Blog

Howspace-asiakkaan GDPR-askeleet

By Kim-Mikael Arima on 22. maaliskuuta 2018 klo 14.09.13

If you'd like to read the story in English, please click here.

EU:n uusi tietosuoja-asetus eli GDPR kiinnostaa nyt kaikkia – myös meidän asiakkaitamme. Toukokuun 25. päivä ja asetuksen voimaantulo lähestyy, joten tässä muutama vinkki Howspace-asiakkaillemme. Vinkkien avulla pääset kartalle ja pystyt valmistautumaan tulevaan.

  1. Tutustu GDPR:n ydinviestiin

    GDPR:ssä keskeistä on sen sääteleminen, miten yksityishenkilöistä kerättyjä tietoja käytetään myynti- tai markkinointitarkoituksiin. Howspacen käyttäjät ovat yleensä työntekijöitä eivätkä yksityishenkilöitä eikä heistä kerätä tietoa myynnin tai markkinoinnin käyttöön – mutta myös Howspacen henkilötietojen käsittelyprosessit on tehtävä läpinäkyviksi ja kirjattava kaikkien nähtäville.

    Muutaman vuoden sisällä näemme, mihin ja miten uusi asetus todellisuudessa vaikuttaa. Uskon, että vuoden kuluttua olemme jo tilanteessa, jossa GDPR näkyy loppukäyttäjille vain samanlaisena pikku huomautuksena kuin nykyisillä verkkosivuilla olevat ilmoitukset sivun käyttämistä evästeistä. Toki joiltakin toimijoilta siihen pääseminen vaatii rutkasti toimia ja koko bisnesmallin pohtimista uusiksi. 

  2. Päivitä sopimus

    Koska Howspacen käyttäjistä tallentuu alustalle henkilötietoja, kuten sähköpostiosoite, päivitämme sopimuksen kaikkien asiakkaidemme kanssa. Jokainen, jota asia koskee, saa meiltä tiedon muutoksista. Liitämme sopimuksiin päivitetyt käyttöohjeet, jotka ovat linjassa uuden asetuksen kanssa.

  3. Tarkenna oma roolisi

    GDPR:n vaikutus toimintaasi riippuu siitä, missä roolissa keräät ja käsittelet Howspacen käyttäjien tietoja. Kun työntekijä käyttää digialustaa työroolissaan, voidaan henkilötietojen käsittelyssä nojata niin kutsuttuun työnantajan direktio-oikeuteen, eikä erillistä kirjallista suostumusta siten tarvita.

    Kaikkien on kuitenkin jatkossa kirjattava henkilötietojen käsittelyketju: kenen luvalla ja mihin tarkoitukseen dataa kerätään ja käytetään. Ketju näyttää tältä, jos konsultti vetää työskentelyä esimerkiksi yrityksen, järjestön tai muun organisaation palkkaamana: Konsultti on ketjussa henkilötietojen käsittelijä (data processor), jolla on pääsy dataan ja oikeus käsitellä sitä asiakkaansa eli rekisterinpitäjän (data controller) valtuutuksella. Konsultti puolestaan antaa edelleen meille pääsyn dataan ja oikeuden käsitellä sitä, tehden meistä henkilötietojen alikäsittelijän (data sub-processor).

    Jos taas yritys tai muu organisaatio on suoraan meidän asiakkaamme, me olemme henkilötietojen käsittelijä (data processor) asiakkaamme valtuutuksella ja puolesta. Asiakkaamme on tällöin rekisterinpitäjä (data controller).

  4. Perehdy tarpeisiin

    Kuka tahansa voi asetuksen nojalla pyytää omien tietojensa poistamista myös Howspacesta. Alustamme on tältäkin osin GDPR-yhteensopiva. Kaikki henkilöt ovat siellä tunnistettavissa ja tiettyyn henkilöön liittyvän datan kerääminen pyydettäessä onnistuu helposti.

    Poistopyyntö ohjautuu aina sille taholle, jolla on sopimussuhde kyseisen henkilön kanssa. Esimerkiksi yrityksen työntekijä voi pyytää tietojen poistamista työnantajaltaan. Jos pyyntö on työnantajan mielestä aiheellinen, voi työnantaja ohjata pyynnön käyttämälleen konsultille. Jos konsultti edelleen pitää pyyntöä aiheellisena, hän voi pyytää meitä poistamaan tiedot Howspacesta.

    Poistopyyntö voi siis kulkea pitkän matkan, eikä ole selvää, että yksittäisen henkilön poistopyyntö aina hyväksytään. Jos henkilö on esimerkiksi osallistunut työnantajansa strategian laatimiseen Howspacen avulla, vaihtaa työpaikkaa ja vaatii tietojensa poistamista, työnantajalla on hyvät perusteet olla suostumatta pyyntöön. GDPR ei siis tarkoita että yksityishenkilön etu menee aina kaiken muun edelle – pikemminkin asetus luo selkeät, yhteiset pelisäännöt menettelyille erilaisissa tilanteissa.