Aloitin työskentelyn asianajoalalla vuonna 1999 juristiopintojeni loppumetreillä. Samana vuonna Suomen vuonna 1986 säädetty henkilörekisterilaki kumottiin ja EU-lainsäädäntöön pohjautuva nykyinen henkilötietolakimme säädettiin.
Ensimmäisinä työskentelyvuosinani tietosuojatoimeksiantoja tuli asiakkailtamme noin kerran kuukaudessa. Aihepiiri oli tuntematon suurella osalle yrityksiä. Tänä päivänä suurimpaan osaan asianajajan ja kouluttajan työstäni liittyy tietosuoja mitä erilaisimmin tavoin.
Vaikka minulla on monesti ollut eri näkemyksiä tietosuojavaltuutettu Reijo Aarnion kanssa tietosuojalainsäädännön soveltamisesta asiakkaidemme liiketoiminnassa, voin lämmöllä yhtyä hänen ajatuksiinsa tietosuojan merkityksestä yritystoiminnan menestymisessä.
Aikanaan 2000-luvun alussa, kun mm. rekisteriselosteen laatimis- ja saatavillapitovaatimus tuli pakolliseksi kaikille henkilötietoja kerääville yhteisöille, suhtauduttiin siihen monissa yrityksissä hieman vastentahtoisesti – jos asian olemassaolosta ylipäänsä tiedettiin. Teema koettiin hankalaksi, eikä uudenkarheille nettisivuille olisi haluttu ”juristitekstiä”.
Oma ajattelutapani alusta asti on ollut päinvastainen: tuottamalla laadukasta asiakasmateriaalia henkilötietojen käsittelyyn liittyen ja tuomalla sitä avoimesti saataville lisätään luottamusta yritystä kohtaan. Tämä puolestaan kasvattaa yrityksen arvostusta ja sitä kautta luo omalta osaltaan mahdollisuuksia menestykselle.
Asioin paljon verkkokaupoissa kahden pienen lapsen äitinä, aikani ollessa rajallinen liiketiloissa käyntiin. Minulle tietosuojainformaatio (ja verkkokaupan sopimusehdot muutoinkin) on jo vuosia ollut ”deal breaker”. Jos verkkokaupan sivuilla ei lainkaan kerrota, mitä minusta kerättävillä tiedoilla tehdään, etsin kilpailevan kaupan rahoilleni. Luonnollisesti asiakkaille kerrottava tietosuojainformaatio ei saa olla vain kiiltokuva, vaan materiaalin taustalla tulee olla oikeaa osaamista ja ymmärtämistä.
EU:ssa on juuri säädetty uusi tietosuoja-asetus, joka astuu voimaan vuoden 2018 aikana tuoden mukanaan uudenlaisia velvoitteita sekä yhteisöjen sisäiseen tekemiseen että asiakkaille ja viranomaisille tiedottamiseen. Nyt viimeistään kannattaa pysähtyä tarkastelemaan oman tietosuojaymmärryksen ja -toiminnan tasoa.
Voimassa oleva suomalainen henkilötietolaki sisältää monia konkreettisia velvoitteita suhteessa asiakkaisiin. Tässä loppuun tarkistuslistaksi yhteenvetoa asioista, jotka jo nyt tulee olla kunnossa:
- Oletko tunnistanut, mitä henkilörekistereitä yhteisössänne ylläpidetään?
- Tiedätkö, mistä lähteistä yhteisönne henkilörekisterihin kerääntyy tietoja?
- Tiedätkö, saatteko kerätä kaikkia niitä tietoja, mitä henkilörekistereihinne kertyy?
- Miten annatte henkilötietojen käsittelystä informaatiota esim. internetsivuilla, mobiiliapplikaatioissa, asiakassopimuksissa, suoramarkkinointiviesteissä ja tapahtumissa?
- Luovuttaako yhteisönne henkilötietoja ulkopuolisille tahoille, esim. markkinointitarkoituksiin?
- Millainen prosessi yhteisössänne on olemassa sille, että rekisteröidyt voivat käyttää omaa tarkastus-, kielto- ja korjaamisoikeuttaan?
- Miten yhteisössänne päivitetään ja hävitetään henkilötietoja?
- Miten henkilötietojen tietoturvasta on huolehdittu?
- Onko yhteisönne henkilökunnalla riittävää osaamista tietosuoja-asioissa?
- Kenellä kaikilla yhteisössänne on pääsy henkilörekisterien tietoihin ja valvotaanko käsittelyä jotenkin?
- Onko yhteisönne henkilötietojen käsittelyä ulkoistettu joltain osin, esim. asiakaspalvelun tai suoramarkkinoinnin osalta, ja millaiset tietosuojasopimukset on laadittu kumppanien kanssa?
- Onko yhteisössänne tunnistettu, miten henkilötietojen käsittelyllä voidaan parantaa asiakaskokemusta ja sitä kautta kasvattaa myyntiä?