Uutinen

GDPR: Miten valmistaudumme uuteen tietosuoja-asetukseen, ja mitä sinä voit tehdä?

Ota yhteyttä 9
GDPR: Miten valmistaudumme uuteen tietosuoja-asetukseen, ja mitä sinä voit tehdä? Kun ensimmäinen kysely siitä, missä, miten ja kenen toimesta henkilötietoja tallennetaan, tulee, ei kysymys saisi tulla yllätyksenä markkinoijalle.

Vuoden 2018 toukokuussa täytäntöön tuleva EU-tason tietosuoja-asetus puhututtaa jo nyt – eikä syyttä, sillä monet sen vaatimat muutokset tulevat viemään aikaa. Uuden asetuksen tärkeimpiä tavoitteita on yhtenäistää – ja tiukentaa – EU-lainsäädäntöä liittyen henkilötietojen tallentamiseen, viestintään ja markkinointiin. Tällä hetkellä kun jokaisella EU-maalla on omat, kirjavat säännöksensä.

EU:n uusi asetus on pohjataso, joka jokaisen jäsenvaltion on toteutettava. Eri maissa sitä voidaan näin ollen tiukentaa, mutta löysennyksiä ei voida tehdä. Lainsäädännön ja kansallisen säätelyn yhdenmukaistaminen ja selvitystyö vie kuitenkin aikaa – oikeusministeriö kertoi tammikuussa 2017 julkaistussa blogissaan työryhmän käsittelevän noin 600-700 Suomen kansallista säädöstä tai säännöstä, jotka tavalla tai toisella koskevat henkilötietojen käsittelyä.

Kaikkea sitä, mitä kunkin jäsenmaan laki tulee tarkalleen sisältämään tai miten asetus tullaan kansallisesti tulkitsemaan, ei siis tiedetä. Paljon kuitenkin jo tiedetään. Päätimme kirjoittaa juttusarjan, jossa annamme askel kerrallaan tietoa GDPR:stä ja siitä, kuinka sinä voit valmistautua muutokseen.

Rekisteröidyn oikeus saada pääsy tietoihin

Uuden asetuksen mukaisesti jokaiselle rekisteröidylle tulee mahdollisuus pyytää yritykseltä tiedot omista henkilötiedoistaan ja niiden säilytyksestä. Asetus ei koske ainoastaan rekisteröidyn oikeutta, vaan määrittää tarkasti myös sen, miten yritysten tulee kyetä toimittamaan pyydetyt tiedot.

Asetuksessa sanotaan, että rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Toisin sanottuna tiedot toimitetaan sähköisesti.

Ensimmäistä kertaa itseään koskevia tietoja voi pyytää helposti ja ilman kustannuksia – näin ollen on oletettavaa, että ihmiset myös käyttävät oikeuttaan huomattavasti aiempaa enemmän.

Käytännössä oikeus koskee rekisteröidyn itsensä antamia tietoja eli kaikkea sitä, mitä hän on kertonut itsestään matkan varrella. Tässä kohtaa on oltava tarkkana: rekisteröidyn itsensä täyttämä lomake tai hänen uutiskirjeessä klikkaamansa linkki on hänen itsensä antama tieto. Myyjän CRM:ään muotoilema ja kirjoittama arvio esimerkiksi tapaamisen kulusta sitä ei kuitenkaan ole.

Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin myös oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi.

Aloita selvittämällä, missä kaikkialla henkilötietoja säilytetään

Jokaisen rekisterinpitäjän kannattaa valmistautua muutokseen hyvissä ajoin. Kun ensimmäinen kysely siitä, missä, miten ja kenen toimesta henkilötietoja tallennetaan, tulee, ei kysymys saisi tulla yllätyksenä markkinointia ja viestintää tekeville.

Aloita valmistautuminen selvittämällä, missä kaikkialla henkilötietoa on. Kun olet kartoittanut nykytilanteen, voit varmistua pala palalta henkilötietojen asiallisesta säilyttämisestä sekä paneutua tarkemmin siihen, miten ja kenen toimesta henkilötietoja koskevat pyynnöt voidaan toteuttaa.

Uusi asetus koskee kaikkia EU:ssa toimivia sekä yrityksiä, jotka säilyttävät EU-kansalaisia koskevia tietoja. Näin ollen myös EU:n ulkopuolella toimivien yritysten, jotka markkinoivat EU:n kansalaisille, on toimittava asetuksen mukaisesti. Asetus on hyvin turvallisuuskeskeinen, ja sen myötä teknologiapartnereiden turvallisuudesta ja lain seuraamisesta tulee markkinoijille aiempaa tärkeämpää.

Jos esimerkiksi käytät ohjelmistoa, jolla ei ole toimipistettä tai yhteyshenkilöä kotimaassasi, voitko varmistua siitä, että henkilötietoja käsitellään juuri sinun yritystäsi sitovan lainsäädännön mukaan? Entä jos teknologiatoimittajasi on EU-alueen ulkopuolelta? Tällöin toimittajan tulisi kaikesta huolimatta toimia EU-asetuksen mukaisesti ja säilyttää henkilötiedot EU:n sisällä.

Koodiviidakko valmistautuu lakimuutoksiin

Koodiviidakossa GDPR-asetukseen valmistautuminen on ollut tärkeänä fokuksena jo pitkään, ja sen kehitystä seurataan tarkoin. Näin olemme varautuneet lakimuutoksiin:

  • Teemme parhaillaan muutoksia järjestelmiimme, jotta ne ovat täysin GDPR-yhteensopivia jo paljon ennen asetuksen täytäntöönpanoa. Ensimmäiset päivitykset järjestelmiimme tulevat marras-joulukuun aikana. Lähetämme asiasta erillisen uutiskirjeen ja opastevideon asiakkaillemme.
  • Tietoturvallisuus on aina ollut Koodiviidakon prioriteetti. Työntekijämme seuraavat aktiivisesti tieturva-asioiden tiedotuskanavia ja reagoimme nopeasti ilmoituksiin löydetyistä haavoittuvuuksista.
  • Järjestämme GDPR-teemaisia workshopeja ja tilaisuuksia, joissa kerromme ja keskustelemme asetukseen liittyvistä keskeisistä asioista. Osallistumme myös itse aktiivisesti GDPR-asetusta koskeviin seminaareihin ja seuraamme jatkuvasti asetuksen tarkentumista sekä käytännön sovellutuksia eri markkinoilla.
  • Koodiviidakon tietovarastot sekä palvelimet sijaitsevat EU:n sisällä ja noudattavat aina kohdemaan lainsäädäntöä.
  • Uuden asetuksen myötä olemme sopineet myös kolmannen osapuolen toistuvista tietoturva-auditoinneista. Viimeisimmäksi Koodiviidakolle myönnettiin CSA- ja FINCSC-sertifikaatit, joiden myöntäminen on osoitus sähköpostiviestinnän laadukkuudesta sekä kyberturvallisuuden korkeasta tasosta.

Lupauksemme asiakkaillemme on, että sekä teknologiamme että prosessimme vastaavat lakimuutoksia. Pidämme asiakkaamme ajan tasalla siitä, miten tulee toimia ja tiedotamme sitä mukaa, kun tiedot asetuksen soveltamisesta tarkentuvat. Jos GDPR jäi vielä askarruttamaan, kysy lisää asiakasvastaavaltasi, tai laita viestiä moi@viidakko.fi.

Juttusarjan seuraavat osat:

Artikkeli on julkaistu 17.5.2017. 

Kirjoitus ei korvaa juridista neuvontaa.

Oliko artikkeli mielestäsi mielenkiintoinen?

Tilaa kuukausittainen uutiskirjeemme, joka sisältää aina uusimmat mielenkiintoiset artikkelit.

Tilaa uutiskirje tästä

Kommentit (9)

22.05.2017

Tietosuoja-asetus

Hei, hyvä yhteenveto siitä, mitä Koodiviidakko on tehnyt ja tekee uuden tietosuoja-asetuksen parissa, kiitos! Hyvä, että on tulossa juttusarja.
Sirpa

- Sirpa Rinne

22.05.2017

Rekisterin käyttäjän velvollisuudet

Hei!

Miten Koodiviidakko itse on varautunut gdpr lakimuutoksiin rekisterin käyttäjän asemassa ja kuinka muutos näkyy asiakkaille, onko esim. sopimuksille uusimistarvetta?

- Ari Seppälä

22.05.2017

Kiitos kommenteista

Hienoa kuulla, että jutustamme oli apua.

Ari, meillä Koodiviidakossa GDPR-asetukseen valmistautuminen on tosiaan ollut tärkeänä fokuksena jo pitkään, ja sen kehitystä seurataan tarkoin. Löydät yllä olevasta blogijutusta listan tavoista, joilla olemme varautuneet lakimuutoksiin. Mitä sopimuksiin tulee, työstämme erillisen tietosuoja-liitteen GDPR-käytännöistä ja velvoitteista. Se tulee täydentämään sopimusehtoja ja sopimuksia.

- Johanna Lammassaari

30.05.2017

Hyvää asiakkaiden ajan tasalla pitämistä

Hienoa, että kerrotte tästä säännöllisesti ja käytännönläheisesti!

Tarja

- Tarja Saarinen

01.06.2017

Mitä tapahtuu MailChimpille?

Mitä arvelette tapahtuvan palveluille kuten MailChimp, joissa data sijaitsee EU-alueen ulkopuolella? Onko sähköpostiviestintää harjoittavan yrityksen luovuttava näiden palveluiden käytöstä ja vaihdettava johonkin kotimarkkinoiden versioon?

- Johanna

01.06.2017

Hyvä kysymys

Hei Johanna,

Kotimaisena markkinointiteknologian toimittajana toivomme tietysti, että yhä useampi markkinoija kääntyisi meidän puoleemme amerikkalaislähtöisten työkalujen sijaan. Yleisesti ottaen turvallisuus ja asiakaspalvelun sujuvuus tulevat varmasti nousemaan vielä aiempaa tärkeämmiksi kriteereiksi teknologiatoimittajien valinnassa.

Markkinoijan vastuulla on varmistaa, että henkilötietoja käsittelevä kumppani toimii asetuksen mukaisesti. Sanktiot uuden asetuksen rikkomisesta on asetettu korkeiksi juuri siitä syystä, että asia otettaisiin vakavasti yrityksissä.

Jos ajatellaan ihan päivittäistä tekemistä, olennaista on että rekisteröityjen kyselyihin omista tiedoista pystytään vastaamaan ripeästi ja tiedot voidaan toimittaa helposti niitä pyytäville. Siksi on tärkeää, että teknologiatoimittajaan saa yhteyden mutkitta ja asiakaspalvelu toimii.

- Johanna Lammassaari

24.10.2017

Miten niin vain henkilön itse syöttämät tiedot?

Monet muut tuntuvat tulkitsevan direktiiviä niin, että se koskee myös CRM-järjestelmään tallennettuja tietoja. Millä perusteella te tulkitsette, ettei tällainen tieto ole direktiivin mukainen henkilötieto? Melko raju ero nimittäin on siinä, kuuluuko tällainen tieto direktiivin piiriin vai ei.

-

24.10.2017

Hei,

Kiitos kommentistasi. Tästä tekstissä mainitusta CRM-tapauksesta hyvä esimerkki olisi tarkemmin myyjän muotoilema ja kirjoittama arvio tapaamisen kulusta. Kirjoitimme tuon kohdan vielä tarkemmin auki artikkelin tekstiin.

Epäselvissä asioissa suosittelemme kääntymään tarpeen mukaan asianajajan puoleen.

- Johanna Lammassaari

07.03.2018

Rekisteröidyn oikeus saada pääsy tietoihin - kuvaus mahdollisesti väärin

Tietosuoja-asetuksen mukaan henkilöllä on oikeus päästä tarkastelemaan kaikkia tietoja, myös myyjien kertomuksia tapaamisista. Tätä pääsyä ja tietojen toimitusta ei ole rajattu kuvailemallanne tavalla.
15 artikla: Rekisteröidyn oikeus saada pääsy tietoihin
3. Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

Sen sijaan näitä myyjien kertomuksia ei tarvitse rakentaa koneluettavaan muotoon niiden siirtämiseksi muualle (right to portability).
20 artikla: Oikeus siirtää tiedot järjestelmästä toiseen
1. Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos...

Eli kaikki henkilöstä tallennetut tiedot pitää toimittaa pyytäjälle ilman maksua ja sähköisen pyynnön tapauksessa sähköisesti toimitettuna - myös CRM kommentit ja johdetut päättelytiedot. Koneluettava siirrettävä tiedosto tulee toimittaa vain niistä tiedoista, jotka ovat syntyneet henkilön itsensä toimesta (kirjoittanut tekstit, klikkaillut streamit, jne). Esimerkiksi nettisivun tai sähköpostiseurannan tallentama klikkailuhistoria on toimitettava henkilölle koneluettavassa muodossa, jos tällainen historiatieto on hänestä kerättynä.
https://ec.europa.eu/newsroom/document.cfm?doc_id=44099

-

 

Artikkelin kommentointi

Lisää uutisia

6 tapaa verkkosivujen kävijämäärän kasvattamiseen

Liikenteen saaminen verkkosivuille vaatii aikaa, panostuksia ja hitusen luovuutta. Listasimme tärkeimmät vinkit.

Lue lisää

9 askelta: näin teet onnistuneen verkkosivu-uudistuksen

Tavoitteiden määrittelystä palveluntarjoajan valintaan – mitä verkkosivu-uudistuksessa tulee ottaa huomioon, ja miltä näyttää onnistunut verkkosivujen uudistusprojekti?

Lue lisää

Tehokas tiedottaminen: näin onnistut lehdistötiedotteen lähettämisessä [infograafi]

Selvittääksemme, mikä on hyvän tiedottamisen salaisuus, päätimme kysyä asiasta suoraan toimittajilta. Toteutimme yhdessä Mediaviikon kanssa kansainvälisen toimittajakyselyn, johon vastasi yhteensä 618 media-alan ammattilaista kuudesta eri maasta.

Lue lisää

GDPR-muistilista ja peruskäsitteet: näin valmistaudut tulevaan EU:n tietosuoja-asetukseen

Mitä jokaisen markkinoijan ja viestijän olisi hyvä tietää EU:n uudesta tietosuoja-asetuksesta eli GDPR:stä? Koostimme aiheesta tiiviin tietopaketin, joka sisältää asetuksen keskeiset sisällöt, termit sekä muistilistan asetukseen valmistautumisesta.

Lue lisää

Sähköpostimarkkinoinnin listat ja GDPR: näin pidät tilaajasi (ja kerrytät samalla lisää)

Meistä lähes jokaisella on listoillamme henkilöitä, joiden kohtalo markkinoinnin kohderyhmänämme asetuksen voimaantulon jälkeen epäilyttää. Moni pohtiikin tällä hetkellä, miten saada olemassa olevat listat ajoissa mahdollisimman GDPR-varmoiksi. Koska sähköpostimarkkinointi on useimmille tuotto-panos -suhteeltaan sitä tuottavinta markkinointia, olisi tilaajien menettäminen myös menetettyä tuloa. Se tarkoittaa, ettei kannata hätiköidä tai ylireagoida, mutta valmistautua kyllä.

Lue lisää