GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

EU:n tietosuoja-asetus: aloita tästä

EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan toukokuussa 2016 ja sitä sovelletaan 25.5.2018 lähtien. Kiinnostus aiheen ympärillä kasvaa tasaiseen tahtiin ja syytä olisikin. Ns. siirtymäajasta on enää alle puolet jäljellä, joten yritysten kannattaa edistää asiaa myös kesällä.

Internetissä on luettavissa paljon hyviä blogipostauksia ja muita lähteitä usealla eri kielellä. Aloita tietosuoja-asetukseen tutustuminen lukemalla nämä:

Suosittelen lisäksi seuraamaan aktiivisesti tietosuojavaltuutetun sekä WP29-tietosuojaryhmän sivustoja, joihin päivitetään olennaisia asioita tietosuoja-asetukseen liittyen. Kannattaa tutustua myös ICO:n sivustoon ja sieltä erityisesti kohtaan GDPR: 12 steps to take now.

Luottokorttitiedot voitte noutaa respasta

Yövyin Espoolaisessa hotellissa. Siellä oli oikein mukava vastaanotto. Iloisen ja reippaan palvelun lisäksi respasta sai mm.

  • Wlan-verkon tunnukset,
  • henkilökohtaisen saunavuoron ja
  • toisen asiakkaan luottokorttitiedot.

Odottelin vuoroani hotellin respassa. Asiakaspalvelijalla oli puhelu kesken. Joku teki selkeästi varausta hotelliin. Respan työntekijä kysyi asiakkaan nimen, puhelinnumeron jne. Hän toisti ne varmuuden vuoksi, jotta varaustiedot menisivät kerralla oikein. Viimeiseksi kysyttiin luottokortin numeroa. Hieman jännitti, tuleeko sekin toistettua samaan tapaan.

Valitettavasti.

Soittajan mielestä asiakaskokemus oli varmasti miellyttävä. Minun asiakaskokemukseni sen sijaan jäi tältä osin hieman kyseenalaiseksi.

Jos toimit asiakaspalvelutehtävissä tai vastaat ko. toiminnosta, niin tarkista ohjeistuksenne. Tietoturvallisuus kannattaa sisällyttää itse toimintaan. Jättää vaikka ne luottokortin viimeiset numerot toistamatta.

Vihreät vakoilevat siat

Lukuisissa medioissa on kerrottu tiedustelupalveluiden keräävän ihmisistä tietoja mm. Angry Birds -pelin avulla. Angry Birds on tässä tapauksessa pelkkä sivujuoni. Ongelma on jossain ihan muualla.

Peli mainitaan lähinnä näistä kolmesta syystä:

  1. Kaikkien tuntema sovellus.
  2. Moneen laitteeseen asennettu.
  3. Suomalainen tuote + vakoiluskandaali = paljon kiinnostusta ja huomiota.

Yleistetäämpä hieman: mikä tahansa älypuhelimeen asennettava sovellus saattaa kerätä käyttäjästä tietoja. Oikeastaan mikä tahansa laite tai sovellus, jonka sisälmyksiä (esim. lähdekoodia) ei voi tutkia, saattaa kerätä käyttäjästä sekä ympäristöstä tietoja. Oli se sitten puhelin, tietokone, äly-TV tai kahvinkeitin. Kyllä, nettiin kytkettyjä kahvinkeittimiä on olemassa.

Miten tietoja kerätään?
Ilmaissovellusten tekijät haluavat usein rahoittaa projektejaan jollain tavalla. Yksi keino on myydä mainostilaa sovelluksesta itsestään. Olet varmasti nähnyt mobiilisovelluksissa vaihtuvia mainoksia? Ne ladataan sovellukseen laitteen datayhteyden avulla. Samaa reittiä pitkin tiedot liikkuvat myös toiseen suuntaan kolmansille osapuolille, jotka sitten myyvät tietoja eteenpäin. Tiedustelupalvelut ottavat tietysti tarvitsemansa infon siinä samalla.

Henkilöllä pitäisi aina olla oikeus päättää, kerätäänkö hänestä tietoja vai ei. Tämä on valitettavan hankalaa nykymaailmassa. Toivottavasti meillä on tulevaisuudessa myös sellaisia, kaiken kansan saatavilla olevia mobiililaitteita, -käyttöjärjestelmiä ja -sovelluksia, jotka kunnioittavat käyttäjän yksityisyyttä sekä omaa tahtoa.

Tietojen keruu ei tosin ole vain mobiilisovellusten ongelma. Samanlaista touhua tapahtuu myös esimerkiksi suomalaisilla verkkosivustoilla! Verkkosivujen analytiikkatyökalut sekä sosiaalisen median Tykkää/Jaa -napit keräävät käyttäjistä tietoja.

 

ps. Perun välittömästi puheeni siitä, että Angry Birds on vain sivujuoni tässä tapauksessa. Pelin idea kertoo kaiken oleellisen tietojen keruusta:
”Vihreät siat ovat kaapanneet munat lintujen pesästä, mistä raivostuneet linnut yrittävät ritsan avulla osua sikoihin tai niiden rakennelmiin.” –Wikipedia

Huijaus, petos, arvonta!

Huomasin Matkamessuilla ikävän ilmiön. Näytteilleasettelijat kävivät raakaa psykologista sodankäyntiä vierailijoita vastaan. Ihmishenkiä ei onneksi menetetty, mutta henkilötietoja lähti senkin edestä. Jopa laittomasti? Aseina käytettiin törkeitä ihmismieleen vaikuttavia termejä: ARVONTA ja ILMAINEN näytenumero.

Arvonnan järjestäminen on hyvä keino kerätä lisää yhteystietoja (henkilötietoja) yrityksen markkinointirekisteriin. Arvontaan osallistuvalle tulisi kuitenkin ilmoittaa, että tietoja saatetaan käyttää suoramarkkinointiin. Osallistujalla tulee myös olla mahdollisuus kieltäytyä markkinoinnista (Lähde: Kilpailu- ja kuluttajavirasto).

Henkilökohtaisia huomioita messuhulinan keskeltä

Ihmisille ei aina kerrottu, mihin heidän tietoja tullaan käyttämään.
”Osallistu arvontaan, se vie vain 20 sekuntia”. Porukkaa oli jonoksi asti. Kaikki odottivat pääsyä päättelle, johon saattoi syöttää yhteystietonsa. Missään ei kerrottu käytetäänkö tietoja johonkin muuhun.

Ihmiset eivät tiedosta, mihin tietojaan luovuttavat.
Eräällä arvontapisteellä oli auki www-sivu, johon messuvierailija sai syöttää yhteystietonsa arvontaa varten. Tai näin siis ihmisille sanottiin. Oikeasti sivustolla rekisteröidyttiin uutiskirjeen tilaamiseen. Lomaketta täytettiin sellaisella tahdilla, että kaikkiin teksteihin ei varmasti tutustuttu. Kiirettä pitää, sillä moneen muuhun arvontaan osallistuminen oli vielä edessä.

Esittelijät eivät aina tienneet, miten tietojen keräystilanteessa tulee toimia.
Osa esittelypisteen työntekijöistä kertoi kaiken tarvittavan tietojen keruusta, mutta samaisella pisteellä toimiva työtoveri taas ei. Tämä saattoi olla ”tahallista” tai johtua tietämättömyydestä.

Minulla ei ole mitään arvontoja, uutiskirjeitä tai tietojen keruuta vastaan, kunhan kaikilla osapuolilla on pelisäännöt tiedossa:

  1. Jos keräät ihmisistä tietoa, niin kerro se rehellisesti.
  2. Varmista, että kaikki osapuolet tietävät tietojen keruun tarkoituksen, vastuut, velvollisuudet ja oikeudet.
  3. Jos olet antamassa tietojasi johonkin, niin vaadi saada tietää mihin kaikkeen niitä käytetään.

 

ps. ”Matti, osallistuin niihin kaikkiin arvontoihin sinun sähköpostiosoitteellasi.” aaarhg!