Lyyti Blogi > Miten GDPR vaikuttaa sinun arkeesi?

Miten GDPR vaikuttaa sinun arkeesi?

Mikä ihmeen GDPR? Onko se jotain syötävää, vai kenties uusi käyttöjärjestelmä tietokoneeseen? No, tähän mennessä olet varmaan kuullut, että GDPR tarkoittaa EU:n tietosuoja-asetusta, jonka siirtymäaika päättyy toukokuussa 2018. Mitä se merkitsee sinulle? Oletko valmistautunut? Kerronpa alkuun pienen tarinan.

Lyytin GDPR-lähettiläät"Päivää. Olisiko teillä hetki aikaa keskustella EU:n tietosuoja-asetuksesta?"
Lyytin GDPR-lähettiläät Antti ja Juho ovat kartalla tietosuoja-asioiden suhteen, ja pian olet sinäkin.

Noin viisi vuotta sitten olin Saksassa tapahtuma-alan messuilla ja menin kuuntelemaan tietosuoja-asioita käsittelevän puheenvuoron. Tämä oli sitä aikaa, kun Suomessa vielä käytettiin sumeilematta ostorekistereitä ja luotettiin massapostien voimaan. Saksassa käytännöt olivat aivan toiselta planeetalta. Tapahtuma-alaan ja markkinointiin perehtynyt lakimies onnistui puolessa tunnissa luettelemaan kymmeniä tapoja joutua hankaluuksiin ja oikeuteen. Muistan miettineeni, että pitääköhän varmuuden vuoksi hakea markkinointilupa henkilökohtaisesti allekirjoituksella, leimalla ja kahvikupilla varmistettuna.

Monissa yrityksissä ollaan tällä hetkellä vähän samanlaisissa tunnelmissa. EU:n uusi tietosuoja-asetus tulee lopullisesti voimaan ensi vuoden toukokuussa, ja 20 miljoonan euron uhkasakko roikkuu Damokleen miekkana jokaisen tapahtumajärjestäjän pään päällä. Vai roikkuuko? Onko tietosuoja-asetus taas yksi uusi byrokratian suonsilmäke, jonka on tarkoitus hankaloittaa yritysten toimintaa?

GDPR:n tarkoitus

Otetaanpa askel taaksepäin ja katsotaan, mikä tietosuoja-asetuksen varsinainen tarkoitus on. GDPR:n päämäärä on kaikkien EU:n kansalaisten yksityisyyden suojan ja tietosuojan parantaminen, sillä asetus palauttaa henkilökohtaisten tietojen omistajuuden takaisin yksilölle. Kuka ei olisi joskus pohtinut iho kananlihalla, mitkä kaikki yritykset tekevät bisnestä omilla henkilötiedoilla? Tai kyllästynyt peruuttamaan uutiskirjeitä, joita ei koskaan ole tilannut?

Tästähän loppujen lopuksi on kysymys. Tarkemmin pohdittuna GDPR:n yhteiskunnallinen merkitys on valtava. Omien henkilötietojensa omistaminen merkitsee vapautta, joka taas on jokaisen oikeusvaltion peruspilareita. Tällaisen päämäärän eteen voi vähän nähdä vaivaakin, eikö vain?

GDPR ja tapahtumien järjestäminen

Mitä tietosuoja-asetuksen voimaanastuminen sitten käytännössä tarkoittaa tapahtumajärjestäjän kannalta?

Tärkein pääperiaate on, että henkilörekistereitä pitävät tahot, eli esimerkiksi tapahtumailmoittautumisia vastaanottava yritys, ovat täysin vastuussa henkilötietojen lainmukaisesta käsittelystä. Jokaisen henkilötietoja käsittelevän yrityksen pitää siis ottaa hyvissä ajoin selvää, mitä muutoksia omiin prosesseihin mahdollisesti pitää tehdä. Uusi tietosuoja-asetus ottaa voimakkaasti kantaa siihen, mitä tietoja saa kerätä ja käyttää.

Henkilötietojen kerääminen

Henkilötietoja saa kerätä vain, jos tiedoille on hyvin perusteltavissa oleva käyttötarkoitus, ja jos tietojen omistaja (l. tapahtuman osallistuja) on antanut luvan kyseisten tietojen tietynlaiseen käyttöön. Nyt on siis esimerkiksi korkea aika miettiä omia tapahtumia ja niiden yhteydessä kerättäviä henkilötietoja. Käytetäänkö postiosoitetta oikeasti johonkin? Onko minulla oikeutus kysyä ilmoittautumisen yhteydessä osallistujan sukupuolta? Miten perustelet itsellesi ja osallistujille henkilötietojen keräämisen?

Osoite- ja asiakasrekisterit

Toinen iso asia on nykyisten rekisterien lainmukaisuus. Pitääkö kaikki vaivalla hankitut asiakastiedot nyt heittää yksissä tuumin roskiin ja aloittaa koko bisnes alusta? No, ei suinkaan, mutta asiakastietojen ja markkinointirekisterien päivittäminen saattaa hyvinkin olla paikallaan. Henkilötietojen käyttämiseen täytyy olla suostumus tai tietyin poikkeuksin muu erikseen mainittu syy. Oletkin ehkä huomannut, että monet uutiskirjeitä lähettävät tahot ovat viime aikoina pyrkineet aktivoimaan rekisteriensä jäseniä erilaisilla tavoilla. Oletko kenties osallistunut kilpailuun, ladannut sisältöä henkilötietojasi vastaan tai tilannut uutiskirjeen uudelleen? Nämä kaikki ovat keinoja, joilla rekisterin pitäjä ja jäsen vakuuttavat toisiaan molemminpuolisesta myötämielisyydestä.

Tietojen säilytys

Tietosuoja-asetus ottaa kantaa myös tekniseen puoleen. Asetuksen mukana tulee lukuisia vaatimuksia siihen, miten tietoja kerätään, missä niitä saa säilyttää, miten tietoja pitää pystyä poistamaan ja miten tietoja pitää pystyä siirtämään järjestelmästä toiseen. Lähtökohtaisesti henkilörekistereitä ei saisi tallentaa EU:n ulkopuolelle. Tiedätkö sinä, mihin kaikki käyttämäsi työkalut tallentavat tietoja? Missä sähköpostisi postilaatikko oikeasti sijaitsee? Onko sinulla eri verkkolevyillä arkaluontoista tietoa?

Lyyti auttaa tässäkin!

Mitä GDPR:n vaatimukset tarkoittavat juuri sinulle? Tule kuulemaan ja keskustelemaan asiasta Lyytin kanssa. Järjestämme syksyn 2017 aikana Helsingin toimistollamme maksuttomia koulutuksia, joissa keskitymme nimenomaan tapahtumien ja markkinoinnin näkökulmaan. Paikkoja on rajoitetusti, joten ilmoittaudu pian. Tervetuloa mukaan!

New Call-to-action

AnttiV_blog.png

Kirjoittanut Antti Vaahtoranta on 30.8.2017

Minut löytää: