säädöksiin tuleekin suhtautua vakavasti, Iso-Markku kuitenkin kehotti laittamaan jäitä hattuun kovien pelotteiden edessä. “Sanktioiden ohella kannattaa nykyisessä maailmassa, jossa ihmiset vaihtavat runsaasti tietoa vertaispalveluissa, kiinnittää huomiota puhtaaseen maineriskiin. Kaikki tietävät, että luottamuksen rakentaminen on hankalaa, ja siinä menee pitkään. Kun luottamus menee, se menee käytännössä välittömästi. Jos joku käsittelee henkilötietoja väärin ja fakta leviää yleisön joukkoon, on piru merrassa”, hän muistutti.
Esimerkiksi Iso-Markku nosti taannoisen THL:n tapauksen, jossa laitokselta oli vuotanut arkaluontoisia henkilötietoja. Laitos joutui lopulta ilmoittamaan henkilökohtaisesti tietosuojavuodosta niille käyttäjille, joiden tiedot olivat levinneet verkkoon.
“GDPR:n ollessa voimassa yrityksillä tulee olemaan sekä Suomessa että muualla Euroopassa velvollisuus ilmoittaa tietovuodoista viranomaiselle ja itse rekisteröityneille, joiden tietoja on vuotanut.”
Iso-Markku jäsensi GDPR:n huomionarvoiset muutokset nykyisiin käytäntöihin verrattuna sekä merkittävimmät vaatimukset yrityksille sen jälkeen, kun asetusta ryhdytään soveltamaan käytännössä.
Tähän asti on riittänyt yrityksen oma ilmoitus siitä, että tietosuoja-asiat ovat kunnossa. Jatkossa tämä pitää pystyä myös dokumentoimaan ja osoittamaan. Ykkösohjeeksi Iso-Markku antoi sen, että kaikki tietosuojaan liittyvä on dokumentoitava.
“Lähtökohtaisesti dokumentointi kannattaa hoitaa todella tarkalla tasolla. Jos yritys käsittelee henkilötietoja suhteellisen vähän tai epäsäännöllisesti, tai tietojen käsittely ei ole riskialtista, siinä tapauksessa ei tarvitse dokumentoida ihan niin tarkkaan. Mutta jos koko liiketoiminta pyörii analysoinnin ympärillä, ja hallussa on kymmenien tuhansien ihmisten aineistoja, dokumentointi on tärkeää, sillä tietojen käsittelyyn liittyvä riski on kohonnut. Tällöin myös osoitusvelvollisuus on kohotettu.”
Iso-Markun mukaan uudessa asetuksessa annetuista tietojen käsittelyn perusteista myynnille ja markkinoinnille oleellisimmat lienevät henkilön tai rekisteröidyn antaman suostumuksen peruste, sopimuksen valmistelemisen tai täytäntöön panemisen peruste, sekä rekisterinpitäjän oikeutetun edun toteuttamisen peruste.
“Oikeutettu etu on merkittävä peruste, ja siitä on puhuttu paljon. Myynnin ja markkinoinninkin parissa varmasti sen perusteella tullaan tietoja kerämäään, mutta siinä on huomattava, että se on heikompi peruste kuin suostumus tai sopimuspohjainen käsittely. Oikeutettua etua tulee verrata rekisteröityneiden oikeuteen ja vapauteen, ja siinä katsotaan, kumman intressi on perustellumpi.”
Uuden asetuksen astuttua voimaan käyttäjälle on kerrottava jo ennen tietojen keruuta tietojen keruun ja käsittelyn peruste ja tarkoitus, eli mihin tietoja tarvitaan ja käsitellään.
“Tietojen keruun ja käsittelyn tarkoitus voi olla lähtökohtaisesti aika helppo asia, mutta esimerkiksi analytiikan puolella, jossa kerätään käytännössä hirvittävä määrä dataa, voi olla, ettei itsekään tiedetä, mitä datasta tulee nousemaan ja mihin sitä lopulta hyödynnetään. Uuden asetuksen alla tämä on kyseenalaista, ja pitäisi määrittää melko tarkastikin etukäteen.”
Iso-Markku nosti esiin, että uuden asetuksen myötä suostumuksen hankkimiseen liittyvät kriteerit tiukentuvat aiemmasta, ja korosti, että suostumuksen tulee jatkossa olla informoitu, yksiselitteinen, vapaaehtoinen ja osoitettavissa.
“Toisin sanoen, sen pitää olla selkeästi erillään muista sopimusehdoista. Käytännössä sen siis pitää olla markkinointidatasta erillinen lause, esimerkiksi valintaruutu, eikä vaihtoehtoa saa olla etukäteen valittu. Henkilön tai käyttäjän pitää yksiselitteisesti klikata valinta itse, ja valikossa pitää olla hyvin selkeä teksti, esimerkiksi “täten annan luvan henkilötietojeni keräämiseen ja käsittelemiseen markkinointi- ja myyntitarkoituksissa”, Iso-Markku selvensi.
“Best practicena voitaisiin kysyä vielä erikseen, mihin kanaviin markkinointilupa annetaan, esimerkiksi uutiskirjeisiin ja puhelinmarkkinointia varten. Rekisterinpitäjän pitää pystyä jälkikäteen osoittamaan, että suostumus on hankittu, eli suostumus täytyy kirjata esimerkiksi lokiin, jotta se pystytään osoitusvelvollisuuden mukaisesti myöhemmin todentamaan.”
Jatkossa tietoja saa kerätä vain sen verran kuin on tarkoituksenmukaista.
“Tietojen keruun ja käsittelyn minimointi tarkoittaa sitä, että tietoja ei saisi kerätä enempää kuin mitä on absoluuttisesti tarpeen käsittelyn tarkoituksen toteuttamiseksi. Tämä on analytiikan kannalta ongelmallista, koska siinä usein pyritään keräämään kaikki käyttäjästä saatavilla oleva tieto.”
Henkilötietoja ei voi säilyttää jatkossa loputtomiin, ja yrityksen on tietosuojailmoituksessa informoitava käyttäjää tietojen säilytysajasta tai säilytysajan määrittämisen kriteereistä.
“Kriteeri voi olla esimerkiksi niin, että tietoja kerätään asiakassuhteen ylläpitämiseksi, ja tietojen säilytysaika on niin kauan kuin henkilö on asiakas. Sen jälkeen, kun asiakkuus päättyy, tiedot on poistettava. Kriteerit pätevät, ellei pystytä osoittamaan jotain muuta perustetta, jonka perusteella tiedot voidaan siirtää takaisin digirekisteriin. Tällaisia voivat olla alakohtaiset poikkeukset sekä kirjanpidolliset velvollisuudet.”
Uuden asetuksen perusteella yrityksen on kerrottava käyttäjille, miten ja miksi tietoja kerätään ja käsitellään.
“Rekisteröityjen selkeä ja riittävä informointi on hoidettu, kun nettisivuilla ja palveluiden yhteydessä on selkeä tietosuojaseloste, jossa tietosuoja-asiat on selvitetty. “
Uuden tietosuoja-asetuksen myötä yritys on velvollinen myös auttamaan rekisteröityneitä tietosuojaoikeuksien käytännön toteuttamisessa.
“Käytännössä tämä tarkoittaa sitä, että käyttäjälle pitää pyynnöstä antaa hänestä kerätyt tiedot katsottavaksi, ja tarjota mahdollisuus korjata väärät tiedot. Käyttäjälle pitää myös antaa mahdollisuus pyytää tietojensa poistamista. Vanhoista käytännöistä poiketen tietosuoja-asetuksen uutuus on käyttäjän mahdollisuus pyytää tietoja ulos tietojärjestelmistä myös siitä syystä, että niitä voidaan käyttää muualla.”
Monien yritysten henkilötietorekistereitä käytetään myös ulkopuolisten palveluntarjoajien ja kumppaneiden kanssa tehtävässä työssä. Iso-Markun mukaan uusi asetus edellyttää, että jatkossa yrityksen on tehtävä ulkopuolisten yhteistyökumppaneiden kanssa tietojenkäsittelysopimus.
“Tietojenkäsittelysopimukset tulee tehdä myös erikseen EU:n ulkopuolelle siirrettävistä tiedoista. Tietojen vieminen ETA-alueen ulkopuolelle, vaikkapa USA:an on siis edelleen sallittua, mutta siitä pitää sopia kirjallisesti, ja varmistaa, että riittävät tietosuojan takeet toteutuvat. Amerikkalaisilla palveluntarjoajilla on EU:n kanssa Privacy Shield -järjestelmä, johon monet yritykset ovat liittyneet. Sieltä voi tarkistaa, että yhteistyökumppani löytyy listalta, tai että he käyttävät EU-komission luomia mallilausekkeita.”
GDPR velvoittaa paljon henkilötietoja käsittelevän organisaation nimeämään keskuudestaan tietosuojavastaavan.
“Käytännössä tietosuojavastaava on valittava julkisorganisaatioihin ja sellaisiin organisaatioihin, jotka käsittelevät arkaluontoista tietoa, esimerkiksi terveys- tai rikosrekisteritietoa. Samoin organisaatioiden, joiden tehtäviin kuuluu laaja-alainen ja säännöllinen henkilötietojen käsittely, on valittava tietosuojavastaava.”
“Kunkin organisaation on siis hyvä miettiä, kuinka laajamittaisia tietoja kerätään, minkälaisia riskejä siihen liittyy ja olisiko syytä valita tietosuojavastaava. Myös tämä prosessi pitää dokumentoida osoitusvelvollisuuden mukaisesti, myös siinä tapauksessa, jos päädytään siihen, ettei tietosuojavastaavaa valita.”
Yrityksillä on uuden tietosuoja-asetuksen mukaan velvollisuus ilmoittaa tietosuojaan kohdistuvista loukkauksista laajasti.
“Tietosuojaloukkauksista ja -murroista on jatkossa informoitava viranomaisia sekä rekisteröityjä itseään, jos on todennäköistä että murto voi aiheuttaa korkeaa riskiä käyttäjälle, esimerkiksi identiteettivarkauden muodossa.”
Lopuksi Iso-Markku antoi listan konkreettisia ohjeita, miten edetä, jotta tietosuojakäytännöt ja koko organisaatio olisi GDPR-valmis, kun h-hetki lyö.
Iso-Markun ohjeet, mistä aloittaa yrityksen saattaminen GDPR-kuntoon:
Täältä voit lukea myös Antin oman kirjoituksen GDPR:stä.
Janilla on yli 20 vuoden kokemus asiakasyritysten myynnin kasvattamisesta. Hän on erikoistunut inbound-markkinointiin, myyntiin, konvertoimaan verkkovierailijoista myyntiliidejä sekä siihen, miten tehdään myyntiä niin, että ihmiset todella ostavat. Jani on merkittävä sosiaalisen median tekijä markkinoinnin ja myynnin parissa. Hänen suosituimmat kanavansa ovat podcastit KasvuPodcast, Lead & Trust, Myyntikanava ja Suoraa puhetta.
