Meeri Saksman
Päivitetty 01.04.2018
Neljän kuukauden kuluttua päättyy kahden vuoden siirtymäaika ja paljon puhuttua EU:n uutta tietosuoja-asetusta, tuttavallisemmin GDPR:ää (General Data Protection Regulation), ryhdytään soveltamaan käytännössä. Tässä vaiheessa kaikilla lienee jo jonkinmoinen käsitys siitä, mistä asetuksessa on kyse tai ainakaan tuon kirjainyhdistelmän kuulemiselta ei ole voinut välttyä. Asetuksen konkreettinen sisältö ja vaikutus yrityksen päivittäiseen toimintaan sen sijaan on saattanut jäädä jokseenkin epäselväksi niille, jotka eivät yritystä ja sen prosesseja ole asetuksen voimaanastumiseen käytännössä valmistelemassa. Niinpä päätimme hieman selventää (tai ainakin yrittää selventää) asiaa ja asetuksen mahdollisia vaikutuksia asiakaspalveluun ja asiakaspalvelutyöhön.
Pienenä lisäyksenä mainittakoon näin alkuun, että asetukseen ja sen soveltamiseen liittyy edelleen kaiken kaikkiaan epätietoisuutta siitä, mitä sen voimaanastuminen käytännössä tulee tarkoittamaan ja kuinka sitä päädytään soveltamaan, joten käsittelemme asiaa tässä tekstissä hyvin yleisellä tasolla. Asetukseen valmistautuessa sitä kannattanee kuitenkin lähestyä tiukemman tulkinnan kautta, jotta on varmasti valmis vastaamaan sen vaatimuksiin.
GDPR:stä puhuttaessa keskustelu vilisee erilaisia velvollisuuksia ja oikeuksia, sekä monenlaisia termejä anonymisoinnista pseudonymisointiin. Lyhykäisyydessään asetuksella pyritään siis suojelemaan yksilön tietosuojaa kiristämällä siihen liittyviä vaatimuksia. Asetus koskee riskiperusteisesti paitsi kaikkia EU:n alueella toimivia yhtiöitä ja organisaatioita, myös sen ulkopuolisia toimijoita, jotka käsittelevät toiminnassaan EU:n kansalaisten henkilötietoja. Mitä enemmän toiminnassa käsitellään henkilötietoja, sitä suurempi on riski niiden vuotamisesta ja siten myös tiukemmat vaatimukset niiden käsittelylle ja suojaamiseksi.
Yhtiöiden ja organisaatioiden kannalta kriittisin muutos on asetuksen mukanaan tuoma osoitusvelvollisuus – enää ei nimittäin riitä, että noudattaa EU:n tietosuojavaatimuksia, vaan se on pystyttävä osoittamaan todeksi myös jälkikäteen. Syyllinen kunnes toisin todistetaan siis. Niinpä, entisestä poiketen, suostumukseksi ei esimerkiksi sähköisissä palveluissa enää riitä pelkkä valmiiksi rastitetun ruudun ohittaminen palvelun käyttöä jatkamalla, vaan asiakkaan on itse rastitettava kyseinen ruutu. Jos suostumus sen sijaan annetaan asiakirjassa, joka koskee myös muita asioita, tulee suostumuksen antamista koskevan vaatimuksen olla vastaisuudessa selvästi erillään ja helposti ymmärrettävissä.
Osoitusvelvollisuuden myötä yrityksen on kyettävä osoittamaan huolehtineensa henkilötietojen käsittelyssään seuraavista tekijöistä:
Mikäli henkilötietoja kuitenkin syystä tai toisesta pääsisi vuotamaan, tulee ennen vain teleoperaattoreita, pankkeja ja terveydenhuoltoalaa koskenut tiedotusvelvoite koskemaan kaikkia yhtiöitä ja organisaatioita, eli yhtiön tulee ilmoittaa tietojen vuotamisesta asiakkailleen ja viranomaiselle asetuksessa määrätyn ajan, eli 72 tunnin sisään vuodosta. Viranomaisen tehtävä on sitten arvioida, onko yhtiö suojannut hallussaan olevat tiedot asianmukaisesti vai ei.
EU näyttäisi todella olevan tosissaan tietosuojan parantamisen kanssa, sillä tietosuojarikkomuksesta voidaan voimaan astuvan asetuksen myötä määrätä yhtiölle todella tuntuva sakko: maksimimäärä sakolle on 20 miljoonaa euroa tai 4 % yhtiön maailmanlaajuisesta liikevaihdosta.
Yksilön kannalta merkittävimmät uudistukset sen sijaan ovat tiedonsaantioikeus, eli oikeus saada tietää mitä tietoja heistä löytyy erinäisistä rekistereistä, sekä oikeus tulla unohdetuksi. Yksilö voi siis pyytää rekisterinpitäjältä tietojensa poistoa tai anonymisointia, jolloin yhtiön on pystyttävä paikantamaan KAIKKI hallussaan olevat rekisterit, joissa kyseisen yksilön tietoja on ja poistettava tai anonymisoitava ne niin, ettei yksilö ole enää tietojen perusteella tunnistettavissa.
Toivottavasti jokaisessa organisaatiossa ja yrityksessä on jo hyvissä ajoin aloitettu varautuminen ja konkreettiset toimet asetuksen voimaanastumista varten, sillä osoitusvelvollisuus ja todistustaakka vaativat toimijoilta kirjallisen selvityksen siitä, mitä henkilötietoja ne käsittelevät missä ja kenen toimesta, sekä mahdollisesti noita prosesseja ja hallussaan olevia henkilötietoja koskevan riskiarvion.
Yritysten tulee siis käydä läpi ylläpitämänsä rekisterit ja keräämänsä henkilötiedot kriittisesti ja päättää, mitkä tiedoista todella ovat toiminnan kannalta keskeisiä ja säilyttämisen arvoisia. Mikäli tietoa ei tarvita, kannattaa se tietovuotoriskin minimoimiseksi poistaa. Ja mikäli tieto päätetään säilyttää, kannattaa pääsy tietoon rajata vain niille, jotka sitä todella tarvitsevat. Lienee turha myöskään mainita, että viimeistään nyt on hyvä hetki käydä läpi kaikki yrityksen tiedon tallentamiseen, säilyttämiseen ja siirtämiseen liittyvät prosessit ja ennen kaikkea arvioida ja varmistaa niiden turvallisuus.
Mikäli yrityksesi on ulkoistanut tietojenkäsittelyään jollekin kolmannelle osapuolelle, tulee myös noiden olemassa olevien sopimusten sisältö käydä läpi ja tarkistaa vastaavatko ne voimaanastuvan asetuksen sisällöllisiä vaatimuksia, sillä vastuuta ei voi koskaan ulkoistaa. Jos rekisterisi henkilötietoja pääsee vuotamaan tuon kolmannen osapuolen tietoturvan laiminlyönnin vuoksi, on vastuu tietovuodosta silti aina yritykselläsi (toki voit sitten ryhtyä oikeusteitse vaatimaan kolmannelta osapuolelta korvauksia). Sopimuksien läpikäyntiin kannattaa siis panostaa ja varmistaa myös yhteistyökumppaneiden tietosuojan riittävyys!
Sopimuksista tulee asetuksen myötä käydä ilmi vähintäänkin seuraavat seikat:
Viimeistään tähän mennessä jokainen asiakaspalvelutyötä tekevä on varmastikin huomannut asetuksen koskevan myös itseään, sekä suoraan yksilönä ja työntekijänä (työnantajalla on muuten laaja informointivelvollisuus suhteessa työntekijöihin ja heidän tietojensa käsittelyyn), että välillisesti työtehtävien ja prosessien mahdollisen muuttumisen kautta.
Suorat, näkyvät vaikutukset asiakkaaseen jäävät yleisesti ottaen vähäisiksi, pääosin muutaman ylimääräisen ruudun rastittamiseen suostumuksensa antamiseksi. Sen mukanaan tuomat yksilön lisääntyvät oikeudet sen sijaan saattavat kuormittaa yrityksen asiakaspalvelua, mikäli asiakkaat alkavat ahkerasti käyttää esimerkiksi tiedonsaantioikeuttaan, tai oikeuttaan tietojen poistoon tai siirtoon.
Jokaisen yrityksen kannattaakin varautua tuohon mahdollisuuteen etukäteen ja huolehtia siitä, että prosessit ja työkalut noiden pyyntöjen käsittelyyn ovat kunnossa ja henkilökunta koulutettu ja ohjeistettu niin, että asiakkaiden pyynnöt pystytään käsittelemään ajallaan ja laadukkaasti.
Asetuksen selkeyttämiseksi nimenomaan asiakaspalvelun kannalta päätimme koota oheiseen kuvaajaan sen mukanaan tuomia kriittisiä vaiheita ja osapuolten velvollisuuksia ja oikeuksia asiakkuuden alkamisesta sen päättymiseen:
Myös kuvaajassa esiin nostettu lisätietojen kerääminen asiakkaalta suostumuksen saamisen jälkeen on mietityttänyt myös useita meidän asiakkaistamme omaa asiakaspalveluaan asetuksen tuloon valmistellessa: jos esimerkiksi asiakaspalvelun laadun parantamiseksi halutaan ryhtyä keräämään uutta tietokenttää asiakkaasta (vaikkapa asiakkaan asumismuodosta), pitääkö häneltä silloin pyytää myös uusi suostumus?
Yksinkertaisuudessaan vastaus on:
Kuten jo aiemmin mainitsimme, tietosuoja-asetuksessa asiaa lähestytään tiedon minimoimisen kannalta: kerätyn tiedon tulee olla tarpeellista suhteessa niihin tarkoituksiin, joita varten sitä kerätään. Varmista siis, että yrityksesi ehdot ovat riittävän kattavat ja tiedonkeruulle määritellyt tarkoitukset selkeät.
Mikäli siis työskentelet asiakasrajapinnassa ja joudut työssäsi käsittelemään henkilötietoja tai tulevaisuudessa mahdollisesti olemaan se henkilö, joka vastaanottaa ja vastaa asiakkaiden tiedonsaanti- tai -siirtopyyntöihin eikä työpaikallasi ole vielä asetuksesta ja sen mukanaan tuomista muutoksista tiedotettu ja järjestetty koulutusta, kannattaa asiasta varmastikin työpaikalla herätellä keskustelua – asetus kun tulee vaikuttamaan käytännössä enemmän tai vähemmän KAIKKIIN suomalaisiin yrityksiin.
Älä huoli, sillä mekään emme pidä roskapostista. Viestimme sinulle vain, kun meillä on olennaista kerrottavaa.