GDPR on se lyhenne, joka tuntuu nyt olevan kaikkien huulilla. Asia onkin aika tärkeä, ja meidän kaikkien tulisi ymmärtää, mistä on kyse. GDPR on uusi,  25. toukokuuta 2018 voimaan astuva säännöstö, joka vaikuttaa suuresti yritysten henkilötietojen käsittelyyn. Tämän artikkelin tarkoitus on valmistaa asiakkaitamme muutokseen.

 

Mikä on GDPR?

GDPR on lyhenne termistä The General Data Protection Regulation. Kyseessä on uusi eurooppalainen, yksityisyyden suojaa koskeva asetus, joka astuu voimaan 25. toukokuuta 2018.

Uusi asetus antaa yksilölle enemmän valtaa henkilökohtaisten ja työhönsä liittyvien tietojen suhteen (pankkitiedot, osoitteet, IP-osoitteet, sairaalatiedot, sosiaalisen median postaukset jne.). Näin ollen organisaatioille jää vähemmän valtaa kerätä ja käyttää tietoja taloudellisen hyödyn saamiseksi.

Tämä tietysti tarkoittaa tiukempia henkilötietojen käsittelyvaatimuksia kaikille, joilla on yritys tai organisaatio pyöritettävänään – ja samalla se vaatii uusia menetelmiä ja prosesseja tiedon turvalliseen käsittelyyn. Haluamme olla mukana varmistamassa, että asiakkaillamme eli Lime-käyttäjillä muutos sujuisi mahdollisimman kivuttomasti.

 

Koskevatko tiukemmat vaatimukset myös sinun yritystäsi?

Toimiiko yrityksesi/organisaatiosi Euroopan unionin alueella? Tallentaako tai käsitteleekö yrityksesi jollain tavalla henkilötietoja? Myytkö ja/tai varastoitko EU-kansalaisten henkilötietoja?

Jos vastaat yhteenkin näistä kysymyksistä myönteisesti, GDPR koskee myös sinua. Jos käytössäsi on CRM-järjestelmä, kuten Lime, lähtökohtaisesti tallennat henkilötietoja ja tämä koskee myös sinua.

 

Mitä ovat “henkilötiedot”?

Henkilötiedot sisältävät kaikenlaisen tiedon, joka voidaan jotenkin yhdistää yksittäiseen ihmiseen. Niissä ei tehdä mitään eroa yksityisten, julkisten tai ammatillisten henkilötietojen välillä. Ei siis ole mitään väliä, onko yksilö yrityksesi työntekijä, asiakas vai prospekti tai sillä, teetkö B2C:tä vai B2B:tä – jos asiaan liittyy yksilöitä, sinun täytyy noudattaa uusia määräyksiä.

Henkilötiedot voivat olla päivänselviä juttuja kuten nimi, mutta kyseessä voi olla myös tietokokoelma, jonka avulla yksilö voidaan tunnistaa, esim.

  • Nimi
  • Postiosoite
  • Sähköpostiosoite
  • Sijaintitiedot
  • Juokseva teksti henkilötiedoin
  • Päivitys sosiaalisessa mediassa
  • Tietokoneen IP-osoite

 

Rangaistuksia luvassa

Yritykset, jotka eivät noudata asetusta, saattavat saada sanktioita. Jos et noudata GDPR:n määräyksiä, sakot voivat olla jopa 4% vuotuisesta maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa, kumpi näistä sitten sattuukaan olemaan suurempi.

 

Mitä oikeuksia GDPR takaa yksilöille – ja yrityksesi yhteyshenkilöille?

No niin, nyt tästä saadaan hieman konkreettisempaa! Mitä oikeuksia uusi GDPR sitten antaa sinulle yksilönä? Toivottavasti alla oleva lista auttaa ymmärtämään, mihin yrityksesi täytyy varautua.

Oikeus saada tietää tiedonkeruusta jo etukäteen. Kuluttajan tulee päättää, että hänen tietojaan saa kerätä, ja antaa suostumuksensa nimenomaisesti sen sijaan, että suostumus saadaan epäsuorasti.

Oikeus pyytää päästä käsiksi henkilötietoihin ja kysyä, mihin tietoja käytetään. Tällöin henkilölle tulee toimittaa kopio tallennetuista henkilötiedoista, tietysti maksutta.

Oikeus pyytää tietojen korjaamista. 

Oikeus tulla unohdetuksi. Jos yksilö ei ole enää yrityksen asiakas tai hän peruuttaa suostumuksensa henkilötietojensa käyttöön, hänellä on oikeus saada tietonsa poistetuksi.

Oikeus pyytää, että henkilötietoja ei käytetä. 

Oikeus siirtää henkilötietoja palveluntarjoajalta toiselle. 

Oikeus vastustaa eli oikeus pysäyttää henkilötietojen käyttö suoramarkkinoinnissa. Tähän sääntöön ei ole poikkeuksia ja kaiken kyseisten tietojen käsittelyn tulee loppua heti, kun pyyntö on vastaanotettu. Tämä sinun tulee yrityksenä tehdä yksiselitteisen selväksi heti viestinnän alkaessa.

Oikeus saada tieto mahdollisesta tietomurrosta, joka voi vaarantaa yksilön henkilötiedot. Yksilöllä on oikeus saada tieto tietomurrosta 72 tunnin kuluessa sen tapahtumisesta.

 

Näe hieman vaivaa GDPR:n eteen – saat uskollisia asiakkaita

GDPR tietysti teettää yrityksillä lisätyötä. Pidä silti mielessä, että avoin kommunikaatio yrityksen tavasta käyttää henkilötietoja osoittaa arvostuksesi yksityisyydensuojaa kohtaan sekä syventää jo olemassa olevaa luottamusta. Näin asiakkaista tehdään uskollisia.

 

Valmistelut

Starttaa valmistelut saman tien! Tee GDPR-suunnitelma ja pidä pääsi kylmänä toukokuussa 2018, kun asiakkaat alkavat esittää kiperiä kysymyksiä määräysten noudattamisesta

Käytä aikaa ymmärtääksesi, mitä sinun tulee tehdä määräysten noudattamiseksi.

Jaa tietoa ja kouluta. Varmista, että yrityksesi jokainen henkilötietonikkari tuntee GDPR:n ja sen merkityksen organisaatiollenne.

Kartoita kaikki henkilötiedot. Yksi GDPR:n olennaisimmista piirteistä on “ privacy by design”, minkä seurauksena organisaation jokaisen osaston tulee tutkia keräämiänsä tietoja ja niiden käsittelyä. Niinpä sen sijaan, että tietoja vain kerätään summanmutikassa, yrityksellä tulee olla tiedossaan, mihin tarkoitukseen dataa halutaan käyttää. Tässä muutama pointti, joilla päästä alkuun:

  1. Mitä henkilötietoja käsitellään?
  2. Kuinka tietoja käsitellään ja miksi?
  3. Kuka pääsee tietoihin käsiksi?
  4. Mitä loukkaamattomuuteen liittyviä riskejä tässä saattaa piillä ja mitä ongelmia ne voivat aiheuttaa?

Tarkastele dokumentaatiota ja liiketoimintaprosesseja.

GDPR:n mukaan yksilön tulee antaa nimenomainen suostumus tietojensa keruuseen ja käsittelyyn. Valmiiksi ruksitut valintaruudut ja epäsuorat suostumukset eivät enää riitä. Tarkista siis kaikki tietosuojalausuntosi ja tiedonantosi ja muokkaa niitä tarvittaessa.

Luo toimintatapoja ja menetelmiä henkilötietojen käsittelyyn.

Esim.

  • Kuinka yksilö voi antaa suostumuksensa laillisella tavalla?
  • Miten toimitaan, jos yksilö haluaa tietonsa poistettavan?
  • Kuinka varmistat, että tiedot poistetaan kaikista alustoista ja että ne todellakin tuhotaan?
  • Jos yksilö haluaa tietonsa siirrettävän, miten toimitaan?
  • Kuinka varmistat, että tietojen siirtämistä, poistamista tai korjaamista pyytänyt henkilö todellakin on se, kuka hän sanoo olevansa?
  • Mikä on viestintäsuunnitelmanne tietomurron tapahduttua?

Järjestä vaadittavat turvatoimet tietomurtojen välttämiseksi.

 

Kuinka Lime voi auttaa?

Limen porukka on analysoinut tarkasti GDPR:n vaatimukset ja työstämme juuri muutoksia tuotteisiimme, sopimuksiimme ja työtapoihimme tukeaksemme asiakkaitamme heidän matkallaan GDPR-vaatimusten täyttämiseen.

Soita toki meille, jos sinulla on kysyttävää GDPR:n vaikutuksesta matkallasi asiakasmagneetiksi!

 

Lisätietoja

Jos haluat tietää lisää GDPR:stä, tutustu sivustoon www.eugdpr.org.

Kirjoittanut: Stefan Saxberg