Hei, saisinko puhua sinulle tietosuojasta?

Tietosuojalainsäädäntö uudistui vuosi sitten ja käynnissä on parhaillaan kahden vuoden siirtymäaika, josta puolet on livahtanut ohi. Paljon on puhetta GDPR compliancesta eli tietosuojalainsäädännön vaatimuksenmukaisuuden täyttämisestä. Onko sinun yrityksesi valmiina muutoksen voimaantuloon?

Pukumies salkun kanssa virnistää ja tervehtii.

Ja tapahtui niinä päivinä, että Euroopan unionilta kävi käsky, että henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä on lisättävä ja rekisteröityjen oikeuksia valvoa omien henkilötietojensa käsittelyä on vahvistettava.

Käsky koskee meitä kaikkia yrityksissä tietoja käsitteleviä henkilöitä, niin rekisterinpitäjiä kuin henkilötietojen käsittelijöitä. Henkilötiedoiksi lasketaan kaikki sellainen data, jonka avulla voidaan tunnistaa henkilö.

Tulkinnoista tosin on vielä näkemyseroja; joidenkin mukaan pelkkä IP-osoite tai cookie-tietokin voidaan tulkita henkilötiedoksi. Nähtäväksi jää, miten asetusta vastaisuudessa sitten tulkitaan – ja edelleen, kuinka tätä valvotaan ja kuinka epäkohtiin puututaan.

Yrityksillä on iso savotta edessään

Käsi sydämellä – miten teidän yrityksessänne on valmistauduttu siihen, että homma sujuu vuoden kuluttua vaatimusten mukaisesti? Onko vastuut ja roolit henkilötietojen käsittelyssä määritelty ja dokumentoitu? Onko teillä jo nimitetty tietosuojavastaava?

Pystyttekö pyydettäessä osoittamaan, kuinka, milloin ja mistä asiakastiedot on kerätty, millä perusteella ja kuinka asiakas on antanut luvan tietojensa käsittelyyn? Entäpä, jos asiakas kieltää tietojensa käsittelyn, onko datapolku mietitty loppuun asti siten, että perälauta ei vuoda?

Useassa yrityksessä asia on kuitattu sillä, että otetaan tämä sitten aikanaan työn alle. 2 vuoden siirtymäaika antaa illuusion, että aikaa on runsaasti. Arvelisin, että tämä lienee erityisesti sellaisten yritysten harhakuva, joissa tietosuoja ja henkilötietojen käsittely on jo vanhastaan ollut hyvällä mallilla.

Ennen vanhaan ei tällaisia tarvinnut miettiä, kun pystyttiin arkistosta kaivamaan se asiakkaan täyttämä kuponki, josta tarvittavat ruksit ja tiedot löytyivät. Teknologiakehityksen myötä tiedot siirtyvät bitteinä, ja on täysin järjestelmäriippuvaista, miten lokitiedot kertyvät ja miten tiedon saa järjestelmästä ulos. Yrityksen IT-osasto saa taipua mutkalle, jotta tiedot saadaan ulos järkevällä tavalla.

Kuluttajat, asiakkaat, potilaat – kutsutaan heitä sitten millä nimikkeellä tahansa, ovat takuulla tietoisia oikeuksistaan ensi kevääseen mennessä.

Nyt ei ole varaa jäädä odottelemaan ja tuudittautua siihen, että katsotaan mille mallille tilanne ensi keväänä asettuu. Kuluttajat, asiakkaat, potilaat – kutsutaan heitä sitten millä nimikkeellä tahansa, ovat takuulla tietoisia oikeuksistaan ensi kevääseen mennessä. Jos asiakas siinä vaiheessa pyytää tietonsa (ja veikkaan, että yrityksiin tulee piikki niin henkilötietojentarkistusten kuin siirtojenkin osalta), saattaa mennä sormi suuhun, jos siirtymäaikana ei olla valmistauduttu huolella.

Nuori silmälasipäinen mies lukee ohjekirjaa ja miettii.

Meillä Aller Medialla tietosuoja-asiat ovat olleet väkisinkin pöydällä, sillä data on olennainen osa liiketoimintaamme. Asiakasrekisteri on tärkein pääomamme, jota on vaalittu ja pidetty kuin kukkaa kämmenellä. Asiakasdata on kauppatavaramme, jolla ei pelleillä.

Kun haluaa olla omalla toimialallaan paras, täytyy paiskia enemmän hommia kuin muut, eikö vain? Tässä meillä ei ole varaa ryssiä. Asiakkaiden ja kumppaneiden luottamus täytyy ansaita.

Nappaa tästä tietosuojatilinpäätöksen malli, jos et vielä ole päässyt alkuun

Nyt keväällä aloitimme erillisen tietosuojaprojektin, jolla organisaatiomme on GDPR-valmis vuoden kuluttua. Minut nimettiin yrityksemme tietosuojavastaavaksi, ja olen mukana projektissa. Jos yrityksessänne ei vielä ole tällaista projektia käynnissä, tästä saat valmiit avaimet tietosuojatilinpäätöksen tekemiseen, jolla polkaiset homman käyntiin.

Paras tapa tässäkin on lähteä liikkeelle syömällä elefantti palanen kerrallaan. Purkamalla osiin voi työn jakaa useamman tahon kesken ja se on helpommin hallittavissa.

Tietotilinpäätös on yksi osa projektia.

  1. Tietotilinpäätös
    • Nykytilan kartoitus
      • Rekisterit
      • Prosessit
      • Järjestelmät
      • Sopimukset
      • Oikeusperusteiden ja tietosuojaperiaatteiden arviointi ja tarkoitus
      • Henkilötietojen ulkoinen käsittely ja rajapinnat
      • Rekisteröidyn oikeudet
      • Tietoturvan arviointi ja tietoturvaloukkaukset
      • Riskianalyysi ja vaikutusten arviointi
      • Talon sisäisen osaamisen kartoitus
    • Dokumentointi
      • Sisäisiä ohjeistuksia
      • Sisäisiä, tarvittavia dokumentteja
      • Julkisia, tarvittavia dokumentteja

Oma veikkaukseni on, että henkilötietojen käsittely ja siihen liittyvät järjestelmät ovat kunnossa, mutta vastuiden määrittely ja dokumentointi ovat ehkä jääneet puutteelliselle huomiolle. Niihin kannattaa nyt kiinnittää erityishuomiota, sillä asetuksen osoitusvelvollisuus edellyttää, että yritys pystyy näyttämään toteen sen, että rekisterinpitäjän velvollisuuksia noudatetaan.

Nuori silmälasipäinen mies nostaa peukut pystyyn ja virnistää.

Hyvä. Kun nämä stepit on ruksailtu valmiiksi, ollaankin jo melkein puolessa matkassa. Seuraavaksi aloitetaan toimenpiteet, joilla saadaan mahdolliset aukot kurottua umpeen ja pystytään sitten toteuttamaan myös tietojen siirrettävyys digitaalisessa muodossa. Ja vaikka tietojen digitalisointi onkin ”same, same but different”, se vaatinee vielä oman koreografiansa toteutuakseen lain (ja asiakkaan odotusarvon) vaatimalla tavalla.

Booooring!!

Vaikka aihe on kuivakka, eikä siitä puhuminen vastapuolessa intoa usein herätä (paitsi juristeissa ja dataflow-mestareissa), ei silmien sulkeminen tältä asialta auta. Hihat ylös, lapio käteen ja hommiin, niin tulee ajallaan valmiiksi. Ja mietitään sitten vielä sitä asiakasta. Tehdään tästä hauskaa.

Aihe on kuivakka, mutta silmien sulkeminen asialta ei auta. Hihat ylös, lapio käteen ja hommiin! Tehdään tästä hauskaa.

Sanon omille pojilleni monesti, että asiat ovat juuri niin tylsiä, kuin miten päätät niihin suhtautua. Uskon, että sama pätee tähänkin. Kyllä, kuivakkaa on, mutta hitto vieköön – tehdään siitä hauskaa! Haastan yritykset tekemään tietosuoja-aiheesta mielenkiintoisen ja hauskan asiakkaille ja talon omalle väelle. Lupaan tarjota lounaan sille, joka ensimmäisenä kertoo, että joku asiakkaasi tai työkaverisi on tästä aiheesta innoissaan (paitsi jos olet juristi tai dataflow-mestari).

Miten tästä eteenpäin?

Lisää lihaa luiden ympärille saat myös Asiakkuusmarkkinointiliitosta. Jari Perko ja Pia Pynnä seuraavat valmisteluita silmä kovana ja auttavat jäsenyrityksiä. Lähtökuopissaan on myös Tietosuojavastaavien Foorumi, jolla yritysten tietosuojavastaavat pääsevät käsiksi tuoreimpaan tietosuoja-asiaan ASML:n pureksimana. Pia on myös kirjoittanut hyvän artikkelin tietosuoja-asetuksesta.

Lue myös tietosuojavaltuutetun toimiston julkaisema hyvä ohjeistus.

Verkostoidutaanko?

Jos haluat keskustella tietosuoja-aiheista, ota yhteyttä. Kuulisin mielelläni, miten teillä toimitaan. Ehkä voisimme tehdä yhteistyötä näissä asioissa ja sparrailla toinen toistamme. Ja kunhan Tietosuojavastaavien Foorumi käynnistyy, niin tavataan siellä!

Keskustelua voidaan jatkaa myös twitterissä: @NannaLumio