Teen tässä vuoden epäseksikkäimmän bloggauksen: kirjoitan EU:n tietosuoja-asetuksesta (General Data Protection Regulation, GDPR) jälkijunassa eli noin kaksi kuukautta tietosuoja-asetuksen voimaantulon jälkeen. Tämä teksti oli tulossa ulos jo aiemmin, mutta sehän olisi hukkunut yleisen hälinän sekaan. Alla vähän pohdintaa ja esimerkkejä siitä, miten valmistauduin tietosuoja-asetukseen.
Mitä siinä oikeastaan vaadittiin?
Kun 25.5.2018 lähestyi, alkoi sähköpostiin tulvia eri yrityksiltä tietosuoja-aiheisia viestejä. Jokaiselle käymälleni nettisivulle ilmestyi viimeistään nyt popup-ikkunoiden viidakko kertomaan, että käynnistäni kerätään tietoa kokemukseni parantamiseksi.
Yleisellä paniikilla oli se hyvä puoli, että aloittelevan yrittäjänkin tuli pohdittua omia tietosuojan ja henkilötietojen käsittelyn pelisääntöjään. Nämä perusvaatimukset eivät ole mielestäni mahdottomia toteuttaa:
- Henkilötiedot täytyy olla kerätty tiettyä, nimenomaista tarkoitusta varten.
- Niitä täytyy käsitellä lainmukaisesti, asianmukaisesti, käyttötarkoituksen kannalta olennaisesti.
- Ne täytyy suojata luvattomalta ja lainvastaiselta käsittelyltä ja siirtämiseltä.
- Ne täytyy suojata siten, etteivät ne häviä ja tuhoudu vahingossa (varmuuskopiot).
- Suojaamisessa on käytettävä teknisiä tai organisatorisia toimia.
- Toisaalta tiedot on pystyttävä poistamaan niin pyydettäessä.
Mielestäni ihan reilu peli – ja no panic! Pienyrittäjän toiminnan kannalta tärkeintä on, että:
a) olet ylipäänsä miettinyt näitä asioita
b) teet omat toimintatapasi näkyviksi
c) jos joku kysyy, niin voit osoittaa miten olet toiminut ja millä perusteilla.
Suomessa oli ollut voimassa henkilötietolaki jo tätä ennenkin eli eihän ihmisten tiedoilla ollut suotavaa tehdä mitä tahansa tätä ennenkään. GDPR:n myötä velvollisuus dokumentoida toimintatavat tietosuojan varmistamiseksi tuli yhdenmukaiseksi koko Euroopan Unionin alueella ja kansalainen sai tarkemmat mahdollisuudet vaikuttaa itsestään kerättäviin tietoihin.
Mistä pienyrittäjän kannatti lähteä liikkeelle asiaan tutustumiseksi?
Itselleni tärkeitä tiedonhankintaväyliä GDPR:stä olivat:
- EU:n yleinen GDPR-portaali: https://www.eugdpr.org/
- Redesan Oy:n järjestämä ilmainen webinaari pienyrittäjille + sen materiaalit: https://www.redesan.fi
- Huikean kattava yhteiso.tietosuojamalli.fi -portaali.
Viimeksimainittu sisälsi varsin hyvin tietoa erityisesti myynnin ja markkinoinnin näkökulmista. Suosittelen lukemaan esimerkiksi liidien käsittelyyn liittyviä asioita.
Tietosuoja-asetus ei millään tavalla tarkoita markkinoinnin loppumista. Suoramarkkinointia saa edelleen tehdä. Julkisista lähteistä tiedon kerääminen on sallittua. Suostumusta ei tarvitse olla etukäteen, mutta vastaanottajalla täytyy olla aina mahdollisuus kieltäytyä jatkosta. Hyvissä markkinointiviestinnän työkaluissa, kuten MailChimpissä, on aina tarjottu mahdollisuus “unsubscribe”.
Jos kauan toimineella yrityksellä on sekalaisia liidilistoja siellä täällä, enää ei ehkä ole muistissa mitä tarkoitusta varten henkilötietoja on aikoinaan kerätty. Siksi on hyvä tiedostaa, että suostumus on se keskeinen asia GDPR:ssä. Jos haluat edelleen käyttää näiden liidien tietoja, sinun täytyy kerätä suostumukset uudelleen tai täytyy olla jokin muu peruste tietojen säilytykselle.
Mitä tein?
Konkreettisin asia GDPR:stä oli tietosuojaselosteen laatiminen. Itselleni tuli vähän tuplatyötä siinä, että tein ne sekä blogilleni että toiminimeni nettisivuille erikseen. Koska kyseessä on kahteen eri tarkoitukseen tiedon kerääminen kahdesta eri domainista, näin sen kuitenkin perustelluksi.
Jätin laittamatta molemmille sivuille ”kerään sinusta näitä tietoja, hyväksytkö?” -popupin. Muutamasta lähteestä (esim. täältä) kävi selväksi, ettei sitä vaadita. Itseäni ne ainakin harmittavat käytettävyyden kannalta.
Molempien nettisivustojeni osalta tutkin myös, mitä tietoja WordPress ja GoogleAnalytics kävijöistä keräävät ja kirjoitin ne selosteeseen.
Yrityksen tietosuojan kannalta kävin myös läpi ovatko projektien, dokumenttien ja liidien hallintaan käyttämäni yhdysvaltaiset pilvipalvelut EU-US Privacy Shield -sopimuksen piirissä ja olivathan ne.
Mitä teen jatkossa?
Tärkeää on muistaa päivittää kuvauksia heti, jos toimintani jollain tavalla muuttuu henkilötietojen käsittelyn osalta. Käytännön esimerkki on, jos alkaisin tarjota blogin päivityksistä kiinnostuneille mahdollisuutta liittyä uutiskirjeen tilaajiksi.
Tällä hetkellä suojelen kansalaisia huonolta huumorilta ja pidättäydyn näiden lähettelystä. Ehkä tilanne joskus muuttuu! Mutta silloinkin johtavana ajatuksena on: no panic.