Toukokuussa voimaan astunut EU:n tietosuojalaki GDPR (General Data Protection Regulation) aiheuttaa edelleen allekirjoittaneelle sekä muulle Valuen poppoolle harmaita hiuksia ainakin jollain tasolla. Tämän blogiesseen muodossa avaan muutamia tärkeitä seikkoja, joista olen ottanut selvää.

Ihan aluksi pienenä pohjustuksena tietosuojalain tarkoituksesta: Pääasiassa tarkoituksena on yhdenmukaistaa EU:n jäsenmaiden tietosuojakäytäntöä ja täten parantaa kansalaisten yksityisyyttä. Asetus koskee kaikkia yrityksiä, jotka ovat tekemisissä jollain tavalla henkilötietojen kanssa. Voisi sanoa, että kaikissa yrityksissä on jonkinlainen asiakasrekisteri. Jos esimerkiksi lähetät laskun, sinulla on hallussa asiakkaasta tietoja. Jos yrityksesi nettisivuilla on yhteydenottolomake, sähköpostisi toimii ikään kuin pienenä asiakasrekisterinä.

Yritysten täytyy olla entistä huolellisempia kerättyjen henkilötietojen kanssa ja olla tietoisia miksi ja mitä tietoja he asiakkaistaan keräävät. Henkilötiedoilla viitataan kaikkiin tietoihin, joilla yksittäinen henkilö on tunnistettavissa: nimi, sähköposti, henkilötunnus, puhelinnumero, osoite, IP-osoite ja verkkoevästeet.

GDPR-asetuksen myötä yritysten tulee laatia kirjallinen kuvaus toteuttamastaan henkilötietojen käsittelystä. Selosteen tarkoituksena on osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Tietosuojaseloste on siis laajennettu rekisteriseloste, jossa kerrotaan henkilötietolain (523/1999) säädöksen lisäksi rekisteröidyn oikeuksista. Selosteen tulisi olla tarjolla aina silloin, kun henkilö antaa itsestään koskevia tietoja. Hyvä paikka selosteelle on esimerkiksi nettisivuilla footer-osiossa, eli alatunnisteessa. Lomakkeilla taas esimerkiksi niiden yhteydessä.

Havainnollistava esimerkki:

Value Creative haluaa kerätä sähköpostiosoitteita ja nimiä asiakassegmenttiänsä varten. Tarkoituksena tarjota palveluita, eli tehdä myyntiä. Toisin sanoen Value voi säilyttää ja käsitellä henkilötietoja vain tiettyä nimettyä tarkoitusta varten. Tiedot tulee poistaa tai anonymisoida välittömästi, mikäli niiden säilyttämiseen ei ole enää oikeutettua tarvetta.

Jotta Value voi käsitellä henkilötietoja, se edellyttää joko sopimuksellista perustetta, oikeutettua etua tai henkilön antamaa suostumusta. Ilman käsittelyperustetta ei ole oikeutta kerätä ja käsitellä henkilötietoja.

Sopimuksellinen peruste on se, kun sinun ja asiakkaasi välillä on sopimuksellinen suhde. Voit täten lähestyä olemassa olevia asiakkaitasi esimerkiksi sähköpostimarkkinoinnilla.

Oikeutettu etu: Esimerkiksi B2B-liiketoiminnassa henkilötietojen käsittely markkinointitarkoituksissa perustuu oikeutettuun etuun. Tietosuoja-asetus ei siis edellytä suostumusta markkinoinnin perustaksi.

Suostumus: Henkilöltä saadun suostumuksen tulee olla täysin vapaaehtoinen ja suostumuksen pitää tulla omalla aktiivisella toiminnalla. Esimerkiksi lomakkeen yhteydessä valmiiksi rastitettu ruutu ei ole sallittu keino, vaan henkilön tulee itse rastittaa ruutu. Suostumus voidaan saada myös suullisesti. Suullinen suostumus olisi hyvä merkitä johonkin ylös, sillä jälkeenpäin tarvittaessa se on pystyttävä todentamaan.

YHTEENVETO – kaksi erittäin tärkeää seikkaa:

1. Tietoja pyritään minimoimaan, eli yritys saa kerätä ja käsitellä vain niitä henkilötietoja, jotka ovat välttämättömiä tarkoituksen täyttämiseksi.

2. Yrityksen on varmistettava, että henkilötietoja ei säilytetä pidempään kuin välttämätöntä siihen tarkoitukseen, jota varten tiedot on alun perin kerätty. Tiedot tulee siis poistaa tai anonymisoida välittömästi, mikäli niiden säilyttämiseen ei ole enää oikeutettua tarvetta.

Lähteet:
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/what-data-can-we-process-and-under-which-conditions_fi

https://help.lyyti.com/hc/fi/articles/360000810834-Tapahtumaj%C3%A4rjest%C3%A4j%C3%A4n-39-GDPR-kysymyst%C3%A4-ja-vastausta

https://genero.fi/tietosuoja-asetus-gdpr-markkinoinnin-ja-myynnin-nakokulmasta/