P-Iiris -hanke tarjosi eilen yrittäjille maksuttoman infotilaisuuden toukokuussa voimaan astuvasta EU:n tietosuoja-asetuksesta (GDPR eli General Data Protection Regulation). Aihe oli minulle entuudestaan melko vieras. Lähinnä siihen oli törmännyt Facebookin aikajanalla tasaisin väliaijoin ilmestyvissä pelottelumainoksissa, joita erilaiset konsulttiyhtiöt viljelevät. Jotenkin oli kuitenkin sellainen fiilis, että asia on tärkeä. Ja sama fiilis oli ollut näköjään monella muullakin, koska tilaisuus oli täynnä ja jonossakin olisi ollut tulijoita.

Tietosuoja-asetus tarkoittaa siis organisaation hallussa olevien, henkilötietoja sisältävien rekisterien läpikäymistä ja dokumentointia. Tästä löytyy linkki omalta yritykseltäni vaadittuihin selosteisiin, joita saa vapaasti apinoida. Alla puolestaan lista olennaisimmista asioista, joita muistiinpanoihini päätyi.

 

1. Mistä on kyse?

EU:n asettama tietosuoja-asetus tulee voimaan 25.5.2018 ja hienovaraisesti pakottaa organisaatiot käymään läpi rekisterien keräämistapansa ja ilmaisemaan käytäntönsä paremmin asiakkailleen ja yhteistyökumppaneilleen. Tarkoitus on, että tämä parantaa henkilöiden turvallisuutta siinä, miten heidän tietojaan säilytetään. Tietoturvauhkat ovat tätä päivää, joten sikäli EU on mielestäni ihan oikealla asialla.

 

2. Ketä tietosuoja-asetus koskee?

Kaikkia yrityksiä, yhdistyksiä ja muita organisaatioita, joilla on henkilötietoja sisältäviä rekistereitä. Harvassa ovat ne organisaatiot, joilla ei jonkinlaista rekisteriä olisi. Todennäköisimmin löytyvät rekisterit ovat työntekijärekisteri ja asiakasrekisteri. Itseltäni löytyy asiakasrekisteri sekä rekisteri henkilöistä, jotka ovat ilmiantaneet käytettävyysongelman nettisivuillani olevan lomakkeen kautta. Lisäksi on rekisteri henkilöistä, joihin voi ottaa yhteyttä, kun tarvitsen osallistujia käytettävyystesteihin tai muihin vastaaviin tutkimuksiin.

 

3. Mitä seuraa, jos laiminlyö tietosuoja-asetuksen?

Rikkomuksesta seuraa ensisijaisesti varoitus. Pahimmassa tapauksessa voi tulla sakko, joka on maksimissaan 4% liikevaihdosta tai 20 miljoonaa euroa.

 

4. Mikä tässä on vaikeaa?

Asia on melko yksinkertainen. Organisaation pitää vain tietää, missä rekisterit sijaitsevat ja kertoa rekisterissä olijoille, mitä rekisterit sisältävät, ja miksi tietoja kerätään. Vaikeus tulee siinä, että henkilötiedoista huolehtimisen tärkeys pitää pystyä jalkauttamaan kaikille henkilötietojen kanssa toimiville. Yksi huolettomammin asiaan suhtautuva sooloilija voi pilata koko hyvän idean. Voin hyvin kuvitella vaikkapa myyntimiehen, jolla on yrityksensä asiakasrekisteri tietokoneellaan ja kaikkiin hänen käyttämiinsä sovelluksiin ja sivustoihin on ruksittu kohta ”muista salasana”. Jos kone vaikuttaa pöllimisen arvoiselta, niin pöllimisen riski on olemassa.

 

5. Mitä sitten pitäisi tehdä?

Ainakin seuraavat asiat kannattaa tehdä:

 

a. Kartoita nykytila ja listaa rekisterit

Organisaation on syytä tietää ainakin, mitä rekistereitä tällä hetkellä on ja missä niitä säilytetään.

 

b. Hanki lupa tietojen keräämiseen

Tämä onkin hankalampi homma tulkittavaksi. Jos keräät rekisteriä yksityishenkilöistä, niin sinulla on varmaankin ollut lupa jo ennestään. Jos ei ole ollut, niin voi olla aika ongelmallista kysyä sitä jälkikäteen. Lähetäpä vaikka 2 000 henkilölle sähköposti, että ”annatko luvan”, ja arvaa moniko vastaa. Todennäköisimmin suostumus on kuitenkin ollut olemassa tietoa kerätessä. Jos olette keränneet messuilla arvontaan osallistujia, niin arvontalipukkeessa on toivottavasti ollut kohta ”tietojani saa käyttää markkinointiin”.

Yritysten tietoja sisältävän rekisterin keräämiseen olisi hyvä olla suostumus, mutta tulkinnanvaraa on enemmän. Oman yritykseni osalta pohditttavaa tulee siitä, miten teen myyntityötä. Harva yritys saa asiakkaita vain odottelemalla toimiston nurkassa. Kun minä näen jossakin potentiaalisen yrityksen, niin tietenkin soitan sinne, että onko palveluilleni tarvetta. Jos asiakasehdokas haluaa lisätietoa, niin kirjoitan tämän ylös, että muistan, mitä on sovittu. Näin alkaa muodostua asiakasrekisteriä. Tähän voidaan tulkita olevan suostumus, koska sovittiin, että asiaan palataan. Jotkut kuitenkin vastaavat yhteydenottoon ”Ei kiitos, me osaamme aivan kaiken aivan itse.” Nämäkin pitää kirjoittaa ylös, että en parin kuukauden päästä soita unohduksissani uudestaan. Tähän ylös kirjoittamiseen ei tavallaan suostumusta ole, mutta asia liittyy asiakashallintaan eli CRM:n, joten viittaan omassa rekisteriselosteessani siihen.

 

c. Nimeä tarvittaessa tietosuojavastaava

Tietosuojavastaava on hyvä nimetä. Jos tietosuojaa ei ole annettu kenenkään vastuuksi, ei sitä kukaan myöskään hoida. Tietosuojavastaavan tehtävä on olla perillä organisaationsa rekistereistä ja ajaa rekisterissä olevien henkilöiden etua. Tämä ei ole iso työ PK-yrityksissä, mutta jos asia jää mallille ”muistetaan kaikki tämä”, niin kukaan ei muista.

 

d. Dokumentoi tietosuojakäytännöt

Ainakin rekisteri- ja tietosuojaselosteet pitää laatia ja on hyvä tehdä myös tietotilinpäätös. Omani löytyvät täältä ja niitä saa vapaasti matkia. Rekisteri- ja tietosuojaselosteiden on oltava näkyvillä organisaation verkkosivustolla tai toimipisteessä. Ja jos ei asia jo ennestään ollut selvä, niin tässä tulee samalla myös päätettyä ja kerrottua ääneen, mihin rekisterit tallennetaan.

 

e. Selvitä, mitkä lait koskevat organisaatiosi tietosuoja-asioita

Monia sitoo esimerkiksi henkilötietolaki. Laki menee aina asetuksen edelle. Eri aloilla voi olla monenlaisia lakeja, jotka säätelevät tietosuojaa. Toivottavasti esimerkiksi nuohoojaa velvoittaa jokin laki olemaan perillä, mitkä tulisijat ovat kunnossa ja mitkä eivät.

 

f. Varmista, että yksittäisen henkilön tiedot voidaan poistaa

Tämä on tietosuoja-asetuksen myötä pakollinen oikeus henkilön turvaksi. Jos siis joku haluaa tulla poistetuksi rekisteristä, sen pitää onnistua. Käytännössä tämä myös pakottaa organisaation miettimään rekisterien järkeistämistä. Jos rekisterit ovat hujan hajan siellä täällä, yhden henkilönkin poistaminen voi olla työlästä. Ja ennen kaikkea saattaa olla riski, että tieto jää jonnekin. Tietosuoja-asioiden miettimisen jälkeen pitäisi olla siis itsestään selvää, että mistä löytyvät ne arpalipukkeet, joista henkilön tiedot on tallennettu digitaaliseen muotoon. Sekä lipuke, että digitieto tulee poistaa.

 

Kyse ei siis ole aivan mahdottomasta tehtävästä, mutta aikaa siihen menee. Mitä vanhempi yritys sitä enemmän rekistereihin on kertynyt setvittävää. Onneksi aina voi ottaa yhteyttä tietosuojavaltuutettuun.

Tämän verran sain irti P-Iiris -hankkeen mahdollistamasta koulutuksesta. Kiitos siis hankkeen toimijoille sekä Centrialta saapuneelle kouluttajalle, Tom Tuunaiselle.