Tarkkuutta asiakasrekistereihin – uusi tietosuoja-asetus tulossa

EU:n uutta tietosuoja-asetusta aletaan soveltaa toukokuussa 2018. Viisas varautuu ajoissa uusiin pykäliin.

Lexia Asianajotoimiston tietosuojakysymyksiin erikoistunut asianajaja Markus Myhrberg kertoo, mistä uudessa tietosuoja-asetuksessa on kyse ja miten se vaikuttaa myynnin ja markkinoinnin ammattilaisen työhön.

Mitkä ovat uuden tietosuoja-asetuksen suurimmat muutokset nykytilaan?

Henkilötietojen käsittely pitää jatkossa pystyä kuvaamaan entistä tarkemmin. Enää ei riitä, että rekisteriseloste on verkkosivulla esillä. Yritysten on kerrottava tarkasti tietosuojaviranomaisille, mitä ne tekevät tiedoilla, ja niiden on raportoitava, miten ne tunnistavat henkilötietojen käsittelyyn liittyvät riskit. On myös pystyttävä osoittamaan, että asetusta noudatetaan.

Henkilötietojen siirtämisen pitää olla jatkossa nykyistä helpompaa. Esimerkiksi, kun asiakas siirtää kännykkäliittymänsä operaattorilta toiselle, kaikki hänen käyttäjätietonsa pitää voida siirtää uudelle operaattorille, jos asiakas niin haluaa.

Mitä tietoja asiakkaista saa jatkossa kerätä?

Asetuksen perustana on tietojen minimointi. Aina pitää pystyä perustelemaan mitä, mihin ja miksi tietoja kerätään. Jo nykyisen lainsäädännön mukaan henkilötietoja saa kerätä vain tarpeellisia tietoja. Uuden asetuksen myötä asiakkaalle pitää tarjota mahdollisuus kieltää automaattinen profilointi.

Nykyinen laki ja uusi asetus koskevat sekä kuluttajakauppaa että yritysten välisen kaupan henkilötietoja. Jos myyjällä on esimerkiksi asiakasrekisterissä tiedot asiakasyrityksen toimitusjohtajan vaimon syntymäpäivästä tai koiran nimestä, voidaan kysyä, ovatko ne myyntityölle tarpeellisia tietoja. Potentiaalisten asiakkaiden markkinointirekisterissä voi pitää vain hyvin rajoitetun määrän tietoja.

Mitä vaikutuksia asetuksella on myyjän ja markkinoijan arkeen?

Tietojärjestelmissä, kuten CRM:issä, tapahtuva henkilötietojen käsittely pitää jatkossa pystyä kuvaamaan ja yksilöimään. Yksityisyyden suoja pitää olla järjestelmissä valmiina sisäänrakennetusti ja oletusarvoisesti (privacy by design and default). Rekisterinpitäjä ei voi vedota siihen, että järjestelmä on niin vanha, ettei viranomaisten haluamia tietoja voida antaa tai järjestelmä ei taivu vaatimuksiin.

Asetus vaatii myös määrittelemään tietojen säilytysajat, jotka pitää rajata ja kertoa asiakkaille. Tiedot eivät voi jäädä makaamaan järjestelmään ikuisesti asiakassuhteen päättymisen jälkeen.

Tuleeko tietojen säilyttämiseen muita uusia määräyksiä?

Rekisterinpitäjän on tehtävä kirjalliset sopimukset esimerkiksi niiden palvelutarjoajien kanssa, joiden palveluissa asiakastietoja käsitellään. Sopimuksessa on oltava asetuksen vaatimat pykälät. Myös niiden liikekumppaneiden kanssa, joiden kanssa asiakastietoja jaetaan, pitää sopia, että henkilötietoja käsitellään säädösten mukaan. Rekisterinpitäjä on aina vastuussa hallussaan olevista tiedoista sekä niiden siirtämisestä tai luovuttamisesta.