Vuoden 2018 toukokuussa täytäntöön tuleva EU-tason tietosuoja-asetus puhututtaa jo nyt – eikä syyttä, sillä monet sen vaatimat muutokset tulevat viemään aikaa. Uuden asetuksen tärkeimpiä tavoitteita on yhtenäistää – ja tiukentaa – EU-lainsäädäntöä liittyen henkilötietojen tallentamiseen, viestintään ja markkinointiin. Tällä hetkellä kun jokaisella EU-maalla on omat, kirjavat säännöksensä.
EU:n uusi asetus on pohjataso, joka jokaisen jäsenvaltion on toteutettava. Eri maissa sitä voidaan näin ollen tiukentaa, mutta löysennyksiä ei voida tehdä. Lainsäädännön ja kansallisen säätelyn yhdenmukaistaminen ja selvitystyö vie kuitenkin aikaa – oikeusministeriö kertoi tammikuussa 2017 julkaistussa blogissaan työryhmän käsittelevän noin 600-700 Suomen kansallista säädöstä tai säännöstä, jotka tavalla tai toisella koskevat henkilötietojen käsittelyä.
Kaikkea sitä, mitä kunkin jäsenmaan laki tulee tarkalleen sisältämään tai miten asetus tullaan kansallisesti tulkitsemaan, ei siis tiedetä. Paljon kuitenkin jo tiedetään. Päätimme kirjoittaa juttusarjan, jossa annamme askel kerrallaan tietoa GDPR:stä ja siitä, kuinka sinä voit valmistautua muutokseen.
Rekisteröidyn oikeus saada pääsy tietoihin
Uuden asetuksen mukaisesti jokaiselle rekisteröidylle tulee mahdollisuus pyytää yritykseltä tiedot omista henkilötiedoistaan ja niiden säilytyksestä. Asetus ei koske ainoastaan rekisteröidyn oikeutta, vaan määrittää tarkasti myös sen, miten yritysten tulee kyetä toimittamaan pyydetyt tiedot.
Asetuksessa sanotaan, että rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Toisin sanottuna tiedot toimitetaan sähköisesti.
Ensimmäistä kertaa itseään koskevia tietoja voi pyytää helposti ja ilman kustannuksia – näin ollen on oletettavaa, että ihmiset myös käyttävät oikeuttaan huomattavasti aiempaa enemmän.
Käytännössä oikeus koskee rekisteröidyn itsensä antamia tietoja eli kaikkea sitä, mitä hän on kertonut itsestään matkan varrella. Tässä kohtaa on oltava tarkkana: rekisteröidyn itsensä täyttämä lomake tai hänen uutiskirjeessä klikkaamansa linkki on hänen itsensä antama tieto. Myyjän CRM:ään muotoilema ja kirjoittama arvio esimerkiksi tapaamisen kulusta sitä ei kuitenkaan ole.
Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin myös oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi.
Aloita selvittämällä, missä kaikkialla henkilötietoja säilytetään
Jokaisen rekisterinpitäjän kannattaa valmistautua muutokseen hyvissä ajoin. Kun ensimmäinen kysely siitä, missä, miten ja kenen toimesta henkilötietoja tallennetaan, tulee, ei kysymys saisi tulla yllätyksenä markkinointia ja viestintää tekeville.
Aloita valmistautuminen selvittämällä, missä kaikkialla henkilötietoa on. Kun olet kartoittanut nykytilanteen, voit varmistua pala palalta henkilötietojen asiallisesta säilyttämisestä sekä paneutua tarkemmin siihen, miten ja kenen toimesta henkilötietoja koskevat pyynnöt voidaan toteuttaa.
Uusi asetus koskee kaikkia EU:ssa toimivia sekä yrityksiä, jotka säilyttävät EU-kansalaisia koskevia tietoja. Näin ollen myös EU:n ulkopuolella toimivien yritysten, jotka markkinoivat EU:n kansalaisille, on toimittava asetuksen mukaisesti. Asetus on hyvin turvallisuuskeskeinen, ja sen myötä teknologiapartnereiden turvallisuudesta ja lain seuraamisesta tulee markkinoijille aiempaa tärkeämpää.
Jos esimerkiksi käytät ohjelmistoa, jolla ei ole toimipistettä tai yhteyshenkilöä kotimaassasi, voitko varmistua siitä, että henkilötietoja käsitellään juuri sinun yritystäsi sitovan lainsäädännön mukaan? Entä jos teknologiatoimittajasi on EU-alueen ulkopuolelta? Tällöin toimittajan tulisi kaikesta huolimatta toimia EU-asetuksen mukaisesti ja säilyttää henkilötiedot EU:n sisällä.
Koodiviidakko valmistautuu lakimuutoksiin
Koodiviidakossa GDPR-asetukseen valmistautuminen on ollut tärkeänä fokuksena jo pitkään, ja sen kehitystä seurataan tarkoin. Näin olemme varautuneet lakimuutoksiin:
- Teemme parhaillaan muutoksia järjestelmiimme, jotta ne ovat täysin GDPR-yhteensopivia jo paljon ennen asetuksen täytäntöönpanoa. Ensimmäiset päivitykset järjestelmiimme tulevat marras-joulukuun aikana. Lähetämme asiasta erillisen uutiskirjeen ja opastevideon asiakkaillemme.
- Tietoturvallisuus on aina ollut Koodiviidakon prioriteetti. Työntekijämme seuraavat aktiivisesti tieturva-asioiden tiedotuskanavia ja reagoimme nopeasti ilmoituksiin löydetyistä haavoittuvuuksista.
- Järjestämme GDPR-teemaisia workshopeja ja tilaisuuksia, joissa kerromme ja keskustelemme asetukseen liittyvistä keskeisistä asioista. Osallistumme myös itse aktiivisesti GDPR-asetusta koskeviin seminaareihin ja seuraamme jatkuvasti asetuksen tarkentumista sekä käytännön sovellutuksia eri markkinoilla.
- Koodiviidakon tietovarastot sekä palvelimet sijaitsevat EU:n sisällä ja noudattavat aina kohdemaan lainsäädäntöä.
- Uuden asetuksen myötä olemme sopineet myös kolmannen osapuolen toistuvista tietoturva-auditoinneista. Viimeisimmäksi Koodiviidakolle myönnettiin CSA- ja FINCSC-sertifikaatit, joiden myöntäminen on osoitus sähköpostiviestinnän laadukkuudesta sekä kyberturvallisuuden korkeasta tasosta.
Lupauksemme asiakkaillemme on, että sekä teknologiamme että prosessimme vastaavat lakimuutoksia. Pidämme asiakkaamme ajan tasalla siitä, miten tulee toimia ja tiedotamme sitä mukaa, kun tiedot asetuksen soveltamisesta tarkentuvat. Jos GDPR jäi vielä askarruttamaan, kysy lisää asiakasvastaavaltasi, tai laita viestiä [email protected].
Juttusarjan seuraavat osat:
- GDPR-muistilista ja peruskäsitteet: näin valmistaudut tulevaan EU:n tietosuoja-asetukseen
- GDPR sähköpostimarkkinoijalle – mikä muuttuu?
Artikkeli on julkaistu 17.5.2017.
Kirjoitus ei korvaa juridista neuvontaa.
Kommentti
Kommentit
Ei kommentteja