Tietosuoja-asetuksen siivittämänä parempaan tietojen käsittelyyn
EU:n uusi tietosuoja-asetus pakottaa yritykset tarkistamaan henkilötietojen käsittelyn prosessinsa ja työkalunsa sekä dokumentoimaan käytänteensä. Koska big datan hyödyntäminen liiketoiminnassa on tullut jäädäkseen, tiedon oikeanlainen keruu ja käsittely varmistavat hyvän pohjan asiakaslähtöiselle liiketoiminnan kehittämiselle. Asiakasta arvostava, avoin ja molempia osapuolia hyödyttävä tiedonhallinnan kokonaisuus on investointi, joka maksaa itsensä takaisin.
Tietosuoja-asetuksen vaatimusten soveltaminen käytäntöön on yksi asiakaskunnassamme virinnyt huolen aihe. Koska selkeää ohjeistusta ei vielä ole, joutuvat yritykset luomaan niitä tässä vaiheessa itse. Me olemme tiivistäneet näkemyksemme asetuksen teknisistä käytännön vaikutuksista useimpiin verkkosivustoihin seuraavasti:
1) Suurimmalla osalla verkkosivuja on tiedonkeruulomakkeita. Uuden tietosuojalainsäädännön näkökulmasta tämä tarkoittaa, että jatkossa tiedon keruuseen ja käyttöön pitää olla dokumentoitu lupa. Eli jos käytät lomaketta, jonka perusteella hyödynnät tietoja esim. markkinointitarkoituksiin, tuohon markkinointiin pitää olla selkeä lupa lomakkeen täyttäneeltä henkilöltä. Erityyppisiin käyttötarkoituksiin tarvitaan erilliset suostumukset, yksi geneerinen ”saatte tehdä tiedoillani mitä vain” -lupa ei riitä.
Vaikutukset: lomakkeiden päivitys lupien/kieltojen dokumentoimiseksi; lupiin liittyvän tietokannan luominen.
2) Yleisesti käytettyjä ovat myös erilaiset personoivat evästeet, eikä niiden osalta voida toimia muusta tiedon keruusta poikkeavalla tavalla. Erilaiset keksit (analytiikka, käyttökokemukseen liittyvät evästeet, markkinoinnilliset evästeet…) on eroteltava, ja niiden käyttöön on otettava erikseen suostumus. Kuten muidenkin suostumusten kohdalla, tiedon keruun kohteella on aina oltava mahdollisuus perua antamansa suostumus, mikä taas edellyttää teknisiä ratkaisuja tiedon hallinnoimiseen.
Vaikutukset: toiminnallisuus erilaisten evästeiden käytön sallimiseen/kieltämiseen; tietokanta tiedon tallennukseen.
3) Tietojen keräämisen, hallinnoinnin ja käytön käytänteet on dokumentoitava, ja tiedon keruun kohteelle tarjottava pääsy asiassa tehtyyn selosteeseen. Koska tietojen keruun kohteella on myös aina oikeus tietää, mitä tietoa hänestä on tallennettu, korjata tietoja ja halutessaan myös poistaa ne, on selosteesta käytävä myös ilmi, miten kyseiset toimenpiteet voidaan helposti toteuttaa.
Vaikutukset: rekisteriselosteen tekninen toteutus ja esille saattaminen; asiakasyhteydenottojen hallinnoinnin ratkaisut.
Yllä oleva lista ei ole tyhjentävä, ja esim. tietojen tekninen suojaaminen on aina huomioitava kaikissa prosesseissa. Jokaisen yrityksen tulisi tarkastella henkilötietojen käsittelyä oman liiketoimintansa näkökulmasta tarvittavien toimenpiteiden määrittämiseksi. Käytänteet vaihtelevat, ja sen vuoksi myös tekniset ratkaisut, jotka prosessien tukemiseksi on luotava.
Vieraskynä