Päivä päivältä olemme lähempänä totuuden hetkeä. GDPR eli General Data Protection Regulation on ja pysyy. Ja siirtymäaika päättyy 25.5.2018. Eli ihan pian.

Uudistuksesta on kirjoitettu miljoonia kilotavuja ja sen tiimoilta on käytetty tonneittain printterin värikasetteja. Lakimiehiä on konsultoitu. Aamiaistilaisuuksissa käyty. On yritetty ymmärtää, mitä tietosuojauudistus tarkoittaa käytännössä. Itsekin kirjoitin jo runsas vuosi sitten EU:n tietosuojauudistuksesta ensimmäisen kerran.

Aika harva on osannut selittää asiaa siten, että maallikkokin ymmärtäisi mistä on kysymys käytännössä. Tässä kuitenkin muutama kohta todo-listallesi:

Huolehdi tietojen keräämisen laillisuudesta

Tietoja on käsiteltävä GDPR-periaatteiden mukaisesti. Lisäksi rekisterissä olevilta henkilöiltä pitää olla lupa tietojen keräämiseen, tai keräämiselle on jokin GDPR:n laillinen oikeusperuste.

Todennäköisesti erilaisissa markkinointirekistereissä on paljon dataa, jonka käyttö ei ole ensi kesäkuussa enää laillista – ellet sitten ole kerännyt suostumuksia oma-aloitteisesti jo ennen uudistuksen voimaan tuloa.

Olet varmaan huomannut oireita tästä omassa sähköpostissasi.

Monet markkinoijat ovat nimittäin ottaneet ilahduttavan etukenon ja hakeneet aktiivisesti markkinointilupaa jo nyt. Usein viestissä kerrotaan asiakasrekisterin päivittämisestä ja pyydetään vahvistamaan vaikkapa uutiskirjeen tilaus. Vahvistaneille tarjotaan jokin etu. Harvemmin kuitenkaan kerrotaan avoimesti, että ”asiakasrekisterin päivityksessä” on kyse markkinointiluvan saamisesta ja GDPR:n vaatimuksesta.

Sovi kirjallisesti tietojen keräämisestä

Henkilön on siis aktiivisesti hyväksyttävä tiedon kerääminen ja sen käsittely. Sovi siitä kirjallisesti – digitaalisessa maailmassa käytännön sovellus on usein evästeseloste (lakimiehesi antaa varmasti mielellään neuvoja ja esimerkkejä hyvän selosteen sisällöstä).

Tahdonilmaisun on oltava yksilöity, tietoinen, vapaaehtoinen ja yksiselitteinen. Käytännössä tämä tarkoittanee esimerkiksi sitä, ettei hyväksyminen voi olla esimerkiksi palvelun käyttöehto. Sitä ei myöskään voi muotoilla niin epämääräiseksi, että käyttäjä ei tiedä mitä hyväksyy.

Markkinoijan on siis vastaisuudessa tarjottava kohderyhmälleen niin paljon arvoa, että vastaanottaja kokee saavansa tietojensa käsittelylle vastinetta. Puolivillaisuudet eivät enää riitä.

Rekisteröidyn on voitava helposti kieltää tiedon kerääminen. Huomaa myös, että sinun on pystyttävä pyynnöstä esittämään rekisteröidylle mitä tietoa hänestä on kerätty. Tietojen on oltava helposti poistettavissa.

Tee tietosuojatilinpäätös

Vaikka tilinpäätös kuulostaa viimeiseksi tehtävältä asialta, on koko prosessi on hyvä aloittaa tästä. Siitä nimittäin saat hyvän kuvan tämän hetken tilanteesta ja näet mihin on kiinnitettävä huomiota.

Tietosuojavaltuutetun toimiston laatinut oppaan tietosuojatilinpäätöksen tekemiseen. Sen pohjalta tehdystä tilinpäätöksestä selviää esimerkiksi:

  • Mitä tietovarantoja organisaation hallussa on?
  • Mikä on organisaation tietoarkkitehtuuri?
  • Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys?
  • Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan?
  • Miten tiedot on suojattu?
  • Miten tietojen käyttöä valvotaan?
  • Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan?

Tietosuojatilinpäätös auttaa osoittamaan, että lainsäädännön vaatimukset on otettu yrityksen toiminnassa huomioon.

Muista myös nämä:

  • Päivitä verkkopalvelusi tietosuojalauseke, rekisteriselosteet ja sopimusehdot
  • Nimitä organisaatiosi tietosuojavastaava (pakollinen julkisella sektorilla, yli 250 hengen yrityksissä sekä aina jos käsittelet arkoja henkilötietoja tai laajoja rekisterejä)
  • Huolehdi, että rekisteröity pääsee vaivattomasti katsomaan kerättyjä tietoja ja poistamaan ne halutessaan

Tämä teksti on käytännön markkinoijan tulkinta. Konsultoi siis juristia, jos olet epävarma.

© 2017 Recommended Finland I Privacy