Tietosuojaprojekteissani olen usein törmännyt kysymyksiin, kuten ”Ei meiltä kukaan rekisteröity ole aiemmin tietojaan pyytänyt tarkistaa. Mitä meidän pitää nyt tähän pyyntöön vastata?”. Asetuksen täytäntöönpanon myötä kohdataankin usein tilanteita, joihin ei ole aiemmin törmätty. Mutta tässäkin asiassa toimii erittäin hyvin vanha viisaus ”Harjoitus tekee mestarin”. Avaan tässä artikkelissa rekisteröidyn tietopyyntöä esimerkkinä käyttäen tuota vanhaa viisautta.
Yhä useammin rekisteröidyt, kuten yrityksen asiakkaat, ovat havahtuneet siihen, että heillähän on yhä enemmän oikeuksia koskien omia henkilötietojaan. Hyvänä esimerkkinä on eräälle asiakkaalleni heidän markkinointirekisterissään olleen henkilön tekemä tietopyyntö, joka tosin noudatti vielä vanhaa lainsäädäntöä, mutta jonka sisältö oli pitkälti sama tietosuoja-asetuksen vastaavan tietopyynnön kanssa. Heille tämä oli yrityksen historiassa ensimmäinen tällainen tietopyyntö.
”Pyydän, että toimitatte minulle kirjallisena minua koskevat rekisteritietonne.”
”Pyydän samalla kertomaan, millä perusteella olette säilyttäneet yhteystietojani”. Jo näihin peruskysymyksiinkin vastaaminen voi olla vaikeaa, mikäli rekisteröityjen tietopyyntöihin vastaamisen prosesseja ei ole huolella mietitty läpi. Miten sitten vastaamisessa onnistutaan?
Ensinnäkin organisaation henkilötietojen käsittelyn kokonaisuus tulee tuntea läpikotaisin, jotta ylipäätään pystytään selvittämään, mitä henkilötietoja on mahdollisesti eri tietojärjestelmiin ja paperiarkistoihinkin kerätty ja tallennettu. Toiseksi kunkin käsittelytarkoituksen tulee olla selkeästi määritelty – kuhunkin eri käsittelytarkoitukseen tulee löytyä tietosuoja-asetuksen 6. artiklan mukainen oikeusperuste, muuten käsittely on laitonta. Näistä asioista olen kirjoittanut aiemmassa artikkelissani https://tikkasec.fi/gdpr-tietosuoja-asetus-toimenpiteet/
Edellisten lisäksi on tärkeää, että tietopyyntöihin vastaamisen käytännöt on suunniteltu huolellisesti. Vastaamiseen liittyy toisaalta muotoseikkoja, kuten mitä tietoja vastauksen tulee sisältää, jotta se on asetuksen vaatimusten mukainen. Toisaalta vastaamisessa on hyvin olennaisesti kyse yrityksen ulkoisesta viestinnästä, jossa on aina mahdollista onnistua erinomaisesti tai epäonnistua huolella. Tilanteessa onkin usein kyse yrityksestä saatavan positiivisen tai negatiivisen mielikuvan luomisesta tai vahvistamisesta. Jo yrityksen imagon kannalta on tärkeää, että viestinnässä ollaan huolellisia.
Harjoitus tekee mestarin!
”No miten näitä asioita pitäisi sitten käytännössä tehdä?” Vastaus on yksinkertainen: Harjoitelkaa! Simuloikaa harjoitustilanne, jossa joku asiakkaanne lähestyy teitä vaikkapa sähköpostilla, ja pyytää nähtäväkseen hänestä kerätyt henkilötiedot. Tässä kohdassa tuleekin tarkastella huolellisesti asetuksen artiklan 15 sääntöjä ”Rekisteröidyn oikeus saada pääsy tietoihin”.
Harjoitellessanne tietopyyntöön vastaamista, käyttäkää mieluummin esim. CRM:ään lisättyä testidataa. Näin harjoituksesssa ei vahingossa käsitellä asiattomasti todellisen asiakkaan tietoja. Pyrkikää kuitenkin siihen, että tilanne olisi mahdollisimman aito. Toisin sanoen tietopyyntö olisi hyvä lähettää siitä etukäteen muille organisaation työntekijöille kertomatta ja toisaalta testidatasta ei pitäisi heti käydä ilmi, ettei kyseessä ole todellinen henkilö. Näin nähdään hyvin nopeasti, ovatko kaikki tietopyyntöprosessiin työroolinsa puolesta joutuvat henkilöt ajan tasalla siitä, miten tilanteessa tulee toimia.
Rekisteröidyn tietopyyntö on vain yksi esimerkki niistä tilanteista, joissa harjoitus auttaa kehittämään toimintaa. Muita aiheita voivat olla mm. rekisteröidyn pyyntö poistaa hänen tietonsa tai vaikkapa ilmoituksen tekeminen viranomaiselle ja rekisteröidyille henkilötietoihin kohdistuneen tietoturvaloukkauksen tapahtuessa. Tietoturvaan liittyviä tärkeitä harjoituksen kohteita ovat esimerkiksi varmuuskopioista tietojen palauttamiseen liittyvät käytännöt. Näistä aiheista kirjoitan lisää tulevissa artikkeleissa.