Lopeta pelottelu! Näin voit hyötyä EU:n laajuisesta GDPR-tietosuoja-asetuksesta

Kirjoittanut APSIS

2017-01-19

Siitä lähtien, kun uusi EU:n laajuinen tietosuoja-asetus GDPR, (General Data Protection Regulation) tuli voimaan vuoden 2016 alussa, lainoppineiden ja muiden järjestämien seminaarien ja webinaarien, sekä muun muassa whitepaper-julkaisujen määrä on kasvanut tasaisesti. Ne ovat lisänneet GDPR:n aiheuttamaa keskustelua ja epäilyä. 

(Ollakseni reilu, tämä kirjoitus ei ole sen kummempi – paitsi, että tämän sävy on positiivinen. Jotain, jota ei nykyään voi aliarvioida.)

GDPR: It's not all that scary. Check out the good sides!

 

Pelottavat väittämät, kuten ”sakot voivat olla jopa 20 miljoonaa euroa” ja ”4 % vuosittaisesta liikevaihdosta” ovat ympäri maailman olleet ykkösargumentteja kiinnittämään yritysjohtajien huomion henkilöiden tietosuoja-asioihin.

Toistaiseksi se on ollut menestys – enimmäkseen siksi, että nyt suurin osa yrityksistä on tullut tietoiseksi GDPR-asetuksen olemassaolosta, sen velvoitteista toukokuun 25. päivänä 2018, ja mahdollisesta rangaistusmaksuista, joita asetuksen rikkomisesta voi seurata. Kuitenkin usein sivuutetaan sujuvasti ne hyödyt, joita GDPR-asetus mahdollistaa.

Käytän aiheesta puhuttaessa mieluummin porkkanaa, vaikka siitä usein puhuttaessa käytetäänkin keppiä. (Ennen kuin hyppäämme syvemmälle aiheeseen; tämä on ensimmäinen kahdesta blogipostauksestani, joissa käyn läpi lain näkökulmasta sitä digitaalista ja data-driven markkinointia, joka koskettaa sinua kaikkein osuvimmin.)

Miksi muutos on tarpeen?

Tällä hetkellä EU:n 28 jäsenvaltion alueella on voimassa toisistaan poikkeavia ja epäjohdonmukaisia henkilöiden tietosuojamääräyksiä. Se on johtanut juridisesti pirstaloituneeseen toimintaympäristöön, jossa on epävarmuutta, ja joka kohtelee yksilöitä epätasa-arvoisesti.

Pirstaloituminen on kallis hallinnollinen taakka, joka vaikeuttaa (erityisesti pk-sektorin) yritysten laajentumista läpi EU:n, ja hidastaa niiden taloudellista kasvua.

Vielä pahempi on luottamukseen liittyvä asia: tänä päivänä eurooppalaisia huolettaa se, ettei heillä ole mahdollisuutta hallita heidän henkilökohtaisia tietojaan (erityisesti verkossa). Niinpä yritykset, jotka epäonnistuvat suojaamaan yksilön henkilötiedot ja käsittelemään niitä läpinäkyvällä ja yhteensopivalla tavalla, voivat menettää kyseisen yksilön luottamuksen.

Luottamus, erityisesti verkkoympäristössä on yrityksille elinehto.

GDPR: Privacy is good for business (according to APSIS)

Mistä GDPR:ssä on kysymys?

Uusi GDPR-asetus on yksi, yksinkertaisempi, selkeämpi, teknologisesti neutraali ja tulevaisuuden kestävä asetus koko EU:n alueella. Käytännössä se tarkoittaa vanhan pirstaloituneen henkilötietosuojasäännöstön heittämistä romukoppaan. GDPR-asetuksen ansiosta EU:n alueen yksilöiden henkilötiedot ovat turvassa, ja heidän perusoikeuksiinsa kuuluu kaikkien osapuolten noudattama tietoturva. Tärkeintä on, että GDPR-asetus auttaa lisäämään luottamusta, joka palvelee sekä yksilöitä että yrityksiä.

Asetuksen mukanaan tuoma luottamus mahdollistaa ja rohkaisee kuluttajia käyttämään innovatiivisia teknologioita ja tekemään ostoksia verkossa – ja luottamaan siihen, että heidän tietonsa suojataan ja turvataan. Tarve yksityisyyttä tarjoaville tuotteille ja palveluille kasvaa, lisää investointeja ja työpaikkoja sekä vapauttaa EU-markkinoilla potentiaalin tarjota suurempi valikoima tuotteita ja palveluita.

Taloudellinen kasvu puolestaan auttaa yrityksiä saavuttamaan täyden potentiaalinsa EU:n markkina-alueella.

GDPR-asetus mahdollistaa ”Big Data”-palvelut EU:n alueella. Asetus edistää oleellisten periaatteiden omaksumista; tietosuoja (oletuksena ja suunnittelun näkökulmasta), parempi läpinäkyvyys, kuluttajan luottamus ja terveen kilpailun lisääminen globalisoituvassa maailmassa. Puhumattakaan tasapuolisuuden luomista kaikille EU:n alueella toimiville yritykselle (riippumatta siitä, onko yritys perustettu EU:n alueella vai ei, sen täytyy noudattaa GDPR-asetusta tuottaakseen palveluita EU:n alueelle tai alueella).

Mitä nämä mainitut asiat sitten tarkoittavat? Itse asiassa GDPR-asetus tarjoaa EU:n alueella toimiville yrityksille (tiettyyn rajaan saakka) kilpailuetua globaalissa markkinassa, koska yritysten täytyy voida tarjota heidän asiakkailleen varmuutta, jonka takana on vahva regulaatio. Asiakkaat haluavat varmuuden siitä, että heidän henkilökohtaisia tietojaan kohdellaan huolella.

GDPR: I'm sold! What do I do next?

 

Mitä minä siitä saan?*
*(WIFM - What's in it for me?) Kuten johdon konsultit kysyisivät

Paljonkin! Jos täytät GDPR-asetuksen vaatimukset riittävästi ja tehokkaasti, sinulla on mahdollisuus saada merkittävä suorituskyky- ja kilpailuetu kilpailijoihisi verrattuna. Saat jotain, jota Boston Consulting Group kutsuu ”Luottamuseduksi” (”Trust Advantage”): asiakkaasi luottavat sinuun niin, että antavat itsestään enemmän tietoja kuin kilpailijoillesi. Se johtaa parempiin mahdollisuuksiin suositella tuotteita ja palveluita verkossa, osuvampaa kohdentamista, uusien tuotteiden ja palveluiden nopeampaa kehitystä ja useita muita etuja sinulle ja asiakkaillesi.

Yllä mainitsemieni asioiden valossa – ja ottaen huomioon sen, että Euroopan henkilötietojen arvon on vuoteen 2020 mennessä ennustettu kasvavan lähes biljoonaan euroon vuodessa. GDPR-asetus ei ole taakka – se tarkoittaa ja tarjoaa rahaa. (Siitäkin huolimatta, että useimmat GDPR:stä paasaavat ihmiset salaavat tämän tiedon sinulta.)

Sait huomioni! Mistä aloitan?

Odotit varmaan, että vastaan suoralta kädeltä? Kysypäs lähimmältä juristilta, kuinka todennäköistä se olisi… Loogisin lähestyminen aiheeseen on tutustua paikallisen tietosuojaviranomaisesi tarjoamaan tietoon aiheesta. (Löydät linkin useimpiin niistä täältä.)

Yleisesti ottaen paikallisten tietosuojaviranomaisten verkkosivustoilla on paljon tietoa. Monilla niistä on myös tarkistuslistoja, joiden avulla saat GDPR-yhteensopivuustyösi alkuun ja voit tehdä puutelistan. Ellei paikallisella viranomaisella ole tarkistuslistaa käyttöösi, oma suosikkini on brittiläisen ICO:n julkaisema asiakirja ”Preparing for the General Data Protection Regulation (GDPR) – 12 steps to take now”. (Ellei brittien tietosuoja-asetus sovellu yritykseesi, jätä se huomiotta!)

Tulevassa blogissani käsittelen digitaalisen- ja data-driven markkinoinnin kaikkein oleellisimpia asioita lain näkökulmasta, kaivaudumme henkilötietoaiheeseen (ja moneen muuhun), ymmärtääksemme perusteet ja rakentaaksemme perustan GDPR-yhteensopivuudellesi. Jos sain ylläpidettyä kiinnostustasi tähän saakka, toivon että luet myös seuraavan blogipostaukseni.

APSIS Legal Counsel Anders Hilmansson

Anders Hilmansson on APSIKSEN juristi. 

Tämä blogipostaus on tarkoitettu inspiroimaan ja tarjoamaan tietoa. Blogipostaus ei millään muotoa ole lainopillinen ohje, eikä sitä pidä käsitellä sellaisena. APSIS ei ota mitään vastuuta tässä blogipostauksessa olevien tietojen käyttämisestä aiheutuvista vahingoista. APSIS pidättää itsellään kaikki oikeudet tämän blogipostauksen sisältöön.