EU tietosuoja-asetuksen vaikutus Requesten asiakasrekisteriin

Kävin tässä hiljattain koulutuksessa, joka käsitteli tulevaa EU:n tietosuoja-asetusta. Vaikka tuo asetus, joka yhdenmukaistaa eurooppalaista tietosuojasääntelyä, tulee voimaan vasta vuonna 2018, olemme saaneet kysymyksiä Requeste-asiakastukeen tästä asiasta jo viime keväänä. Tämä johtunee siitä, että EU:n yleinen tietosuoja-asetus on hyväksytty juuri viime keväänä, 14.4.2016. Asetus tulee kuitenkin voimaan vasta kahden vuoden siirtymäajan jälkeen, 25.5.2018. Uusi asetus tulee korvaamaan vuonna 1995 annetun henkilötietodirektiivin. Koska Requeste asiakaspalvelujärjestelmäkin sisältää asiakasrekisterin, jonka käyttämiseen tällä asetuksella on vaikutusta, halusin tutustua aiheeseen jo tässä vaiheessa.

Menin koulutukseen sillä ajatuksella, että saan sieltä selkeitä vastauksia kysymyksiin: Mikä muuttuu nykyiseen verrattuna? Millaisia vaikutuksia asetuksella on niihin palveluihin, joissa käsitellään asiakastietoja? Olen kirjoittanut tämän tekstin peilaten tilannetta Requesten asiakasrekisterin käyttöön.

Nykyisin henkilötietojen käsittelyä säädellään sekä globaalisti että kansallisesti. Globaalilla tasolla vaikuttavat  EU-direktiivit, Euroopan neuvoston suositukset sekä OECD:n ohjeistukset, kun taas kansallisella tasolla suurimpana vaikuttajana ovat lait: henkilötietolaki, toimintokohtaiset lait sekä sektorilainsäädäntö (esimerkiksi sosiaali- ja terveydenhuollon erityissääntely).

Uuden asetuksen tavoitteina on luoda yhtenäinen tietosuojakehys Euroopan unionille. Tämän lisäksi tavoitteena on lisätä luottamusta online-palveluihin ja siten edistää EU:n digitaalisten sisämarkkinoiden kehittämistä. Jatkossa asetusta sovelletaan laaja-alaisesti, eli vaikutukset ulottuvat myös EU:n ulkopuolelle. Mikäli palveluita ja tavaroita tarjotaan EU-asiakkaille, sovelletaan asetusta, vaikka yritys ei itsessään sijaitsisi EU alueella.

Jo nykyinen henkilötietolaki antaa asiakasrekisteriin rekisteröityneelle oikeuden mm. tarkastaa omat tietonsa ja vaatia niiden oikaisemista tai poistamista rekisteristä. Jatkossa yritysten tulee antaa entistä läpinäkyvämmin henkilöille tietoa siitä, miten ja miksi heidän tietojaan käsitellään.

Suurin osa Requeste-asiakkaistamme käyttää asiakasrekisteriä tallentaakseen yritysasiakkaan niitä yhteyshenkilöitä järjestelmään, joilla on sopimuksen mukaan oikeus saada asiakastukea (esimerkiksi pääkäyttäjät). Miten siis asetus vaikuttaa Requesten asiakasrekisterin käyttämiseen?

Alla on asiat, jotka minulla jäivät päällimmäisenä mieleen:

Tietosuojaseloste

Mikäli yrityksessänne ei vielä ole asiakasrekisterin tietosuojaselostetta, se kannattaa viimeistään nyt hoitaa kuntoon. Tietosuojaseloste on laajennettu rekisteriseloste, jossa lisäksi informoidaan rekisteröidyn oikeuksista. Huomaathan, että tietosuojaseloste tulisi laatia kaikista yrityksessä ylläpidettävistä henkilörekistereistä. Tietosuojaselosteen tulee olla helposti saatavilla digitaalisessa muodossa.

Tietosuojaselosteen sisällöstä löytyy erittäin hyvät mallit Tietosuojavaltuutetun toimisto-sivustolta:

http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

Tietosuojaselosteen linkki voidaan lisätä vaikkapa Requesten asiakaspalveluliittymän alatunnisteeseen, jotta se on asiakkaiden helposti saatavilla. Pyydä linkin lisäämiseen apua asiakaspalvelustamme.

Suostumus asiakkaalta

Uuden asetuksen myötä vaaditaan henkilötietojen lisäykseen rekisteriin yksiselitteinen suostumus rekisteröidyltä. Suostumuksella rekisteröity hyväksyy henkilötietojensa käsittelyn. Suostumus voi olla esimerkiksi vastaus sähköpostiin, joka sisältää tietoa siitä, mitä tietoa henkilöstä tallennetaan sekä lauseen suostumuksesta. Suostumusteksti voidaan myös näyttää sillä sivulla, jossa henkilö itse luo itsellensä rekisteritiedot johonkin järjestelmään.

Kannattaa siis varmistaa, että tapa, jolla luotte yhteyshenkilöitä Requesten asiakasrekisterin yritysten alle, sisältää henkilön suostumuksen ja on yhtenäinen koko asiakaspalvelussa. Esimerkiksi sovitaan siitä, että yhteyshenkilöt luodaan järjestelmään kun asiakkuus syntyy ja järjestelmäänne lisättäviltä henkilöiltä pyydetään yhteystiedot vaikkapa sähköpostitse. Syy, jonka vuoksi henkilö lisätään asiakasrekisteriin, kannattaa kuvata tietosuojaselosteessa. Requesten tapausten käsittelyyn voidaan luoda  toiminnallisuus, jonka avulla lähetetään automaattisesti sähköposti, jossa käyttäjältä pyydetään yhteystiedot ja suostumus tietojen käsittelyyn. Pyydä tähän apua asiakaspalvelustamme.

Oikeus tulla unohdetuksi

Kun käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, ellei ole olemassa jokin laillinen peruste säilyttää niitä. Laillinen peruste on esimerkiksi sellainen, jossa tietojen säilytys on välttämätöntä esimerkiksi sopimuksen tai lakisääteisen velvollisuuden takia. Requesten osalta asiakasrekisteri ja asiakkaiden yhteyshenkilöt on perustettu järjestelmään yleensä yritysten kesken tehdyn palvelusopimuksen pohjalta. Mikäli yhteyshenkilö toimii vielä roolissa, jossa hän tekee tukipyyntöjä asiakaspalveluunne, on tiedot säilytettävä, jotta yrityksenne voi vielä pitää kiinni palvelusopimuksessa määritellyistä palveluista. Toisaalta jos henkilö vaihtaa roolia yrityksessä ja hänelle osoitetaan varahenkilö tai henkilö irtisanoutuu yrityksen palveluksesta, on tämä peruste poistaa käyttäjän tiedot, mikäli käyttäjä niin haluaa. Käyttäjälle täytyy siis tehdä helpoksi pyytää tietojensa poistamista yhteyshenkilörekisteristänne.

Requesten asiakaspalveluliittymään voidaan tehdä Yhteystietojen poistopyyntö-lomake, jonka täyttämällä henkilön tiedot poistetaan. Toki poistopyyntö voidaan lähettää myös vapaamuotoisena sähköpostina. Rekisteriselosteessa kannattaa olla maininta myös tavasta, jolla tiedot voidaan pyytää poistettavaksi. Requestessä henkilötiedot voidaan poistaa inaktivoimalla käyttäjä ja valitsemalla hänelle yrityksestä varahenkilö, jonka nimiin esimerkiksi avoinna olevat tapaukset siirretään. Tämä tapahtuu pääkäyttäjän oikeuksilla työasemasovelluksen kautta.

Toinen vaihtoehto on ylikirjoittaa henkilön nimi xxxxxx-merkinnällä ja poistaa häneltä sähköpostiosoite, käyttäjätunnus ja salasana sekä mahdolliset muut henkilöön liittyvät tiedot (vaikkapa sähköpostiryhmä).

Tietosuojavastaava

Uuden direktiivin myötä jokaisessa yrityksessä, joka käsittelee henkilörekisterissä arkaluonteista tietoa (esimerkiksi terveystietoja) tai jonka toiminta perustuu laajamittaiseen ja järjestelmälliseen ihmisten seuraamiseen, tulee olla nimetty tietosuojavastaava. Tiedossani ei ole, että Requeste-asiakkaistamme kukaan tallentaisi arkaluonteista tietoa Requesten asiakasrekisteriin tai jonka toiminta perustuisi laajamittaiseen ihmisten seuraamiseen, mutta rekisterinpitäjällä on velvollisuus tarkistaa tällainen asia itse. Mikäli yritys harjoittaa tällaista toimintaa, on tietosuojavastaava nimettävä. Tässä asiassa tosin odotellaan EU-komissiolta vielä tarkempaa ohjeistusta.

Tilintekovelvollisuus ja dokumentointi

Mikäli viranomainen aiemmin epäili ettei yritys huolehdi henkilötietojen turvaamisesta, todistustaakka oli viranomaisella. Jatkossa asiakasrekisterin pitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilintekovelvollisuus) että tietosuojasäännökset huomioidaan yrityksen toiminnan suunnittelussa ja toteutuksessa. Se taas edellyttää, että henkilötiedon pääsynhallinnasta, käsittelystä ja suojauksesta sekä tiedon elinkaaresta on oltava olemassa ohjeistus, jota noudatetaan kun tietoja käsitellään. Mikäli tietosuojaviranomainen epäilee ongelmia, tarkistetaan mm. tämä dokumentaatio. Tästäkin syystä on hyvä aloittaa tällaisen ohjeistuksen luominen, mikäli sitä ei vielä ole tehty.

Koska Requestea käytetään myös useassa teknologiayrityksessä, mainitsen tässä kohdassa vielä testidatan: mikäli testidata sisältää aitoja henkilötietoja, on tämäkin data otettava yrityksen tiedonhallinnan ja seurannan piiriin. Erittäin suositeltavaa olisi käyttää testauksessa ”keksittyjä” henkilötietoja. Mikäli testausta on ulkoistettu palveluntarjoajalle, pätevät siihen seuraavassa kappaleessa kuvatut säännöt.

Palveluntarjoajat sääntelyn piiriin

Jos jokin ulkoistettu palveluntarjoaja käsittelee tietoa, joka löytyy yrityksenne Requeste asiakasrekisteristä, on yrityksen tehtävä kirjallinen sopimus palveluntarjoajan kanssa henkilötietojen käsittelystä. Asetuksessa on lueteltu sisällöllisiä vaatimuksia tälle sopimukselle, joten sopimukset täytyy tarkistaa, mikäli yrityksenne tekee yhteistyötä jonkin palveluntarjoajan kanssa.

Asetus lähtee siitä, että henkilörekisterin varsinainen haltija (eli yritys itse) on päävastuussa ja käsittelijä (palveluntarjoaja) on tilivelvollinen, jos laiminlyönti aiheuttaa henkilölle seuraamuksia.

Sanktiot

Jatkossa asetusta rikkova voi saada sakon, joka on jopa 4% koko yhtiön liikevaihdosta.

Viranomaisen täytyy pystyä näyttämään, että vahinko on tapahtunut. Mikäli näin käy, viranomainen voi esimerkiksi rajoittaa palvelun toimintaa. Sakko voidaan antaa myös tiedon käsittelijälle. Tämä toiminee usealle yritykselle kannustimena hoitaa asiat kuntoon.

 

Uusi tietosuojadirektiivi on laaja-alainen ja kehottaisinkin jokaista yritystä panostamaan aiheeseen asioiden kuntoon saattamiseksi. Tietoa löytyy jo verkosta ja erilaisia koulutuksia järjestetään paljon.

Aikaa on vielä hoitaa nämä asiat kuntoon hyvissä ajoin ennen asetuksen voimaantuloa. Konsultoimme mielellämme, mikäli haluatte mallintaa yhteyshenkilöiden lisäyksen, poiston ja tietojen tarkastuksen prosessia Requestessa, lisätä rekisteriselosteen asiakaspalvelusivustolle tai järjestää asiakasneuvojille koulutusta aiheesta.

 

Satu Kontio
Requeste liiketoimintajohtaja
satu.kontio@sysart.fi
+358 40 5313837