Gepardi-klubi kokoontui toiseksi viimeisessä tapaamisessa pohtimaan, mitkä ovat kriittisimmät asiat, jotka pitää tehdä ennen GDPR:n voimaantuloa. Odotettu ja pelätty päivämäärä 25.5.2018 lähestyy kovaa vauhtia ja nyt on viimeistään aika tarkistaa, että toimenpiteet tietosuojauudistusta koskien alkavat. Keskustelua ohjasi Gepardi-klubin isäntä ja Suomen Asiakastiedon GDPR-palvelusta vastaava asiantuntija Rami Meling.

Pian voimaan astuva tietosuojauudistus vaikuttaa niin yrityksiin, kuin myös kaikkiin henkilöihin kansalaisina ja aiheuttaa paljon toimenpiteitä. Rami kuitenkin muistuttaa, ettei tämä ole paha asia, sillä vastuullinen ja yhtenäinen henkilötietojen käsittely tuo meille kaikille turvaa ja varmuutta. GDPR voi toimia yrityksissä asiakaskokemuksen valttina, kun toiminta henkilötietojen kanssa on rehellistä ja läpinäkyvää.

Tietosuojavaatimuksien muuttuessa yrityksien vanhoja tapoja säilyttää tietoa on käytävä läpi ja mahdollisesti ryhdyttävä kevätsiivoukseen. Potentiaaliset tietovuotomahdollisuudet tai tietojen perusteettomat käsittelytavat on hyvä tarkistaa ja samalla luopua ”turhista” sekä ”varmuuden vuoksi” kerätyistä tiedoista. Ramin mukaan kannattaa myös miettiä, mitä tietoja tarvitaan käsittelyperusteita varten yrityksen toiminnassa ja pitääkö asiakkaiden tietoihin pääsyä rajoittaa. On myös tärkeää varmistaa, että vanhat ja väärät tiedot poistetaan kokonaan ja asianmukaisesti tietokannasta.

Mediassa on peloteltu erilaisilla järeillä sanktioilla, joita seuraa jos GDPR:ää ei noudata yrityksen toiminnassa hyvin tarkasti. Rami kuitenkin tarkentaa, että tietosuojauudistuksen valvojat huomauttavat ensin puutteellisesta toiminnasta ja sakot saa vasta vakavasta tietosuojarikkomuksesta. GDPR:n vaikutuksista ei ole vielä yhtä ainoaa totuutta ja ylilyöntejä toimenpiteistä esimerkiksi sähköisen markkinoinnin osalta on jo nähty. Markkinoinnin osalta kuitenkin tiukemmat asetukset tulevat voimaan vasta myöhemmin ePrivacy-asetuksen mukana. Nyt on kuitenkin jo hyvä laatia kunnolliset digitaaliset tietosuojaselosteet, joihin kuluttajilla on estoton pääsy.

Ramin muistilista vaiheista, jotka tulisi suorittaa ennen toukokuun tietosuojauudistusta:

  1. Varmista, että henkilöstö ymmärtää GDPR:n vaateet oman organisaation silmin.
  2. Listaa kaikki henkilötiedot, mitä keräätte ja ylläpidätte.
  3. Arvioi rekisterien käsittelytavat, perusteet ja tunnista korjaavat toimenpiteet.
  4. Tee suunnitelma, koska ja miten asiat korjataan.
  5. Selvitä tarvitaanko vaikutusten arviointia tiettyihin prosesseihin (mm. automaattinen päätöksenteko, arkaluontoiset tiedot, valvontakameroiden käyttö).
  6. Tarkista, että yhteistyökumppanit vastaavat prosesseista kuten te itse – rekisterinpitäjän vastuu.
  7. Varmista tietojen välityksen mekanismien luotettavuus, jos tietoja välitetään EU:n ulkopuolelle.
  8. Päivitä tietosuojaselosteet tarvittaessa tai luo ne, jos niitä ei vielä ole.
  9. Suunnittele toimintamalli tietojen tarkistus-, siirto- ja poistopyynnöissä.
  10. Rakenna toimintamalli, miten toimitte mahdollisen tietosuojaloukkauksen yhteydessä.

Gepardi-klubissa heräsi keskustelua tietosuojauudistuksen toimenpiteiden ja kohtien tarkoista vaatimuksista ja niiden konkreettisuudesta. Rami kehotti käyttämään maalaisjärkeä tilanteissa, jotka tuntuvat liian järjettömiltä ja muistamaan, että tärkeintä on aina kertoa, miksi tietoja halutaan, mitä tietoja tietokannassa on, mihin niitä käytetään ja kuinka kauan tietoja säilytetään. Tietosuojauudistuksen vaikutukset eivät pääty sen voimaantulon jälkeen, vaan edessä on jatkuva prosessi, johon päivitetään muutoksia ja jonka seikoista opimme varmasti lisää ajan kuluessa.

Kirjoittaja on MARKin sisällöntuotannon harjoittelija Hanna Polvinen, joka löysi markkinoinnin ja viestinnän maailmaan Haaga-Helia ammattikorkeakoulun kautta. Hannaa inspiroivat intohimoisesti omalla alalla työskentelevät ammattilaiset, jotka saavat itsekin tähtäämään korkealle.