Harjoitus tekee mestarin – tietosuojassakin

Tietosuojaprojekteissani olen usein törmännyt kysymyksiin, kuten ”Ei meiltä kukaan rekisteröity ole aiemmin tietojaan pyytänyt tarkistaa. Mitä meidän pitää nyt tähän pyyntöön vastata?”. Asetuksen täytäntöönpanon myötä kohdataankin usein tilanteita, joihin ei ole aiemmin törmätty. Mutta tässäkin asiassa toimii erittäin hyvin vanha viisaus ”Harjoitus tekee mestarin”. Avaan tässä artikkelissa rekisteröidyn tietopyyntöä esimerkkinä käyttäen tuota vanhaa viisautta.

Yhä useammin rekisteröidyt, kuten yrityksen asiakkaat, ovat havahtuneet siihen, että heillähän on yhä enemmän oikeuksia koskien omia henkilötietojaan. Hyvänä esimerkkinä on eräälle asiakkaalleni heidän markkinointirekisterissään olleen henkilön tekemä tietopyyntö, joka tosin noudatti vielä vanhaa lainsäädäntöä, mutta jonka sisältö oli pitkälti sama tietosuoja-asetuksen vastaavan tietopyynnön kanssa. Heille tämä oli yrityksen historiassa ensimmäinen tällainen tietopyyntö.

”Pyydän, että toimitatte minulle kirjallisena minua koskevat rekisteritietonne.”

”Pyydän samalla kertomaan, millä perusteella olette säilyttäneet yhteystietojani”. Jo näihin peruskysymyksiinkin vastaaminen voi olla vaikeaa, mikäli rekisteröityjen tietopyyntöihin vastaamisen prosesseja ei ole huolella mietitty läpi. Miten sitten vastaamisessa onnistutaan?

Ensinnäkin organisaation henkilötietojen käsittelyn kokonaisuus tulee tuntea läpikotaisin, jotta ylipäätään pystytään selvittämään, mitä henkilötietoja on mahdollisesti eri tietojärjestelmiin ja paperiarkistoihinkin kerätty ja tallennettu. Toiseksi kunkin käsittelytarkoituksen tulee olla selkeästi määritelty – kuhunkin eri käsittelytarkoitukseen tulee löytyä tietosuoja-asetuksen 6. artiklan mukainen oikeusperuste, muuten käsittely on laitonta. Näistä asioista olen kirjoittanut aiemmassa artikkelissani https://www.tikkasec.fi/gdpr-tietosuoja-asetus-toimenpiteet/

Edellisten lisäksi on tärkeää, että tietopyyntöihin vastaamisen käytännöt on suunniteltu huolellisesti. Vastaamiseen liittyy toisaalta muotoseikkoja, kuten mitä tietoja vastauksen tulee sisältää, jotta se on asetuksen vaatimusten mukainen. Toisaalta vastaamisessa on hyvin olennaisesti kyse yrityksen ulkoisesta viestinnästä, jossa on aina mahdollista onnistua erinomaisesti tai epäonnistua huolella. Tilanteessa onkin usein kyse yrityksestä saatavan positiivisen tai negatiivisen mielikuvan luomisesta tai vahvistamisesta. Jo yrityksen imagon kannalta on tärkeää, että viestinnässä ollaan huolellisia.

Harjoitus tekee mestarin!

”No miten näitä asioita pitäisi sitten käytännössä tehdä?” Vastaus on yksinkertainen: Harjoitelkaa! Simuloikaa harjoitustilanne, jossa joku asiakkaanne lähestyy teitä vaikkapa sähköpostilla, ja pyytää nähtäväkseen hänestä kerätyt henkilötiedot. Tässä kohdassa tuleekin tarkastella huolellisesti asetuksen artiklan 15 sääntöjä ”Rekisteröidyn oikeus saada pääsy tietoihin”.

Harjoitellessanne tietopyyntöön vastaamista, käyttäkää mieluummin esimerkiksi CRM:ään lisättyä testidataa. Näin harjoituksesssa ei vahingossa käsitellä asiattomasti todellisen asiakkaan tietoja. Pyrkikää kuitenkin siihen, että tilanne olisi mahdollisimman aito. Toisin sanoen tietopyyntö olisi hyvä lähettää siitä etukäteen muille organisaation työntekijöille kertomatta ja toisaalta testidatasta ei pitäisi heti käydä ilmi, ettei kyseessä ole todellinen henkilö. Näin nähdään hyvin nopeasti, ovatko kaikki tietopyyntöprosessiin työroolinsa puolesta joutuvat henkilöt ajan tasalla siitä, miten tilanteessa tulee toimia.

Rekisteröidyn tietopyyntö on vain yksi esimerkki niistä tilanteista, joissa harjoittelulla pystytte tehokkaasti kehittämään toimintaanne. Muita aiheita voivat olla esimerkiksi rekisteröidyn pyyntö poistaa hänen tietonsa tai vaikkapa ilmoituksen tekeminen viranomaiselle ja rekisteröidyille henkilötietoihin kohdistuneen tietoturvaloukkauksen tapahtuessa. Tietoturvaan liittyviä tärkeitä harjoituksen kohteita ovat esimerkiksi tietojen palauttaminen varmuuskopioista. Näistä aiheista kirjoitamme lisää tulevissa artikkeleissa.

29.03.2020

Maplet Oy: Pekka ymmärtää meidän liiketoimintaamme

Yhteistyössämme Tikkasecin kanssa on ollut parasta se, että Pekka ymmärtää liiketoimintaamme. Hänellä on riittävää asiantuntemusta, hän osaa löytää juuri ne oleelliset yksityiskohdat ja pystyy keskittymään oleelliseen.

02.03.2020 | Pekka Vepsäläinen

Harjoitus tekee mestarin – tietosuojassakin

Tietosuojaan liittyviä toimenpiteitä kannattaa harjoitella, jotta sen toteuttaminen sujuu niin normaalissa arjessa kuin poikkeustilanteissakin.

28.02.2020 | Pekka Vepsäläinen

Kymppiremontit saavat hyötyä tietosuojavalmennuksesta

Kymppiremontit saa tietosuojaan liittyvien asioiden toteutukseen hyötyjä jatkuvasta tietosuojavalmennuksesta, jossa Tikkasec on heille tukena.

25.02.2020 | Matti Vepsäläinen

Tietojen minimointi – CASE kotiosoite

Mitä tarkoittaa tietosuoja-asetuksen mainitsema tietojen minimointi? Voiko myyjä tallentaa CRM-järjestelmään asiakkaan perheenjäsenten tietoja? Voiko kotiosoitetta kysyä työnhakijalta?

03.02.2020 | Pekka Vepsäläinen

Hankintavaiheessa voidaan ratkaista tietoturvaa ja tietosuojaa kustannustehokkaasti

Tietojärjestelmien ja palveluiden hankintavaiheessa voidaan vaikuttaa tietoturvan ja tietosuojan toteutumiseen kustannustehokkaammin kuin jättämällä niiden huomiointi myöhempään ajankohtaan.

Ota Yhteyttä