Blogikirjoitus -
Mynewsdeskin GDPR-matka
“Viestintäalalla kenelläkään ei ole varmoja vastauksia. Yritykset osaavat harvoin suoraan sanoa, kuinka he tulkitsevat GDPR-tietosuoja-asetusta tai mitä sen noudattamiseen vaaditaan”, sanoo Daniel Jonsson, Mynewsdeskin Head of Data Analysis.
EU:n yleistä tietosuoja-asetusta (GDPR) aletaan soveltaa toukokuun lopulla ja valmistautuminen on pitänyt monet yritykset kiireisinä. Mynewsdesk ei ole poikkeus. Haastattelimme aiheeseen liittyen Danielia, joka on huhtikuusta 2017 alkaen ollut vastuussa Mynewsdeskin GDPR-projektista. Projektin tarkoitus on varmistaa, että Mynewsdesk noudattaa uutta tietosuoja-asetusta kaikessa toiminnassaan. Kysyimme Danielilta, mitä projekti on hänelle opettanut, ja onko Mynewsdeskillä antaa vinkkejä muille organisaatioille.
Mikä on GDPR?
GDPR eli General Data Protection Regulation on EU:n yleinen tietosuoja-asetus, jota aletaan soveltaa toukokuun 25. päivä. Se on yksityisyyden suojaa koskeva laki, joka on muistuttaa EU-maissa jo voimassa olevia tietosuojalakeja. Asetus määrittää, kuinka organisaatiot saavat käsitellä henkilötietoja. GDPR-asetuksen ansiosta yksilöt pystyvät tulevaisuudessa paremmin valvomaan ja saamaan tietoa henkilötietojensa käytöstä. Yrityksille GDPR tarkoittaa, että kaikkien prosessien täytyy ottaa huomioon yksilön oikeudet.
Miten GDPR-projekti alkoi?
Nimitimme GDPR-työryhmän, jossa kaikki Mynewsdeskin osastot olivat edustettuina. Näin varmistimme, että kaikki mahdolliset näkökulmat otetaan huomioon. Meillä on myös suurempi projektiryhmä, jossa jokaisella osastolla on GDPR-projektista vastaava projektipäällikkö.
Saimmeko ulkoista lainopillista apua?
Kyllä, olemme tehneet yhteistyötä erään lakifirman kanssa projektin alusta lähtien. Lisäksi meillä on sisäistä lainopillista osaamista tukemassa GDPR-kysymyksissä.
Millä toimenpiteillä Mynewsdesk on varmistanut noudattavansa GDPR-asetusta?
Yksi ensimmäisistä askeleista oli tehdä inventaario kaikista organisaation säilyttämistä ja käsittelemistä henkilötiedoista. Sen dokumentoiminen oli välttämätön osa projektia.
Entä sen jälkeen?
Seuraava askel oli varmistaa, että meillä on laillinen peruste tietojen käsittelylle. Yhteistyössä lakimiesten kanssa olemme määritelleet, miksi käsittelemme tietoja, ja varmistaneet, että jokainen tietojenkäsittelyprosessi on laillisesti perusteltu. Olemme myös varmistaneet, että kaikki on dokumentoitu. Sen jälkeen olemme toteuttaneet erillisiä projekteja organisaation sisällä pitääksemme huolen, että jokainen osasto tekee omat valmistelunsa.
Mitä nämä valmistelut ovat?
Useimmiten kyse siitä, että määritetään, dokumentoidaan ja otetaan käyttöön toimivat rutiinit koko organisaatiossa. Varmistetaan, että jokainen osasto käsittelee tietoja lakien mukaisesti ja että otamme huomioon henkilötietojen kohteiden oikeudet.
Mitä tarkoitetaan “henkilötietojen kohteella”?
Henkilötietojen kohde on yksilö, jonka tietoja yritys käsittelee. GDPR määrittelee näiden yksilöiden oikeudet, joita yritysten pitää kunnioittaa. Jokaisella on esimerkiksi “oikeus tulla unohdetuksi”, mikä tarkoittaa, että kuka tahansa voi halutessaan pyytää yritykseltä tietojensa poistamista. Se on yksi asia, joka yritysten pitää ottaa huomioon valmistautuessaan GDPR-siirtymäajan päättymiseen.
Minkä uskot olevan suurin haaste PR- ja viestintäalalle?
GDPR vaikuttaa viestintäalaan vahvasti. Mielipidekyselyiden mukaan osa GDPR:n vaatimuksista on yrityksille haastavia ratkaista. Jotkut kyselyt kertovat, että jopa yli 90% yrityksistä ei ole automatisoitua prosessia “oikeus tulla unohdetuksi”-vaatimuksen noudattamiseen. On mielenkiintoista nähdä, kuinka yritykset tulevat kehittämään näiden palveluiden automatisointia ja ratkaisemaan muita samanlaisia kysymyksiä.
Tuleeko sinulle jotain muuta mieleen?
On myös mielenkiintoista nähdä, miten yritykset tulevat käsittelemään suostumusta ja tuleeko se yleisesti olemaan yritysten toiminnan laillinen pohja. Monille yrityksille suostumuksen kerääminen kaikilta, joiden tietoja he käsittelevät, tulee olemaan hankalaa.
Vaikuttaako GDPR enemmän markkinointiin ja mainontaan kuin PR-alaan?
Yleisellä tasolla tietojen käsittely PR-alalla ei ole yhtä tungettelevaa kuin markkinoinnissa. Markkinoijien täytyy nähdä paljon vaivaa varmistaakseen vastaavansa GDPR:n vaatimuksiin. Tavallaan uskon siis PR:n ja viestinnän olevan markkinointiin nähden miellyttävässä asemassa.
Onko sinulla vinkkejä muille organisaatioille?
Suurin huolenaiheeni ovat yritykset, jotka sanovat noudattavansa jo GDPR-asetusta sataprosenttisesti. Näkemykseni mukaan yritykset, jotka tekevät hyvää työtä, kertovat nähneensä vaivaa ja omaavansa suunnitelman tavoitteen saavuttamiseksi. He kuitenkin myös myöntävät, etteivät ole 100% valmiita.
Eikö kukaan siis noudata GDPR-asetusta sataprosenttisesti?
On varmasti yrityksiä, jotka noudattavat. Se kuitenkin riippuu käytössä olevista resursseista ja toimialalle tyypillisistä haasteista.
Miten neuvoisit organisaatioita suhtautumaan GDPR-asetukseen?
On tärkeää luoda tietoisuutta yksityisyyden suojaan liittyvistä kysymyksistä koko organisaatiossa - pitää huolta, että yksityisyys laitetaan etusijalle ja otetaan huomioon myös uusissa projekteissa. Se on yksi GDPR:n tärkeimmistä aspekteista.
Miten olette lähestyneet tätä Mynewsdeskillä?
Olemme lähestyneet GDPR-kysymystä kahdesta eri perspektiivistä. Ensinnäkin, haluamme luonnollisesti varmistaa, että Mynewsdesk noudattaa tietosuoja-asetusta ja olemme tehneet töitä määrittääksemme ja dokumentoidaksemme siihen tarvittavat sisäiset prosessit. Olemme kuitenkin myös halunneet auttaa asiakkaitamme saavuttamaan saman. Auttaaksemme heitä olemme tehneet pieniä muutoksia työkaluumme, jotka helpottavat myös asiakkaidemme pyrkimyksiä noudattaa asetusta.
Onko sinulla vielä jotakin lisättävää?
Viestintäalalla kenelläkään ei ole varmoja vastauksia. Yritykset osaavat harvoin suoraan sanoa, kuinka he tulkitsevat GDPR-tietosuoja-asetusta tai mitä sen noudattamiseen vaaditaan Meidän täytyy joka tapauksessa muuttaa vanhoja tapojamme, puhua yksityisyydensuojasta enemmän ja asettaa se työmme keskipisteeseen.
Mynewsdesk on tehnyt kaksi vuotta töitä noudattaakseen GDPR:n asettamia vaatimuksia ja olemme sitoutuneet tavoitteeseen sataprosenttisesti. Uskon, että meillä on myös suunnitelma ja välineet päästä sinne.
Katso Daniel Jonssonin videohaastattelu alta.
Muista myös tutustua Mynewsdeskin maksuttomaan GDPR-oppaaseen viestijöille. Se on ladattavissa täällä.