Apua, yritykseemme tuli ensimmäinen henkilötietopyyntö!

27. huhtikuuta 2018

 

”Mitä enemmän kuulen EU:n tietosuoja-asetuksesta (GDPR), sitä epämääräisemmältä se tuntuu. Vaikea hahmottaa. Pelottaa. Välillä toivon, että tulisi joku, joka räjäyttää sen pois.” Näin minulle kertoi mäntyharjulainen yrittäjä. Saman olisi voinut sanoa moni muukin tuttuni.

Myynti, markkinointi ja asiakaspalvelu GDPR-pyyntöjen käsittelijöinä

Jokaisessa yrityksessä ainakin kolme toimintoa kohtaa asiakkaita päivittäin: myynti, markkinointi ja asiakaspalvelu. Kaikki voivat saada GDPR:n oikeuttamia tietopyyntöjä. Tässä muutama esimerkki siitä, mitä voi tapahtua:

Case 1: Myyjä saa henkilötietojen poistamispyynnön

Myyjä on myyntikäynnillä. Tapaamisen lopuksi potentiaalinen asiakas pyytää, että hänestä tallennetut henkilötiedot poistetaan yrityksen rekisteristä. Myyjä kirjoittaa pyynnön muistiin. Koska myyjä päättelee liidin huonoksi, hän ei palaa enää muistiinpanoihinsa ja pyyntö jää käsittelemättä.

Case 2: Ulkoistettu asiakaspalvelu saa henkilötietopyynnön puhelimitse

Asiakas pyytää yrityksen ulkoistettua asiakaspalvelua lähettämään hänelle tämän henkilötiedot. Kysyjä vastaa oikein kaikkiin hänelle tehtyihin tunnistuskysymyksiin, ja työntekijä kirjoittaa pyynnön CRM-järjestelmään. Ulkoistetun asiakaspalvelun ja yrityksen tietojärjestelmät eivät kuitenkaan ole yhteensopivat ja siksi tietosuojavastaava ei saa heti tietoa pyynnöstä. Kahden kuukauden päästä yritys lähettää asiakkaan pyytämät tiedot kirjeessä väärään osoitteeseen, koska osoite on jäänyt päivittämättä.

Case 3: Asiakas pyytää päivittämään sähköpostiosoitteensa somessa

Verkkokaupan some-vastaava saa Twitterissä asiakkaalta pyynnön päivittää sähköpostiosoitteensa. Työntekijä kysyy yksityisviestillä lisäkysymyksiä varmistuakseen, että kyseessä on oikea henkilö. Koska henkilö osaa kertoa postiosoitteensa, syntymäpäivänsä ja puhelinnumeronsa, työntekijä päivittää sähköpostiosoitteen. Seuraavaksi tiedon pyytäjä menee verkkokaupan sivuille ja klikkaa ”unohdin salasanan” -nappulaa. Näin tämä huijari saa sähköpostiosoitteeseensa uuden salasanan. Sitten hän tilaa kaupasta 10 000 eurolla tavaraa ulkomaiseen postilokero-osoitteeseen. Kun GDPR-asetus astuu voimaan 25.5.2018, nämä tilanteet eivät enää ole mahdollisia.

Mitä jos henkilötietopyynnöt voisi hoitaa näin?

  1. Asiakas tekee tietopyynnön missä tahansa kanavassa ja kenelle tahansa työntekijälle. Häntä pyydetään kirjautumaan yrityksen käyttämään GDPR-verkkopalveluun ja antamaan yrityksen palvelukoodi ”Oy Yritys Ab”.
  2. Kysyjä tekee verkkopalvelussa pyynnön saada henkilötietonsa.
  3. Yksi henkilö yrityksessä käsittelee pyynnöt viikoittain. Muiden työntekijöiden ei tarvitse tuntea GDPR:n kiemuroita.
  4. Kun tiedot ovat valmiina, asiakas saa sähköpostin, jossa pyydetään kirjautumaan palveluun.
  5. Asiakas käy palvelussa lataamassa tietonsa.

Näin toimii Tietosi.fi-palvelu.

Miksi puhelin, sähköposti ja myymälä sopivat huonosti tietopyyntöjen käsittelyyn?

Tietopyynnöt voi hoitaa useassa kanavassa ainakin osittain, mutta pyyntöjen hoitaminen on usein GDPR:n näkökulmasta epäkäytännöllistä ja niihin liittyy turhia riskejä. Esimerkiksi:

  • Mihin kussakin kanavassa toimivat työntekijät kirjaavat henkilötietopyynnöt?
  • Miten varmistetaan, etteivät tietopyynnöt ”jää pyörimään” organisaatiossa?
  • Miten varmistetaan henkilöstön riittävä GDPR-koulutus? Työntekijöiden tulee pysyä jatkuvasti ajan tasalla asetuksen tulkinnoista.
  • Miten henkilötietopyynnön tekijä tunnistetaan luotettavasti eri kanavissa?
  • Miten helposti ja nopeasti pyynnön tekijä tavoitetaan, jos häntä täytyy myöhemmin lähestyä lisäkysymyksillä?

Henkilöä on vaikeaa tunnistaa luotettavasti puhelimessa tai sähköpostin välityksellä. Henkilötietojen lähettämistä sähköpostitse tai kirjeitse ei myöskään pidetä täysin turvallisena. Kaikki asiakkaat eivät halua mennä yrityksen myyntipisteeseen passi kourassa, eikä yrityskään halua, että myyjät käyttävät aikansa henkilötietojen tarkistamiseen. Siksi tietopyynnöt kannattaa hoitaa turvallisen verkkopalvelun kautta aina, kun se on mahdollista. Tämän kerroin myös mäntyharjulaiselle ystävälleni.


Pekka Kanerva on liiketoiminnan kehityspäällikkö Tietosi.fi -palvelua ylläpitävässä eTaika Oy:ssä. Pekka on kiinnostunut liiketoiminnan ja yksityisyyden suojan tasapainottamisesta siten, että sekä yritys että asiakas voittavat.