Kysymyksiä ja vastauksia GDPR:ään liittyen

      Comments Off on Kysymyksiä ja vastauksia GDPR:ään liittyen

Suomen Asiakastieto kirjoitti jälleen hyvin ajankohtaisesta GDPR-asiasta, jossa mekin autamme asiakkaitamme paikallisesti noudattamaan asetuksia.

Olemme siirtymässä GDPR-aikakauteen tuota pikaa, ja yrityksissä ja yhteisössä nousee paljon kysymyksiä viime metreillä: mitä kaikkea pitää ottaa huomioon ja onko kaikki valmista. Voin lohduttaa, että tuskinpa monikaan yritys on sataprosenttisesti valmis toukokuun 25. päivä, mutta tärkeintä on, että GDPR-asiat on huomioitu ja toimenpiteitä tehty parhaan näkemyksen mukaan. Kokosin tähän muutamia kysymyksiä, jotka ovat askarruttaneet asiakkaidemme mieltä. Ehkäpä täältä löytyy muutama vastaus sinullekin.

Koskeeko GDPR meidän yritystämme?

Suurella todennäköisyydellä kyllä. Tietosuoja-asetus koskee kaikkia yrityksiä, yhteisöjä ja järjestöjä, joilla on jonkinlaista henkilötietoa rekistereissään. Se koskee kuluttaja-asiakkaita, yritysten yhteyshenkilöitä, yhteistyökumppanien yhteyshenkilöitä, omaa henkilöstöä, potentiaalisia asiakaskohderyhmiä jne. Jos siis yritykselläsi on vain yritysasiakkaita eikä kenenkään henkilön yhteystietoja hallussa, niin silloin GDPR ei vaikuta yritykseesi.

Voinko lähettää yrityksen päättäjille suoramarkkinointia ilman lupaa vai pitääkö kaikilta yrityksen päättäjiltä kysyä erikseen suostumus?

Kyllä voit, jos viesti liittyy henkilön toimenkuvaan. GDPR ei muuta nykyisiä suomalaisia markkinointiasetuksia, vaan nykyisten säännösten mukaan saa jatkaa. Suoramarkkinointi potentiaalisten yritysasiakkaiden yhteyshenkilöille on GDPR-termein yrityksen oikeutettu etu. Tietosuojaselosteeseen toki kannattaa tällöin laittaa merkintä, mistä tiedot on kerätty, esimerkiksi verkon julkisista lähteistä. EU:ssa suunnitellaan uutta ePrivacy – asetuksessa, joka ottaa tiukemmin kantaa sähköiseen markkinointiin – myös päättäjiin kohdistuvan markkinoinnin suhteen. Sen voimaantulo on kuitenkin vielä avoin.

Olemme vuosien varrella keränneet henkilöiden sähköpostiosoitteita uutiskirjeen lähetystä varten, mutta tarkkaa merkintää suostumuksen antamisesta ei ole. Pitääkö kaikilta kysyä nyt uusi hyväksyntä, jos haluamme jatkaa sähköpostien lähettämistä?

Tästä on tehty erilaisia tulkintoja. Tiukimmat asetuksen tulkitsijat näkevät, että tarkka merkintä suostumuksesta sähköpostin lähetykseen pitäisi löytyä. Varsinkin ulkomaiset tahot, ovat sen takia alkaneet uusia lupia. Minä yhdyn Asiakkuusmarkkinointiliiton näkemykseen, jonka mukaan lupaa ei tarvitse uudestaan kysyä. Lähettämisen peruste voi olla yrityksen oikeutettu etu, eikä voi olettaa, että esimerkiksi kymmenen vuoden takaisia tarkkoja merkintöjä asiallisistakaan luvista löytyisi.

Jos henkilöillä on tähänkin saakka ollut mahdollisuus poistua uutiskirjelistalta jokaisen lähetyksen yhteydessä, niin uuden hyväksynnän kysyminen on lähinnä lisävaiva kohdehenkilöille. Lisäksi luvan kysyminen uudelleen tulee pienentämään yritysten rekisteriä, koska kaikki eivät kuitenkaan uutta suostumusta huomaa antaa, vaikka haluaisivat postituslistalla pysyä. Toki kannattaa varmistaa, että sähköpostirekisterit ovat ajantasaisia ja hyvin hoidettuja.

Kuinka kauan henkilötietoja saa säilyttää? 

GDPR:n mukaisesti tiedon säilyttämiseen pitää määritellä jonkinlainen aikajakso, jos vain mahdollista. Tietoa ei saa säilyttää toistaiseksi tai varmuuden vuoksi. Tällaisessa tapauksessa kyse on siis määrittelystä. Tietosuojaselosteen voi kirjata esimerkiksi ”asiakkuuden päättymisen jälkeen henkilötietoja säilytetään 2 vuotta”. Tällöin pitää toki varmistua siitä, että tiedot todella poistetaan 2 vuoden kuluttua. Jos omalla toimialalla on erityistä lainsäädäntöä, niin tällöin on huomioitava sen pykälät. Suomessa on satoja lakeja, joissa on erikseen määrätty henkilötiedon käytöstä ja ne ajavat tällöin GDPR:n yli.

Mikä käytännössä muuttuu tietosuoja-asetuksen myötä?

Tärkeimmät asiat liittyvät yrityksen osoitusvelvollisuuteen henkilötietojen käsittelyssä. Kaikilla henkilöillä – kuluttajilla tai yritysten yhteyshenkilöillä – on siis oikeus tietää, mitä tietoja heistä on kerätty, mihin tarkoitukseen ja kuinka pitkäksi aikaa. Se pitää kertoa henkilöille läpinäkyvästi. Tietoa saa kerätä kuten ennenkin, mutta pitää olla mietittynä käyttötarkoitus eli tietojen keräämisen peruste. Tietojen ajantasaisuudesta on huolehdittava, joten kaikki rekisterit kannattaa viimeistään nyt saattaa ajan tasalle. Myynnin ja markkinoinnin tarpeet perustuvat useimmiten oikeutettuun etuun eikä suostumukseen. Suostumus tarvitaan kuten nykyäänkin esimerkiksi sähköiseen kuluttajamarkkinointiin.

Monet asetuksen kohdista on määritelty jo nykyisessä henkilötietolaissa, joten jos toiminta on tähänkin asti ollut lainmukaista, ei suuria muutoksia arjessa tule. Nyt jos joku löytää huomioitavaa toiminnasta, voi hän valittaa tietosuojaviranomaiselle, jolla on mahdollisuus räikeimmissä tapauksissa määrätä tuntuvat sanktiot. On kuitenkin epätodennäköistä, että rahallisia sanktioita annettaisiin suoraan ilman huomautusta tai kehotusta korjata toimintamallia.

Miten Asiakastiedon GDPR–palvelu toimii?

Palveluun ladataan yrityksen rekisteri csv-muodossa. Jos esimerkiksi asiakasrekisterisi on excelissä, niin sen voi kätevästi tallentaa csv:ksi ja ladata palveluun. Jos tuot tiedot jostain järjestelmästä, niin lähes kaikki ohjelmistot mahdollistavat csv-muotoisen tiedoston luonnin. Palveluun ollaan avaamassa myös rajapinta, jolloin tietojen tuonti voidaan automatisoida esimerkiksi CRM-järjestelmästä.

Tämän jälkeen rekisteriin määritellään tunnistetiedot, joiden perusteella yksittäinen henkilö voi tunnistautua palveluun tarkastamaan omia tietoja. Tietoina pitää olla henkilötunnus, matkapuhelinnumero tai sähköpostiosoite.

Lopuksi voit vielä päivittää rekisterin kenttien nimet ja muokata niiden järjestystä omiin tarpeisiin sopivaksi. Näin rekisteri on valmis. Palvelun asetuksista löydät linkin, jonka kautta henkilöt voivat omat tietonsa tarkastaa. Linkin voit liittää joko olemassa olevaan tietosuojaselosteeseen tai palvelun kautta luomaasi selostepohjaan. Näin vapautat asiakaspalvelun resursseja mahdollisiin tarkastuspyyntöihin.

Palvelussa voi myös luoda tietosuojaselosteen esimerkkipohjan päälle, jos sellaista ei vielä ole.

Miten Suomen Asiakastieto Oy käsittelee yritykseni asiakastietoja?

Suomen Asiakastieto Oy tarjoaa alustan, jolla helpotetaan yritysten GDPR-huolia. Asiakastieto ei vie yritysten omissa rekistereissä olevia tietoja mihinkään Asiakastiedon julkisiin palveluihin. Asiakastieto ei edes pääse käsittelemään asiakkaan rekistereitä kuin yrityksen erillisestä pyynnöstä. Mahdollisista lisäpalveluista tietojen päivittämiseen tai rikastamiseen sovitaan aina yhdessä yrityksen kanssa.

 

Katso lisätietoa GDPR:stä: www.asiakastieto.fi/gdpr

Onko muste päässyt loppumaan?