Ajankohtaista - Grano — 30.01.2018 — min. lukuaika
EU:n uusi tietosuoja-asetus GDPR meloninkuoressa
”Pähkinänkuoressa” on vakiintunut ilmaisu, mutta EU:n tietosuoja-asetus eli GDPR on sen verran laaja ja paksu messukäsikirja, että vaihdamme pähkinän suosiolla meloniin. Senkään kuorien alle olisi vaikea – edes tiivistemehuksi – puristaa GDPR:n kaikkia eri osa-alueita, mutta käydään muutamia olennaisia kulmia läpi.
Varo käärmeöljyn myyjiä
Olen seurannut erilaisia EU-lainsäädännön tuotoksia viime vuosituhannelta saakka. Koskaan en ole kuullut niin paljon huteja ja vääriä huhuja, kuin GDPR:n äärellä. Sitkeästi on esimerkiksi liikkunut huhuja, että b2b-sähköpostimarkkinointi muuttuisi luvanvaraiseksi GDPR:n myötä. Ei muutu. GDPR ei sääntele kanavakohtaisista lähettämisluvista. Näistä säädetään valmisteilla olevassa ePrivacy-asetuksessa, jonka voimaantuloon on arviolta vajaa pari vuotta. Joku taas julistaa, että jatkossa kaikki profilointi vaati luvan. Ei vaadi.
Eli kun joku vahvasti väittää jonkun asian muuttuvan isosti GDPR:n myötä, pistäkää sanomiset rohkeasti puntariin ja koetukselle. Yksi syy väljiin ja jopa vääriin tulkintoihin on toki lukuisiin toimintoihin soveltuva GDPR itse, sillä siinä on monilta osin vielä paljon tulkinnanvaraa.
Data kartalle, tietosuojapäiväkirja pitoon
GDPR:n ytimessä on accountability eli tilinpitovelvollisuus. Yrityksen tulee voida näyttää noudattavansa GDPR:n velvoitteita. Lyhyesti tämä tarkoittaa sitä, että henkilötietojen sijainnit, tarkoitukset ja virrat tiedetään ja ne on dokumentoitu. Ja kun muutoksia tulee toiminnan jatkuvasti kehittyessä, pitäkää ”tietosuojapäiväkirjaa” eli dokumentoikaa jollain tapaa oma GDPR-arviointinne: onko uusi tekeminen alkuperäisen käsittelyperusteemme puitteissa; sisältyykö toiminta jo selosteeseemme; käsittelemmekö arkaluonteisia tietoja; tuleeko uusia alihankkijoita – ovatko nämä GDPR-kelpoisia; liikkuuko datamme maan tai EU-rajojen ulkopuolelle ja niin edelleen. Näitä arviointeja tulisi sitten laittaa talteen ”tietosuojapäiväkirjaan” ja katsoa vaatiiko uusi tekeminen toimenpiteitä vai pärjätäänkö vanhalla tietosuojainfralla.
Yrityksen tulee voida näyttää noudattavansa GDPR:n velvoitteita. Lyhyesti tämä tarkoittaa sitä, että henkilötietojen sijainnit, tarkoitukset ja virrat tiedetään ja ne on dokumentoitu
Peruskivien tunnistaminen
Ensinnäkin hahmota mitä tietoja käsittelet. GDPR ja tietosuoja on alkumetreillä ja muutoinkin pitkälti hahmottamistyötä. Esimerkiksi markkinointiautomaation parissa voi olla evästedataa eli selainyleisöjä jotka eivät sellaisenaan ole GDPR:n piirissä. Tällöin ollaan tämänhetkisen evästesääntelyn piirissä. Jos taas online -tai liididatasta löytyy tunnistettava henkilö, hypähdetään aidan yli GDPR-laitumen puolelle. Arkaluonteiset tiedot (terveystiedot, etninen tausta yms.) ovat oma maastonsa. Jo lähtöruudussa on hyvä muistaa ja hahmottaa, että yrityksessä on monenlaisia henkilötietoryppäitä, joita GDPR koskee, esimerkiksi asiakkaat, prospektit, henkilöstö, alihankkijat, kumppanit ja sidosryhmät.
Sitten hahmota käsittelyperusteesi. GDPR antaa 6 perusperustetta joilla yritys voi käsitellä dataa. Näistä 4 liiketoiminnalle yleisintä ovat sopimus, suostumus, ns. oikeutettu etu ja lain vaatimus. Kaikki yrityksessä käsiteltävä henkilötieto täytyy olla kiinni jossain käsittelyperusteessa. Sopimuksen täytäntöönpanoon liittyvä käsittely ja suostumus (älä käytä suostumusta turhaan!) ovat kohtuullisen selkeää maastoa. Oikeutettu etu (legitimate interest) on suomalaisille oudohko, melko avoin käsittelyperuste. Sen osalta on hyvä muistaa, että sen piiriin solahtavat vaikkapa nykyiset prospekti-/liidirekisterit ja tietoturvasyistä tapahtuva henkilötietojen käsittely. Lakiperustaisesta käsittelystä esimerkkinä voidaan mainita vaikkapa rahanpesulain velvoittama käsittely.
Info perille ja sopimukset kuntoon
GDPR:stä löytyy numeroidut listat asioista, jotka täytyy informoida rekisteröidylle. Informoinnissa pärjää pitkälti ihan nykyisellä selostemallilla. Edessä on siis nykyisen selosteen täydennys ja tuoreutus. Ja porukat tietysti seuraavat pitkin matkaa toisiaan siinä, mihin suuntaan moderni, yhä avoimempi informointi käytännön toteutuksissa kehittyy. Kaksi asiaa on syytä nostaa informoinnista esiin.
Ensinäkin käytä jargonista vapaata ihmisten kieltä, jos se vain suinkin on mahdollista ja anna esimerkkejä asiakkaille tutuista käsittelytilanteista ja käsittelyn hyödyistä. Vie linkki selosteeseen kaikkialle sinne missä tietoja keräät. Erilainen tietosuojainformaatio on hyvä kerätä yhden linkin taakse, jota on helppo keskitettynä info-resurssina sitten ”kylvää” ympäriinsä. Alla olevassa kuvassa muutamia informointipaikkoja.
Alihankintasuhteissa toimivat kaikki, jommallakummalla puolella. GDPR:n 28 artikla tuo rotia ja ryhtiä tähän edellyttämällä, että alihankkija saa käsitellä henkilötietoja vain, jos artiklan listaamat asiat on kirjallisesti sovittu. Kyseisen artiklan listaamat asiat ja tarvittavat tietoturvaprosessit ja -liitteet tulee siis laittaa kuntoon. GDPR:stä ei ole helppo rakentaa eroa tekevää kilpailuetua esimerkiksi kuluttaja-asiakkaille, mutta palveluntarjoaja voi aidosti erottua rivistä GDPR-kelpoisuudellaan, dokumentaatioillaan ja tietosuojaprosesseillaan.
Palvele asiakasta, tietosuoja on palvelua
Tietosuoja on yhä enemmän osa asiakaskokemusta ja se olisi syytä nähdä yhä enemmän palveluna ja palveluprosessina. Kun aiemmin selostettu informointi on kunnossa, sitä tukemaan tulee tuoreuttaa ja palvelullistaa GDPR:n edellyttämät käyttäjän oikeudet. Osan asioista voi automatisoida, osa jää manuaalisiksi asiointi- ja dialogiprosesseiksi.
Tietosuoja on yhä enemmän osa asiakaskokemusta ja se olisi syytä nähdä yhä enemmän palveluna ja palveluprosessina.
Monet käyttäjän oikeuksista ovat tuttuja kuten vaikkapa virheellisen tiedon oikaiseminen ja markkinointikiellon antaminen. Uusi oikeus tulla unohdetuksi on taas arkisempi asia kuin monesti on kirjoitettu. Jos yrityksellä ei ole oikeutta käsitellä tietoja tulee niiden olla poistettu tai jätetty hyötykäyttöön anonymisoituna trendidatana, jolloin ei ole mitään mihin käyttää unohtamisoikeuttaan. Jos taas yrityksellä on voimassa olevasta asiakkuudesta tai vaikkapa rahanpesulainsäädännöstä johtuva peruste käsitellä tietoja ”häviää” henkilön unohtamisoikeus näille käsittelyperusteille.
Ei siis ole mitään kaiken ylitse käyvää oikeutta tulla unohdetuksi. Automaattista päätöksentekoa koskeva ns. profilointiartikla ei juurikaan vaikuta monenkaan yrityksen toimintaan. Mutta tätä sekä esimerkiksi vaikeaselkoista vastustamisoikeusartiklaa pitää seurata ja katsoa mihin tulkinnat etenevät ja mitä muutostoimenpiteitä ne yritykseltä edellyttävät. GDPR ei ole projekti vaan matka. GDPR-kello ei myöskään pysähdy 25.5. vaan se jatkaa tikittämistään kvartaalista toiseen arkipäiväistyen läpinäkyvyydeksi, luottamukseksi ja liiketoiminnan kanssa samalla taajuudella sykkiväksi laatutoiminnaksi.