Tietosuoja

Maija Tamminen 4.8.2016 15:22 päivitetty 5.8.2016 09:13

Tietosuojavaltuutettu: Tietosuojalakeja ei ymmärretä yrityksissä

Tietosuoja hämmentää edelleen yrityksiä, arvioi tietosuojavaltuutettu Reijo Aarnio.

Tietosuojalakeja ei ymmärretä yritysten tasolla, sanoo tietosuojavaltuutettu Reijo Aarnio. Aarnion mukaan ongelma kiteytyy asiakkaiden tiedonkeruussa ja tietojen hyödyntämisessä markkinointitarkoituksiin.

Tietosuojalakeja saatetaan unohtaa pohtia organisaatioissa asiakashankkeita toteuttaessa. Kuitenkin lähes kaikki henkilöasiakkaita ja tietojärjestelmiä koskevat hankkeet ovat samalla tietosuojahankkeita, toteaa Aarnio M&M:lle.

"Jos taloushallinnon järjestelmiä uusitaan organisaatiossa, joku älyää kysyä, laskeeko tämä nyt verot ja ennakonpidätykset oikein ja tilittääkö se arvonlisäverot, kuten sen kuuluu tehdä. Kun kyseessä on asiakasjärjestelmä tai tietokanta, hankkeessa ei olekaan sitä osaa, missä kysytään: Hei, miten tämä istuu näihin lakipykäliin?" Aarnio vertaa.

"Jos tietosuojalakeja ei osata, ne ovat tyhmiä ja niitä moititaan. Silloin jää huomaamatta, että asiakkaan luottamus ja positiivinen asiakaskokemus perustuvat siihen, että tietosuoja on hyvässä kunnossa."

Viimeisin tietosuojahuoli koskee SOK:n S-Etukorttia. Viime viikolla SOK ilmoitti tallentavansa syyskuusta lähtien kaikki etukortilla tehdyt ostokset asiakasomistajarekisteriin tuotetason tarkkuudella eri ruokakaupoissa. Käyttäjä ei voi kieltää tiedonkeruuta kokonaan, ainoastaan kuitin loppusummaa tarkempien ostotietojen käytön viestinnän kohdentamiseen.

Keskon K-Plussa -kortilla on vastaava tiedonkeruujärjestelmä, mutta siinä tietojen keruun voi halutessaan estää.

Vuoropuhelu puuttuu

Miksi tietosuoja-asiat jäävät niin herkästi huomiotta? Aarnion mukaan ongelma kumpuaa pohjimmiltaan johtamisesta. Aarnio totesi viime viikolla Kauppalehdessä, ettei sisäinen vuoropuhelu eri osastojen, markkinoijien, tietosuojavastaavien ja it-ihmisten kesken toimi riittävän hyvin.

"Lainsäädäntö edellyttää, että vuoropuhelua kehitetään. Operatiivisella tasolla tarvittaisiin samalla tavalla keskustelua. Jos ajatellaan tietosuojavelvoitteita, niiden toteuttamiseen tarvitaan it-osaajia, markkinointiosaajia ja organisaation johtoa monessa eri roolissa", Aarnio huomauttaa.

Miten vuoropuhelua sitten voisi parantaa?

"Tietosuojaihmisillä on slogan: Kun organisaatiot sanovat, että 'know your clients', me sanomme 'know your processes'."

Kuluttajalta pitäisi aina kysyä henkilökohtainen lupa kanta-asiakasjärjestelmän tietojen keräämiseen, mutta S-Etukortin kohdalla SOK on vain ilmoittanut muutoksesta asiakkaille.

Aarnio muistuttaa henkilötietolain 6. pykälästä. Sen mukaan henkilötietojen käsittely tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn syy ja käyttötarkoitus on avattava asiakkaille.

"Henkilötietojen käsittelyn tarkoitukset tulee määritellä siten, että niistä ilmenee, minkä hoitamiseksi henkilötietoja on tarkoitus käsitellä", Aarnio painottaa.

Aivan näin ei ole toimittu S-Etukortin kohdalla. Iltasanomissa SOK:n asiakkuusjohtaja Pekka Malmirae totesi näin: "Vielä emme ole päättäneet, mihin kaikkeen tietoja tulevaisuudessa käytämme. Nyt alamme vasta kerätä dataa ja varmasti tässä alkuvaiheessa vain näytämme asiakkaalle, mitä hän on ostanut."

"Mielestäni tämä osoittaa, että vuoropuhelu ei ole toiminut", Aarnio sanoo.

Tietosuojasta sauma kasvuun?

Tietosuojavaltuutettu toteutti jo vuonna 2011 kaupan alan kanta-asiakasjärjestelmien tietosuojaa koskevan selvityksen. Selvityspyyntö lähetettiin sadalle yritykselle.

"Noin puolet selvityksen vastaajista ei tiennyt, minkä takia heillä oli kanta-asiakasjärjestelmä. Yleisin vastaus oli: No kun kilpailijallakin on", hän muistuttaa.

Aarnion kokemuksen mukaan asia on yhä heikolla tolalla.

"Kun juttelen organisaatioiden edustajien kanssa, yhdeksän kymmenestä ei edelleenkään oikeasti tiedä, miksi he tekevät jotain", Aarnio viittaa tietosuojaluennoillaan puhettelemiinsa eri yritysten työntekijöihin.

Tietosuojan vaatimuksia päivitetään ahkerasti. Uusi EU:n yleinen tietosuoja-asetus hyväksyttiin huhtikuussa. Uudistus tähtää EU:n laajuisiin sisämarkkinoihin, kuluttajat saavat uusia oikeuksia ja viranomaiset uusia toimivaltoja. Asetuksen soveltaminen alkaa vuoden 2018 keväällä.

"Toivoisin, että tämä aika tästä toukokuuhun 2018 ja senkin jälkeen käytettäisiin organisaatioissa sen miettimiseen, miten suomalaiset yritykset saavat oman siivunsa viidensadan miljoonan ihmisen markkinoista sen sijaan, että en kääntyisivät sisäänpäin ja ajattelisivat: Voi vitsi, on tämä vaikeaa – ei tästä taida tulla mitään."

Kumppaniblogit

Kaupallinen yhteistyö