GDPR viestinnän ammattilaisen arjessa: 5 kysymystä ja vastausta
Julkaistu
-
Sales Director - strong female leader in information…
EU:n uuden tietosuoja-asetuksen GDPR:n täytäntöönpanopäivä lähestyy ja epävarmuus siitä, onko asetukseen valmistauduttu omassa organisaatiossa riittävän huolella, kalvaa monen viestinnän ammattilaisen mieltä. Vaikka aiheesta on kirjoitettu paljon, olennaisten tiedonjyvien poimiminen valtavasta informaatiomäärästä on välillä kovan työn takana. Helpolta kuulostaviin kysymyksiin saattaa joutua etsimään vastauksia monesta eri lähteestä ja aina tietoa ei löydy, vaikka kuinka etsisi.
Olen poiminut tähän blogitekstiin viisi kysymystä ja vastausta teemalla GDPR ja digitaalinen viestintä, jotta sinä välttyisit hakukonekierteeltä ja löytäisit täsmällisen vastauksen johonkin sinua askarruttavaan kysymykseen. Nämä kysymykset ovat sellaisia, johon olen toistuvasti törmännyt sekä pitämieni GDPR-esitysten yhteydessä että asiakastapaamisissa. Vastaukset kysymyksiin pyrin antamaan selkeästi ja ytimekkäästi, ilman turhaa EU-jargonia.
1. Mitä konkreettisia muutoksia GDPR tuo viestintätyöhön?
Uusi tietosuoja-asetus tekee viestinnästä läpinäkyvämpää, kohdennetumpaa ja perustellumpaa. Läpinäkyvyys tarkoittaa sitä, että jokaisen organisaation on GDPR:n myötä kyettävä osoittamaan, millä perustein se toteuttaa viestintäänsä tietyille henkilöille. Käytännössä tämä tarkoittaa sitä esimerkiksi sitä, että oman organisaation verkkosivuilta ja uutiskirjeestä löytyy asianmukainen rekisteriseloste, ja että erilaisista tilauslomakkeista käy selvästi ilmi, mihin ehtoihin lomakkeen täyttäjä lupautuu tietojensa luovuttamisen yhteydessä.
Jokaisen viestijän olisi hyvä olla perillä siitä, mitä henkilötietoja omassa organisaatiossa säilytetään, missä tiedot sijaitsevat ja kenellä on niihin pääsy. Henkilörekistereissä on syytä pitää vain sellaisia tietoja, joiden käytölle on selkeät perustelut. Tarpeettomat tiedot kannattaa aina poistaa.
Jokaisen organisaation on myös huolehdittava siitä, että heidän järjestelmänsä mahdollistavat henkilötietojen toimittamisen rekisteröidyille sekä pyydettäessä myös tietojen poistamisen. Varsinkin viestintää tekevien on syytä perehtyä tietojen luovuttamis- ja poistamisprosessiin tarkasti ja varautua mahdollisiin asiakkaiden yhteydenottoihin, jos ja kun he haluavat tietojaan katsottavaksi tai poistettavaksi järjestelmistänne.
2. Kenelle uutiskirjeitä voi jatkossa lähettää?
Uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötietojen keräämiselle ja käsittelylle. Jos henkilö on itse tilannut uutiskirjeen, tilanne on hyvin suoraviivainen, sillä syy uutiskirjeen lähettämiselle on henkilön itsensä antama suostumus.
Myös asiakkuus, jäsenyys sekä työsuhde voidaan katsoa laillisiksi perusteiksi, sillä heidän kohdallaan kyseessä on rekisterinpitäjän eli uutiskirjeen lähettäjän sekä viestin vastaanottajan välisen sopimuksen täytäntöönpano.
Entäpä sitten päättävässä asemassa olevat? Saako heille lähettää jatkossa uutiskirjeitä, vaikka he eivät ole itse niitä tilanneet? Heidän kohdallaan puhutaan niin kutsutusta oikeutetusta edusta ja osa on selkeästi sitä mieltä, että heille viestiminen on perusteltua silloin kun kirjeet liittyvät heidän työnkuvaansa ja asemaansa. Osa on vuorostaan sitä mieltä, että asia ei ole näin yksiselitteinen. Kannattaa huomioida, että GDPR:ää täydentävä Suomen lainsäädäntö ei ole vielä valmistunut, joten asetukseen voi vielä tulla yksityiskohtaisempia säännöksiä esimerkiksi oikeutettuun etuun liittyen.
Jos organisaatiossasi on sähköpostilistoja, joiden alkuperä on unohtunut, teillä on vielä aikaa kerätä listoilla olevilta suostumuksia heidän tietojensa käsittelyyn vaikkapa uutiskirjekampanjan avulla. Niin sanotulla harmaalla alueella olevista rekistereistä kannattaa kuitenkin varautua luopumaan, jos suostumuksia ei saada kerättyä.
3. Kuinka kerätä GDPR-varmoja sähköpostilistoja?
GDPR-varmoja sähköpostilistoja voi kerryttää lähettämällä nykyisille sähköpostilistoille opt-in -uutiskirjekampanjoita. Näiden kampanjoiden tarkoituksena on saada listoilla olijat vakuuttumaan viestinnän hyödyllisyydestä ja antamaan lupa siihen, että heille saa jatkossakin lähettää vastaavanlaista uutiskirjesisältöä.
Omat uutiskirje- tilauslomakkeet kannattaa myös muokata sellaisiksi, että niistä käy selkeästi ilmi, mihin lomakkeella sitoudutaan. Läpinäkyvä lomake on esimerkiksi vapaa esitäytetyistä vaihtoehdoista, ja siitä löytyy linkki rekisteriselosteeseen sekä muihin tietoturvalauselmiin.
4. Voiko toimittajalistoille lähettää jatkossa lehdistötiedotteita kuten aikaisemmin?
Toimittajille viestimiseen voidaan katsoa kuuluvan oikeutetun edun piiriin. Tiedotteiden vastaanottamisen katsotaan kuuluvan toimittajien työnkuvaan, joten heidän sähköpostiosoitteisiinsa saa jatkossakin lähettää lehdistötiedotteita, paitsi jos he itse kieltävät sen.
Tiedotteita lähettävä organisaatio toimii usein sekä tietojen käsittelijänä että rekisterinpitäjänä. Jos olet kollegoidesi kanssa kerännyt toimittajien yhteystiedoista listoja ja niihin on pääsy useammalla työntekijällä, kyseessä on henkilörekisteri. Kun tällaisille toimittajalistoille lähetetään tiedotteita, olisi tiedotteiden loppuun hyvä lisätä linkki rekisteriselosteeseen, josta käy ilmi, mitä tietoja toimittajista säilytetään, miksi ja miten tietojen tietoturvasta on huolehdittu.
Jos käytät vuorostaan tiedotejakelupalvelua, palvelun toimittaja ja mediakantaa ylläpitävä alustatoimittaja on rekisterinpitäjä, jonka tehtäviin kuuluu varmistaa rekisteröidyn oikeuksien toteutuminen. Nyt on hyvä hetki tarkistaa, että toimit GDPR-yhteensopivan alustatoimittajan kanssa.
5. Meillä on paljon kuvia eri tapahtumista lähes parinkymmenen vuoden ajalta. Pitääkö meidän tuhota nuo kuvat, sillä meillä ei ole kirjallista lupaa kaikilta kuvissa esiintyviltä henkilöiltä?
Kuvat katsotaan henkilötiedoksi siinä missä sähköpostiosoitteetkin. Käytännössä lupien pyytäminen kaikilta kuvissa esiintyviltä henkilöiltä on kuitenkin aika mahdotonta. Omaa valokuva-arkistoa ei tarvitse tuhota GDPR:n vuoksi, vaan tässäkin asiassa kannattaa noudattaa maalaisjärkeä.
Jos joku haluaa kuvansa poistettavan vaikkapa organisaation nettisivuilta niin tietenkin tähän pyyntöön on syytä reagoida ja kuva on hyvä poistaa. Hyvän tavan mukaista on myös kysyä tapahtuman alussa kaikilta osallistujilta, että saako heitä kuvata ja mainita, missä kuvia tullaan mahdollisesti käyttämään.
Nyt on aika toimia
Jos oman organisaation GDPR-valmius on vielä lähtöviivalla ja alkuun pääseminen tuottaa päänvaivaa, kannattaa tutustua Tietosuojavaltuutetun toimiston Miten valmistautua EU:n tietosuoja-asetukseen -oppaaseen. Ne, joilla asetukseen valmistautuminen on aloitettu, mutta jotka eivät ole vielä varmoja siitä, että onko kaikki tarvittavat GDPR-toimenpiteet jo tehty, voivat testata oman valmiutensa Koodiviidakon toteuttaman GDPR-valmiustestin avulla.
Toukokuu lähestyy, ja nyt on aika viilata oma toiminta GDPR-kuntoon.
Asiasanat
Kirjoittaja
-
Pia Hakola
Sales Director - strong female leader in information techonology. Inspirational and exemplary Sales Leader. A result-oriented team player.
Specialties: Sales, digital marketing, agile marketing automation, GDPR, email marketing, cms, project management