blog 2017 10 26

 

DigiEDI on GDPR-yhteensopiva

 

GDPR on tämän vuoden hypetysaihe, jonka kanssa on syytä ottaa käytännönläheinen linja ja varoa kiihtymistä, ellei ole konsultti tai sellainen virkamies, jonka on pakko innosta työnsä puolesta.

Menossa on markkinapeli, jossa kaikki asiaan liittyvät toimijat pyrkivät laajentamaan omaa kenttäänsä ja egoaan. Sanoman ydin on siitä, että uusi standardi pitää saada kattamaan koko elämä, maailmankaikkeus ja kaikki.


Kyseessä on normaali hypekiihko, kun konsultit, kouluttajat ja muut kommentoijat yrittävät laajentaa markkinoita ja omaa osuuttaan siellä. Ei mitään ihmeellistä, business as usual.


Tämä hypetysvaihe näkyy nyt siten, että ihan kaikki saadaan sisältymään tähän, kun vain puhutaan tarpeeksi ympäripyöreitä ja vältetään kaikkea konkretiaa. Tällä saadaan sekaannusta ja sekaannuksesta voi aina rahastaa jotenkin.


Mistä siis on kyse?


Vuoden 2018 toukokuussa tulee voimaan EU:n laajuinen GDPR-säännöstö henkilötietojen rekistereistä ja niiden käytöstä. Yksi ydinkysymyksistä on se, että henkilörekisteriksi tulkitaan kaikki, missä on henkilöitä yksilöiviä tietoja; siis tietoja, joiden perusteella henkilö voidaan tunnistaa. Näitä ovat luonnollisesti mm. nimi, sotu, osoite, puhelinnumero, sormenjälki ja kuva, mutta alustavien kommenttien mukaan ihan mikä tahansa. Tästä on helppo kehittää paniikkia, kun ei määritellä tarkemmin.


Esimerkki 1: Jokaisen yrityksen jokainen sähköpostilaatikko on varmasti oma henkilörekisterinsä, koska siellä on nimiä ja sähköpostiosoitteita. Pitääkö näitä käsitellä GDPR-sääntöjen mukaan? Tiukasti ottaen ilman muuta, mutta loppujen lopuksi käytännön on pakko järkevöityä.


Esimerkki 2: Omistat Espoossa 100 metriä merenrantaa, jossa kanssakaupunkilaiset mielellään käyvät kävelemässä, jotkut kumisaappailla, toiset paljain jaloin. Molemmista jää yksilöiviä jälkiä, joista kulkijat voidaan tunnistaa (katso vaikka CSI). Onko tämä GDPR:n mukainen henkilörekisteri? Hyvin todennäköisesti on, jos kysyt hypevirkamieheltä.


Esimerkki 3: Omistat 2 Bajamajaa, joissa ohikulkijat voivat käydä rentoutumassa ja ja jättämässä kannikankuvansa istuimeen; siis selvästi yksilöivä tunniste. Onko rekisteri? Konsultin mukaan varmasti on, mutta loppujen lopuksi kysymys ratkaistaan jossain fiksummassa paikassa, esim. hovioikeudessa. Eli todennäköisesti ei ollutkaan.


Varmasti monille isoille yrityksille tämä teettää pientä isomman projektin, mutta varsinkin pienemmille se on lähinnä dokumentoinnin täsmentämistä ja muutaman uuden prosessin määrittelyä.


Itse olen yrittänyt ymmärtää asiaa käytännöllisesti DigiEDI:n näkökulmasta ja toistaiseksi se näyttää melkoisen selkeältä: Hieman jouduin tarkentamaan vanhan mallista tietosuojaselostetta, mutta aika pienellä vaivalla siitä selvisin ja uskon sen täyttävän jo tulevatkin pykälät. Jos ei täytä, täydennetään sitten lisää.


Sikäli olemme DigiEDI:n kanssa hyvässä tilanteessa, että meillä ei ole suoramarkkinoinnin rekistereitä, joiden käyttöön tulee ilmeisesti enemmän sääntelyä erillisten ePrivacy-pykälien mukana, jotka ehkä tulevat voimaan samaan aikaan – tai sitten eivät tule. Niissä ydin lienee siinä, että rekisteröitäviltä pitää kysyä suostumus ja se on dokumentoitava. Vanhat rekisterit on korjattava tai poistettava. Onhan siinä vähän miettimistä.


Pk-yrityksen kannalta perusidea on siinä, että jos sinulla on yksilöiviä tietoja, ne muodostavat henkilörekisterin ja ne pitää dokumentoida ja nimetä joku vastuuhenkilö. Hyviä malleja tulee varmasti jakeluun vähitellen.


Edelleen tärkeää on tietysti sekin, että rekisterien tietoja ei kannata jaella satunnaisille ohikulkijoille, mutta sehän on itsestään selvää nytkin – paitsi jos haluaa käyttää sitä ilmaisena markkinointikikkana, jolla saa runsaasti medianäkyvyyttä.

DigiEDI:n tietosuojaseloste löytyy osoitteesta Tietosuojaseloste. Kuulen mielelläni kommentteja.

 

Hessu100

 

 


     Jaa:    
 
Facebook      LinkedIn     


     Seuraa:    
 
Facebook    LinkedIn