”Tämä on kiinnostava tuote. Lähetetään tietoa siitä kaikille meidän aiemmille asiakkaillemme!” Kyseessä on mukaansa tempaava markkinointi-idea, jonka moni meistä on todennäköisesti kuullut jossain välissä.
Tietosuoja-asetuksesta vastaavien viranomaisten ohjeistus on selkeä. Henkilötietoja saa kerätä vain ”tiettyihin, eksplisiittisiin ja laillisiin” tarkoituksiin. Tämä tarkoittaa, että meidän pitää olla jokaisen projektin kohdalla selkeä siitä, miksi tietoja kerätään, mitä varten ja kuinka pitkään henkilötietoja käsitellään.
Näiden päämäärien pitäisi lisäksi olla tarkkoja ja konkreettisia, ei epäselkeitä tai epämääräisiä. Tavoitteeksi ei riitä esimerkiksi ”käyttäjäkokemuksen parantaminen” ”kyberturvallisuus” tai ”tulevat tutkimukset”. Se on liian laveasti määritelty. Lisäksi rekisteröityjä ei voi yhdistää tiettyjen henkilötietojen käsittelyyn. Kontrollointiakaan ei ole myöskään tarpeeksi tarkasti määritelty, jos puhutaan vain kirjautumisesta ja monitoroinnista, vaan myös kontrolloinnin tarkoitus tulee määritellä.
Päämäärä tulee myös perustella. Tämä tarkoittaa, että henkilötietojen prosessoinnin tulee perustua lailliseen perusteeseen yleisen tietosuoja-asetusten mukaisesti ja sitä tulee seurata muun sovellettavan lainsäädännön ja yleisesti määriteltyjen periaatteiden mukaisesti.
Voiko kerättyjä henkilötietoja käsitellä uusilla tavoilla?
Projektin alussa on tietenkin vaikea määritellä kaikkia mahdollisia skenaarioita, joissa henkilötietoja voidaan kerätä. Usein käy niin, että tarpeita on ollut vaikea ennustaa.
Jos mietimme uusia tarpeita, jotka sopivat alkuperäisiin tarkoituksiin, riittää, että rekisteröityjä tiedotetaan uudesta tietojen prosessoinnista ennen kuin se alkaa.
Jos taas toisaalta käy niin, että henkilötietoja käsitellään uudella tavalla, sitä varten vaaditaan uusi markkinointilupa. Tässä tapauksessa meidän tarvitsee aloittaa alusta ja löytää uusi laillinen peruste henkilötietojen käsittelemiseen. Tässä kohtaa täytyy varmistaa, että niitä käytetään perusperiaatteiden, muiden huomioitavien asioiden mukaisesti jne.
EU:n tietosuoja-asetus on ollut voimassa melkein viisi vuotta, joten tämän tiedon pitäisi olla jo itsestään selvyys, mutta siitä huolimatta se usein unohtuu.
Olemme nyt julkaisseet vuoden 2024 tietosuoja- ja GDPR-version kaikille työntekijöille. Upouusi kurssi, jossa on päivitetty sisältö, vähemmän luentoja mutta enemmän interaktiivisia kosketuspisteitä, jotta organisaation tietosuojavastaava ymmärtää paremmin organisaationsa tietoisuustasoa.
Sitoutumisen ja tietoisuuden lisäämiseksi tämä uusi kurssi keskittyy myös siihen, miksi GDPR ja yksityisyys ovat tärkeitä sekä työssä että henkilökohtaisessa elämässäsi.