<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1029501197232858&amp;ev=PageView&amp;noscript=1">

Lyyti Blogi > GDPR: Myyttejä ja väärinkäsityksiä

GDPR: Myyttejä ja väärinkäsityksiä

Euroopan historian suurin tietosuojaa koskeva muutos on nyt alle kolmen kuukauden päässä. GDPR:n, eli EU:n tietosuoja-asetuksen siirtymäaika päättyy 25.5.2018 ja tuolloin tulee mm. kansallisten lainsäädäntöjen olla valmiina. Itse asetus on pakottava, eli isoja eroja ei maakohtaisesti lakeihin pitäisi tulla, mutta joitakin osioita maat voivat päättää itsenäisesti.

Koska läheskään kaikkiin asetuksen asioihin ei ole saatu vielä selvää kantaa - eikä kansallista lakiakaan ole vielä säädetty - on luontaista, että villejäkin spekulaatioita on ilmassa - ja paljon.

GDPR-uhkakuva

Täällä Lyytissä olemme tehneet GDPR-työtä nyt yli 700 asiakkaamme kanssa ja olemme sen myötä kuulleet tuhansia kysymyksiä. Näiden kysymysten pohjalta kokosin yleisimmät GDPR-myytit ja väärät uskomukset tähän blogikirjoitukseen. Luontaisesti me täällä pohjolassa suhtaudumme tähän(kin) lakimuutokseen vakavasti ja jopa hieman yliampuvan innokkaasti. Tämä näkyy myös näissä uskomuksissa. Lyyti toimii useassa eri maassa, ja esimerkiksi Ranskassa koko GDPR:ään suhtaudutaan hyvin paljon rennommin. “Kattellaan syssymmällä” on asenne siellä. Siksi voisimme ehkä Suomessakin aavistuksen löysätä kravaattia ja ampua pahimpia pelkoja alas. Varsinkin kun pidetään mielessä, että tietosuojaa on lailla säädelty jo vuosikymmeniä.

Tässä muutamia GDPR:n synnyttämiä oletuksia ja myyttejä:

1. Kaikki henkilötiedot tulee poistaa, kun niitä ei enää tarvita

Varsinkin tapahtumissa mielletään helposti, että osallistujalistaa tarvitaan vain lyhyen hetken ja tämän jälkeen järjestäjällä ei ole enää oikeutta säilyttää henkilötietoja. Näin ei asia tietenkään ole, vaan useat erilaiset syyt ja käyttötarkoitukset antavat rekisterinpitäjälle oikeuden ylläpitää rekisteriä pitkäänkin. Tällaisia syitä ovat esimerkiksi velvollisuus tai tarve seurata, kuka on mihinkin tapahtumaan, tilaisuuteen tai koulutukseen aikojen saatossa osallistunut. Joskus tämä tarve on oman toiminnan kehittämistä varten, toisinaan tarve syntyy velvollisuudesta osallistujaa kohtaan. Ei siis ole mitenkään yksiselitteistä, että henkilötiedot tulee poistaa, kun akuutti käyttötarve päättyy. Tämä on hyvä muistaa - samalla, kun muistaa, että esimerkiksi arkaluontoisia henkilötietoja (esim. terveydentilaan liittyvät tiedot) ei tule turhaan säilöä enää sen jälkeen, kun käyttötarve juuri näille tiedoille päättyy. Ja erityisen tärkeää on, että rekisteröity ymmärtää mihin hänen henkilötietojaan käytetään, miten niitä säilytetään ja kuinka pitkään.

2. Sähköpostilla ei saa enää tehdä markkinointia ja myyntiä

Hyvin usein kuulemme kysymyksen siitä, että saako GDPR:n jälkeen enää viestiä sähköpostilla asiakkaille tai prospekteille. Tottakai saa - ei GDPR tätä muuta. Viestin lähettäjällä voi olla oikeus lähettää viestiä esim. asiakassuhteeseen tai vastaanottajan antamaan muuhun suostumukseen perustuen. Lupa tai oikeutus viestintään on pitänyt olla jo paljon ennen kuin GDPR on nähnyt päivänvalon, joten mikäli viestijä on toiminut lain mukaan ennen GDPR:ää, ei tilanne juurikaan toukokuussa muutu.

3. Henkilötiedot voi jatkossa tallentaa vain yhteen järjestelmään

Yleinen uskomus on, että henkilörekisteri olisi jotenkin järjestelmäkohtainen. Eli jos käytössä on CRM, markkinointiautomaatiojärjestelmä ja tapahtumanhallintajärjestelmä, muodostuu näistä jo useita rekistereitä ja siksi toimintaa helpottaisi jotenkin se, että tietoja koottaisiin vain yhteen järjestelmään. Tämä ei pidä paikkaansa, vaan rekisteri on aina käyttötarkoitusriippuvainen, eikä sillä ole mitään tekemistä järjestelmän kanssa. Yksi rekisteri, esimerkiksi markkinointirekisteri, voi olla hajautettuna useaan eri järjestelmään. On tärkeää varmistua siitä, että kaikki järjestelmät vastaavat GDPR:n vaatimuksiin, mutta yhtä rekisteriä ei missään nimessä ole tarve keskittää yhteen järjestelmään. (Se voi toki joissain tapauksissa helpottaa elämää, jos käytössä olevat järjestelmät eivät keskustele keskenään kovin sujuvasti.)

4. GDPR:n myötä rekisteröityjen yhteydenottopyynnöt räjähtävät käsiin

Viimeisten vuosikymmenten aikana olemme luovuttaneet yhä kasvavan määrän tietoa itsestämme erilaisiin käyttötarkoituksiin, aika vähät välittäen siitä, kuka tietoja käyttää ja mihin. Tällaista hyvinkin tarkkaa profilointia mahdollistavaa tietoa on esimerkiksi Plussa-kortin käyttäminen. Käsi pystyyn kaikki, jotka ovat joskus pyytäneet nähtäväksi tietoja itsestään? Yhtään mistään?

Veikkaan, että aika harvan käsi nousi. En usko että jatkossakan ihmisen perusluonne niin paljon muuttuisi, että omien tietojen tarkastaminen, virheiden oikaisupyyntöjen lähettäminen ja anonymisointipyynnöt täyttäisivät suuren osan valveillaoloajastamme.

Sen sijaan uskon, että tietyt henkilöt tulevat varmasti testaamaan eri toimijoiden GDPR-valmiuden. Jo pelkästään heitä varten tulee käytettävien järjestelmien tarjota riittävät työkalut tietopyyntöjen täyttämiseen. Yhden ihmisen tietojen kerääminen sadoista eri exceleistä voi olla aika turhauttavaa työtä.

5. Emme saa enää jakaa henkilötietoja kumppaneille

Moni luulee että GDPR:n myötä ei voi enää tehdä yhteistyötä kumppanin kanssa esimerkiksi myynnin, markkinoinnin tai yhteisten tapahtumien merkeissä, koska se vaatisi osallistujalistojen jakamista. Tottakai voi! Rekisteri voi olla ns. jaettu rekisteri, jonka käyttöön tai katseluun useammalla osapuolella on oikeus. Erityisen tärkeää on vain se, että rekisteröity on tästä tietoinen ja on antanut tähän suostumuksensa.

6. Rekisteri ja lupa viestiä on sama asia

Ei ole. On kaksi aivan eri asiaa ylläpitää rekisteriä tai kohdistaa siinä rekisterissä oleviin ihmisiin toimenpiteitä. Voit hyvin pitää listaa vaikka prospekteista, mutta ilman suostumusta et voi lähettää esimerkiksi sähköpostimarkkinointia heille. Kannattaa myös huomioida eri palveluntarjoajien käyttöehdot. Joissakin, kuten esimerkiksi Lyytissä, kielletään suoraan esimerkiksi asemavaltuutukseen perustuva sähköpostiviestintä, vaikka se lain mukaan onkin Suomessa toistaiseksi sallittua.

7. Meidän tulee auditoida kaikki alihankkijamme

Asetuksen mukaan rekisterinpitäjä on vastuussa siitä, että rekisterin käsittelijä toimii GDPR:n mukaisesti. Yksi todentamiskeinoista tähän on auditointi. Todellisuudessa palveluntarjoajan auditointi - kevytkin sellainen - maksaa tuhansia tai kymmeniä tuhansia euroja, joten auditointia ei aivan kevyin perustein kannata vaatia. Toisaalta, mikäli palveluntarjoajalla ei ole esittää minkäänlaista dokumentaatiota siitä, miten he henkilötietoja puolestanne käsittelevät, voi auditointi olla ainoa ja välttämätön ratkaisu. Mutta silloin herää kysymys miten käsittelijä edes voi selvitä auditoinnista puhtain paperein, jos heillä ei ole ollut etukäteenkään esittää mitään dokumentaatiota tietojen käsittelystä. Kannattaa siis aina ensiksi pyytää selvitys tai dokumentaatio käsittelijältä ja vasta sitten harkita auditoinnin suorittamista. Erilaiset standardit, kuten ISO ja KATAKRI, ovat vahvoja todisteita siitä, että toiminta vastaa GDPR:nkin vaatimuksia. Esimerkiksi Lyyti tulee olemaan KATAKRI-kelpoinen maaliskuun 2018 aikana.

Pelko pois!

Yleisohjeena voisi sanoa, että turha pelko pois, niin ylilyöntejäkään tuskin tulee tehtyä. Pääasia on varmistua omien prosessien ja alihankkijoiden prosessien tietosuojasta ja tietoturvallisuudesta.

Petri Hollmén

Kirjoittanut Petri Hollmén on 28.3.2018

Minut löytää: