<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1029501197232858&amp;ev=PageView&amp;noscript=1">

Lyyti Blogi > "GDPR ei kosketa meitä"

"GDPR ei kosketa meitä"

GDPR, tuo neljän kirjaimen yhdistelmä, joka suomeksi tarkoittaa tietosuoja-asetusta, aiheuttaa parhaillaan yrityksissä ihmetystä, uteliaisuutta sekä ylimääräisiä unettomia öitä. Kaikki siitä puhuvat, mutta kukaan ei tarkalleen tiedä, kuinka asetusta tullaan soveltamaan käytännössä.

gdpr(1).png

GDPR on suurin muutos tietosuojan historiassa, eikä ole liioiteltua sanoa, että GDPR-koskee jokaista Euroopassa asuvaa ihmistä – yrityksistä puhumattakaan. Jokaisella Euroopan kansalaisella on jatkossa oikeus tietää mitä tietoja heistä löytyy erinäisistä rekistereistä. Meistä jokaisella on oikeus tietojen anonymisointiin, jolloin tietoa ei voida enää henkilöidä tunnistettavasti tiettyyn yksilöön. Tietojen säilyttämiseen ja hyödyntämiseen esimerkiksi markkinointiviestinnässä tarvitaan aina erillinen suostumus. Kuulostaa yksinkertaiselta, eikö?

Mistä niitä sanktioita sitten tulee?

GDPR kuulostaa ensijärkeilyllä hyvin yksinkertaiselta. Moni tuttuni kohauttaa GDPR:stä tiedusteltaessa hartioitaan ja ohittaa kysymyksen toteamalla, ettei tietosuoja-asetus kosketa heidän yritystään.

Väärin.

Koska luet tätä kirjoitusta tapahtumanhallintaan liittyvässä blogissa, nostetaan juuri tapahtuma-alan innoittamana yksinkertainen esimerkki.

Oletaan, että järjestät yrityksenne asiakkaille pienen tapahtuman. Päätät pitää osallistujalistaa excelissä. Järjestäthän kuitenkin vain muutaman pienen tilaisuuden vuodessa, joten tapahtumanhallintajärjestelmään ei kannata investoida. Pyydät myyjiäsi listaamaan avainasiakkaat yhteystietoineen ja toimittamaan ne sinulle sähköpostitse. Listaat vastaanotetut kontaktit exceliin ja tallennat tietokoneesi työpöydälle. Lähetät kutsut listan henkilöille uutiskirjetyökalun avulla ja vastaanotat ilmoittautumiset sähköpostitse. Merkitset exceliin päivittyneet tiedot ja luot siitä uuden tiedostoversion – onhan hyvä pysyä ajan tasalla. Muistat kysyä ilmoittautumisen yhteydessä mahdollisista erityisruokavalioista, tietääpähän alakerran catering sitten mitä ja monelleko valmistetaan. Ilmoittautuneiden excel on näppärää lähettää tiedostona suoraan keittiön henkilökunnalle.

Kutsulistalle oli päätynyt eräs entinen asiakkaasi ja hän lähettääkin viestin, jossa tiedustelee selvitystä rekistereistä, joissa hän on osallisena. Ilmoitat lyhyesti että asiakkaiden tietoja säilytetään CRM-järjestelmässä.

Saat toisen viestin, jossa hän toivoo tietojen anonymisointia. Poistat tyytyväisenä henkilön tiedot viimeisimmästä osallistujaexcelistä – tämähän on helppoa! Miksi tästä GDPR:stä sitten niin kovasti puhutaan?

Todellisuudessa yhden rekisterin sijaan on sinun tulisi etsiä käsiisi kaikki ne excelit, sähköpostit ja uutiskirjelistat, joihin olet tiedot tallentanut ja poistaa tiedot yksi kerrallaan. 

Yllä oleva karrikoitu tarinamme tapahtumanjärjestämisestä kuulostaa ehkä huvittavalta, mutta todellisuudessa se on arkipäivää monelle meistä. General Data Protection Regulation velvoittaa meitä olemaan entistä herkemmin kartalla siitä, missä ja miten tietoja hallitaan. Järjestelmät muodostavat harvoin yhtenäistä datainfrastruktuuria, jossa tietoa voidaan hallita yhdestä paikasta niin, että tiedot pysyvät ajan tasalla kaikissa muissa lukuisissa järjestelmissä ja rekistereissä.

Tapahtumanjärjestäjänä sinulla on hyvä pohtia GDPR:n käytännön vaikutuksia työhösi seuraavien kysymysten kautta:
  • Missä ja millaisessa muodossa säilytät tapahtuman kutsu- ja osallistujalistaa (esim. excel, pilvi, tapahtumanhallintajärjestelmä)?
  • Jaatko tapahtumastasi tietoa sidosryhmille tai sisäisesti esimerkiksi myyntitiimille (esim. excel, sähköposti, online-raporttilinkki)?
  • Mihin kaikkiin järjestelmiin tiedot siirtyvät automaattisesti integraatioiden kautta?
  • Mikäli osallistuja toivoo tietojen poistamista, kuinka monesta paikasta sinun - tai muiden henkilöiden - tulisi poistaa tiedot (huom, jokainen erllinen excel, sähköpostilista ja tulostettu osallistujalista lasketaan).
  • Keräätkö tapahtumailmoittautumisen yhteydessä luvan osallistujan tietojen käsittelyyn, profilointiin ja markkinointiviestintään?
  • Siirtyykö edellinen tieto integraation kautta kaikkiin muihin järjestelmiin, joissa henkilötietoja käsitellään?
 

Mikäli GDPR:n ja tapahtumien kysymykset askarruttavat mieltäsi, tarjoamme ilmaisen tapahtumien tietosuojariskianalyysin. Analyysin avulla kartoitamme mahdolliset tapahtumanhallintaan liittyvät GDPR-riskit ja tarjoamme ilmaisen konsultoinnin niiden minimoimiseen. Älä jää GDPR:n kanssa yksin vaan ryhdy toimiin jo ennen ensi vuotta!

PIILEEKÖ TAPAHTUMISSASI GDPR-RISKI?

Tee helppo ja nopea riskitesti!

TESTAA

Kirjoittanut Tiina Kilpelänaho on 07.12.2017