EU:n uusi tietosuoja-asetus ei ole maailmanloppu – siirtymävaihe voi olla sujuva, kun vain tiedät mitä tehdä

Kirjainyhdistelmä GDPR pyörii nyt kaikkien huulilla ja sen lausuminen ääneen herättää meissä enemmän tai vähemmän pelkoa. Mutta EU:n ensi toukokuussa voimaan tuleva tietosuoja-asetus (General Data Protection Regulation eli GDPR) ei ole niin suuri mörkö kuin miltä se näyttää. Muutoksesta on mahdollista selviytyä voittajana ja jopa kohtuullisella vaivalla – kun vain tietää mitä tekee.

Uusi tietosuoja-asetus vahvistaa yksilön oikeuksia ja lisää henkilötietoja keräävien toimijoiden velvollisuuksia. Käytännössä tämä tarkoittaa, että jatkossa yksilön tulee antaa suostumus henkilötietojen keräämiseen ja yritysten tulee kerätä ja käyttää tietoja vain hyväksyttyyn tarpeeseen. Asetuksen rikkomisesta seuraa ankara sakkorangaistus.

Sakon pelossa ja asiantuntemuksen puutteessa monet yritykset ovat päättäneet tuhota kaiken aiemmin kerätyn datan ja pidättäytyä kaikenlaisen datan keräämisestä jatkossa. Tämä ei kuitenkaan ole ainoa vaihtoehto, eikä se ole myöskään suositeltavaa. Yrityksen koosta ja toimialasta riippuen muutoksesta on nimittäin mahdollista selvitä varsin helpolla ja kohtuullisin kustannuksin. Puhumattakaan siitä, kuinka tärkeää asiakasdata on yrityksen liiketoiminnalle ja markkinoinnin kohdentamiselle.

Millaisia muutoksia uusi asetus edellyttää?

Jatkossa käyttäjältä pitää saada suostumus henkilötietojen käsittelyyn digitaalista mainontaa ja markkinointia varten. Pelkkä ok:lla kuitattava evästeilmoitus ei enää riitä, ja suostumuslausekkeen tulee olla selkeä ja ymmärrettävä.

Lisäksi datan keräämiselle pitää olla hyväksyttävä syy ja sille on määriteltävä säilytysaika. Lopuksi yrityksen on varmistettava, että se tallentaa datan oikein, käyttää sitä oikein ja poistaa sen oikein. Kyse on siis prosessien määrittelystä ja tietojärjestelmien päivittämisestä.

Tekniset ratkaisut ovat yksinkertaisia

Uuden tietosuoja-asetuksen vaatimukset kuulostavat siltä, että niiden noudattaminen vaatii suuria investointeja teknologisiin ratkaisuihin. Tämä ei pidä paikkansa, vaan tilanteesta on mahdollista selvitä pienin muutoksin nykyisiin järjestelmiin. Suurin työ on datan läpikäymisessä, muutostarpeiden kartoittamisessa ja prosessien määrittelyssä. Käytännössä muutokset ovat muun muassa päivityksiä nykyisiin lomakkeisiin, tietokantoihin ja tietosuojalausekkeisiin.

Muutoksen läpivientiin tarvitaan kumppani

Tälläkin hetkellä monessa yrityksessä istutaan palaveripöydän ääressä ja mietitään, mitä GDPR:n suhteen pitäisi oikein tehdä. Ja yhtä monessa yrityksessä ei tehdä senkään vertaa, sillä ei tiedosteta uuden asetuksen koskevan myös heitä. Useimmissa yrityksissä kerätään jonkinlaista dataa – joko asiakkaista tai henkilöstöstä tai molemmista – joten käytännössä asetus koskee ihan kaikkia yrityksiä. Harvassa yrityksessä kuitenkaan on muutoksen edellyttämää lainopillista ja teknistä osaamista, joten muutoksen läpivientiin tarvitaan aina kumppani.

Kumppanin valintaan kannattaa kiinnittää huomiota, sillä muutoksen läpiviejällä ja tulevalla datan käsittelijällä tulee olla tarvittava asiantuntemus. Tätä edellyttää jo uusi asetuskin, jonka mukaan henkilötietoja keräävän yrityksen (=rekisterinpitäjä) on käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet asiantuntemuksesta, luotettavuudesta ja resursseista.

Toimiva yhteistyö rekisterinpitäjän ja tietojen käsittelijän välillä on ensiarvoisen tärkeää. Kumppanukset käyvät yhdessä läpi asiakkaan datan, tekevät tarvittavat muutokset järjestelmiin ja määrittelevät prosessit. Asiantuntevan kumppanin valinnalla vältetään karikot ja saadaan projekti vietyä läpi mahdollisimman tehokkaasti.

Asetukseen valmistautuminen voi sujua myös helposti ja nopeasti

Uuteen asetukseen valmistautuminen saattaa kuulostaa työläältä ja kalliilta projektilta, mutta helpoimmillaan se voi olla parin, kolmen päivän homma. Näin on erityisesti pienten yritysten kohdalla, joilla on vain vähän asiakasdataa. On vain käytävä data yhdessä läpi, laitettava prosessit kuntoon ja tehtävä tarvittavat muutokset lomakkeisiin, tietokantoihin ja tietosuojalausekkeisiin. Suurilla yrityksillä, jotka keräävät runsaasti arkaluontoisia henkilötietoja, projekti on toki isompi ja kalliimpi, mutta asiantuntevan kumppanin kanssa sekin sujuu niin tehokkaasti kuin mahdollista.

Dataa ei pidä pelätä, vaan sitä voi ja pitää jatkossakin kerätä!

Ratkaisu tilanteeseen ei ole kaiken datan poistaminen ja keräämisen lopettaminen. Päinvastoin. Uusi asetus kannattaa nähdä mahdollisuutena, sillä sen myötä asiakasdataa voidaan hyödyntää entistä tehokkaammin ja innovatiivisemmin.

Tiivistettynä siis, ei pidä ajatella, että uuden asetuksen myötä dataa joudutaan heittämään roskiin, vaan että siivoustalkoiden jälkeen hyvä data on perattu huonosta datasta ja jäljelle on jäänyt vain hyvä ja käyttökelpoinen.

Kirjoittaja Juha Karonen on Mirum Agencyn Pohjois-Euroopan Chief Technology Officer ja Senior Technical Architect. Hänellä on yli 14 vuoden kokemus eri rooleissa työskentelystä teknologia-alalla. Hän on erikoistunut verkkoalustoihin, sovelluksiin ja verkkokauppaprojekteihin. Juha on IAB:n tietosuojatyöryhmän jäsen ja ollut mukana tietosuojaan liittyvissä keskusteluissa useiden vuosien ajan.