Miten GDPR vaikuttaa hyvään aineistonhallintaan?

25.5.2018 voimaan astunut EU:n tietosuoja-asetus eli GDPR herättää viestintä- ja markkinointijohdossa vahvoja tunteita. Pursuiko meilisi yritysten lähettämiä “haluatko varmasti jatkossa meiltä yhteydenottoja” -kysymyksiä? Ruotsissa on tätä kirjoitettaessa tulossa ensimmäiset GDPR-tuomiot, ja Tivi uutisoi, että listalla on kaksi terveysyhtiötä, 13 liittojärjestöä, kolme julkisen liikenteen yhtiötä, viisi teleoperaattoria, viisi vakuutusyhtiötä, kolme pankkia ja 35 viranomaista. GDPR-asioissa on syytä olla tarkkana.

General Data Protection Regulationia eli GDPR:ää sovelletaan EU:n jäsenvaltioissa, niin ikään myös Suomessa. GDPR:n tavoite on yhtenäistää tietosuojatyötä EU-alueella ihmisten henkilötietojen osalta sekä digitaalisten sisämarkkinoiden kehittyminen. GDPR vahvistaa ihmisten oikeuksia henkilötietoja kerättäessä ja käsiteltäessä. Aineistonhallinnassa on oltava entistäkin tarkempana, koska erilaisissa aineistoissa olevaa henkilötietoa käsitellään käytännössä kaikissa yrityksissä.

GDPR:n lisäksi lait ja asetukset säätelevät

GDPR koskee kaikkia yrityksiä, joissa henkilötietoa käsitellään, toimipa yritys kuluttaja- tai yritysmarkkinassa. Lähtökohtaisesti yritys rekisterinpitäjänä on myös tiedon käsittelijä. Tietoja voivat käsitellä myös ulkoiset tahot, kuten asia usein on esimerkiksi pilvipalveluissa.

Henkilörekisteriksi luokitellaan käytännössä kaikki fyysiset tai digitaaliset formaatit, joilla henkilötietoa säilytetään ja käsitellään. Rekisterinpitäjällä on velvollisuus informoida rekisteröityä paitsi tämän oikeuksista, myös henkilötietojen käsittelyä koskevista tiedoista.

Tällaisiin tietoihin kuuluvat muun muassa henkilötietoja sisältävien asiakirjojen säilytysajat. Osaa asiakirjoista on säilytettävä tietyn ajan, ja osaa aineistosta ei saa säilyttää kuin tietyn ajan. Näistä määrätään esimerkiksi työsopimus-, kirjanpito- ja henkilötietolaissa. Osa perustuu suosituksiin.

Suostumus ja omiin asioihin vaikuttaminen tärkeää

Yrityksen kannattaa suojata henkilötiedot esimerkiksi erilaisilla käyttöoikeuksilla ja erilaisilla roolituksilla. GDPR:n myötä yrityksen tulee pystyä osoittamaan, että henkilötiedon käsittelyyn on rekisteröidyn suostumus. Myös suostumuksen perumisen pitää olla mahdollista. Tästä syystä näet esimerkiksi sinulle tulevissa eri uutiskirjeissä peruuttamismahdollisuuden yhdellä klikkauksella.

Lyhyt muistilista yrityksen hyvästä GDPR-asioiden hoidosta

• Kouluta henkilöstö GDPR-asioihin
• Mieti valmiiksi, miten hoidat käytännössä yrityksen osoitus- ja ilmoitusvelvollisuuden
• Laita rekisteri- ja tietosuojaselosteet ajan tasalle
• Turvaa rekisteröityjen oikeudet varautumalla tietopyyntöihin ja niihin vastaamiseen
• Kerro henkilöstölle kriisiviestintäsuunnitelma – eli mitä tehdään, jos tietoturvaloukkaus tapahtuisi

GDPR:n suurin muutos aiempaan tietosuojalainsäädäntöön on osoitusvelvollisuus. Enää ei riitä, että yritys tai organisaatio noudattaa tietosuojalainsäädäntöä, vaan sen on pystyttävä myös osoittamaan se. Osoittaminen onnistuu erilaisten tietosuojaa ja henkilötietojen käsittelyä koskevien dokumenttien avulla, kuten tietosuojaselosteella ja tietoturvaohjeilla.

Rekisteröidyillä on oikeus tarkastella omia henkilötietojaan, oikaista niitä ja pyytää niiden poistoa. Tietopyyntöön on vastattava kuukauden sisällä.

Yrityksesi henkilöstö on syytä kouluttaa näihin asioihin, jotta jokainen tietää, miten toimia.

Mitä tehdä, jos kriisi iskee?

Pörssiyhtiöissä työskentelevät viestinnän ammattilaiset tietävät, että pörssitiedottamisella on omat säädöksensä, joiden mukaan on toimittava. Oleellista on tiedonjakamisen oikeellisuus, yhdenmukaisuus ja samanaikaisuus. GDPR:n ilmoitusvelvollisuuden mukaan rekisterinpitäjällä, eli käytännössä joka yrityksellä, on velvollisuus ilmoittaa tietosuojaloukkauksista Tietosuojavaltuutetun toimistoon 72 tunnin kuluessa.

Hyvää kriisiviestintää on esimerkiksi se, että yrityksen toimitusjohtaja astuu reilusti mediaan heti, kertoo, mitä on tapahtunut, mitä asialle on tehty, ja mitä on tarkoitus tehdä, ettei vastaavaa tapahdu.

Kyseessä on vakava brändinhallintaa ja yrityksen koko liiketoimintaa koskeva asia, koska kriiseissä voi mennä yrityksen maineen lisäksi rahat. Kyseessä on vakava brändinhallintaa ja yrityksen koko liiketoimintaa koskeva asia, koska kriiseissä voi mennä yrityksen maineen lisäksi rahat. 

Tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja yritykselle jopa 20 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta, sen mukaan, kumpi näistä on suurempi.

Huomioi GDPR myös yrityksesi ekosysteemissä

Oman yrityksen lisäksi koko kumppaniverkostosi on syytä toimia GDPR:n mukaan, kun EU:ssa toimitaan. GDPR on huomioitava myös integroitaessa järjestelmiä toisiinsa, ja esimerkiksi kun automatisoidaan markkinointia ja myyntiä.

Gredin asiakkaiden sähköiset aineistot ovat 100% tietoturvallisesti samaan konserniin kuuluvan DataCenter Finlandin konesaleissa Suomessa.

Me Gredissä opastamme, kuinka Gredi Content Hubilla tuodaan tarvittavat aineistot tietoturvallisesti ja GDPR huomioiden kaikkien tietoja tarvitsevien saataville. Gredi Content Hubilla tallennat, hallitset, löydät ja arkistoit, versioit, kommentoit, personoit ja hyväksyt, sekä jaat ja julkaiset kätevästi tietoa.

Opastamme sinulle hyvät toimintamallit, työvälineet ja osaamisen, joiden avulla tuot kaiken tarpeellisen tiedon kaikkien ulottuville GDPR huomioiden. Kerromme, miten automatisoit tiedon käsittelyyn liittyviä prosesseja tietoturvallisesti, ja kuinka helpotat tiedon yhteiskäyttöä. Gredi auttaa sinua kokemuksella ja innolla. Ota yhteyttä, niin olemme apuna ja käytettävissä. Laita viesti myynti@gredi.fi tai soita 010 778 7100. Gredi Content Hub – Saat enemmän aikaan.

Lue myös miten Tekoäly helpottaa ja nopeutaa digitaalista aineistonhallintaa.