2. Oletko tehnyt rekisteröidyn informoinninkin aina väärin?

Selkeä informointi on GDPR:n perusvaatimus. Kun kerrot rekisteröidylle kuka käsittelee tietoja ja mihin niitä käytetään, vältät valitukset ja epäselvyydet. Tästä näet mitä tietoja on pakko kertoa ja miten hoidat informoinnin oikein.

Mistä rekisteröidyn informoinnissa on oikeasti kyse

Kun yritys kerää henkilötietoja, sen on kerrottava etukäteen miksi tiedot pyydetään ja mitä niille tehdään. Kyse on siitä, että henkilö ymmärtää heti, mihin hänen tietojaan käytetään.

GDPR määrää selkeästi, miten ja milloin informointi annetaan. Informointi pitää antaa juuri siinä kohdassa, jossa tiedot kerätään. Ei jälkikäteen eikä piilotettuna sivun alalaitaan.

Rekisteröidylle eli henkilölle, jolta tiedot kerätään, on kerrottava

  • miksi tietoja kerätään
  • millä oikeusperusteella tietoja käsitellään
  • mihin tietoja voidaan siirtää tai kenelle niitä voidaan luovuttaa
  • kuinka kauan tietoja säilytetään
  • mitä oikeuksia henkilöllä on omiin tietoihinsa

Lisäksi GDPR velvoittaa, että nämä asiat kerrotaan selkeästi ja oikeaan aikaan. Tämä ei ole vapaaehtoinen käytäntö. Informointi on lakisääteinen velvoite, jota viranomainen valvoo tarkasti.

Miksi informointi menee pieleen?

Moni yritys ja yhdistys olettaa, että pelkkä linkki riittää täyttämään informointivelvoitteen. Verkkosivun alatunnisteessa oleva linkki ei tee informoinnista oikea-aikaista ja selkeää. Tai että tietosuojaseloste löytyy sivuilta ja velvoite on täytetty. Näin ei ole.

Toinen yleinen virhe on se, että seloste on tehty vain yhdelle ryhmälle. Asiakkaiden, työntekijöiden, jäsenten ja markkinointilistan tiedot eroavat toisistaan, joten heille ei voi antaa samaa selostetta.

Kolmas virhe liittyy sisältöön. Rekisterinpitäjä kertoo vain osan vaadituista tiedoista, esimerkiksi tarkoituksen ja yhteystiedot, mutta jättää pois säilytysajat, rekisteröidyn oikeudet tai tiedot vastaanottajista.

Neljäs virhe syntyy käytännön tasolla. Henkilöstö ei välttämättä tiedä, missä tilanteissa informointi pitää antaa tai mitä rekisteröidylle kuuluu kertoa. Vaikka selosteet olisivat kunnossa, prosessi ei toimi, jos työntekijät eivät tunne perusteita. Tämän takia informointi jää helposti väärään kohtaan tai tekemättä kokonaan. 

Miltä puutteellinen informointi näyttää käytännössä?

  • Yhteydenottolomake jossa ei kerrota, mihin tarkoitukseen tietoja kerätään.
  • Ajanvarausjärjestelmä jonka yhteydessä ei kerrota, kenelle tietoja luovutetaan.
  • Markkinointilista johon osoitteet on kerätty muualta ilman ajoissa annettua informointia.
  • Puhelussa kerätyt tiedot joiden jälkeen rekisteröityä ei informoida lainkaan.
  • Kauppa tai huonekaluliike joka ottaa asiakkaan nimen ja numeron tilausta varten eikä kerro, mitä tiedoille tapahtuu.
  • Tilaustyö tai palveluvaraus jossa yrittäjä pyytää henkilötietoja ilman mitään informointia missään vaiheessa.
  • Sopimus- tai hakemuslomake jonka yhteydessä ei anneta lain vaatimaa informointia.

Nämä ovat tilanteita, joissa rekisteröity jää ilman lain vaatimaa tietoa, vaikka yrityksellä olisi tietosuojaseloste olemassa.

Jos käytät käsittelyperusteena suostumusta, suostumus pitää saada ennen kuin keräät yhtään henkilötietoja.
Jos tiedot kerätään ensin ja suostumus pyydetään vasta perään, suostumus ei ole pätevä ja tietoja ei saa käyttää. - GDPR:n 7 artikla 

Mitä viranomaiset edellyttävät?

Informointi on annettava selkeästi ja oikeaan aikaan. Pelkkä linkki ei riitä.
Jos tiedot kerätään rekisteröidyltä, informoinnin tulee olla näkyvissä ennen lähettämistä.

Jos tiedot kerätään muualta, informointi annetaan viimeistään kuukauden sisällä tai ennen kuin tietoja käytetään. 

Missä informoinnin pitää näkyä käytännössä?

Informointi annetaan juuri siinä kohdassa, jossa rekisteröity antaa tietojaan. 

Tämä koskee esimerkiksi:

  • yhteydenottolomakkeita
  • tarjouspyyntöjä
  • ajanvarausjärjestelmiä
  • uutiskirjeen tilauksia
  • työhakemuslomakkeita
  • verkkokaupan kassavaihetta

Näissä kohdissa on hyvä näkyä lyhyt informointiteksti, joka kertoo käsittelyn tarkoituksen ja linkin täydelliseen selosteeseen.

Mitenyritys käytännössä toteuttaa informoinnin oikein

  • Tarkista, missä kohdissa keräät henkilötietoja. Jokaisessa näistä kohdista tarvitaan selkeä informointiteksti.
  • Kerro lyhyesti, mitä varten tiedot kerätään. Vasta tämän jälkeen linkki täydelliseen selosteeseen on järkevä.
  • Laadi selosteet ryhmäkohtaisesti ja monitasoisesti, jotta rekisteröity löytää juuri häntä koskevat tiedot.
  • Päivitä käytännöt. Informointi ei ole pelkkä tietosuojaseloste piilossa nettisivujen alareunassa, vaan sen kannattaa näkyä kaikissa kohdissa, joissa henkilötietoja kerätään. 

Selkeä informointi suojaa rekisterinpitäjää

Kun rekisteröity tietää selvästi, mitä tietoja kerätään ja miksi, väärinkäsitykset vähenevät ja yritys näyttää luotettavalta. 

Puutteellinen informointi lisää riskejä ja voi johtaa huomautuksiin, rajoituksiin tai muihin viranomaisvaatimuksiin.

Kun informointi toimii oikein

Informointi on yksinkertainen velvoite, mutta se pitää tehdä käytännössä oikein. Näin toimiva informointi näkyy rekisteröidyn arjessa ja rekisterinpitäjän prosesseissa:

  • rekisteröity saa tiedon oikeaan aikaan
  • tiedot esitetään selkeästi ja ymmärrettävästi
  • sisältö kattaa kaikki lain vaatimat kohdat
  • selosteet laaditaan ryhmäkohtaisesti
  • linkki ei korvaa informointia

Kun nämä ovat kunnossa, informointi on rekisterinpitäjän näkökulmasta helppoa ja mahdollisuuksien mukaan automatisoitua. Esimerkiksi verkkolomakkeet, ajanvarausjärjestelmät ja uutiskirjeet antavat automaattisesti tiedot oikeaan kohtaan. Tämä tukee virheettömyyttä ja vähentää ylimääräistä manuaalista työtä.

Haluatko selosteet ja informoinnit kuntoon kerralla oikein?

GDPR-Apu tekee sinulle valmiit selosteet ja informointisisällöt, jotka ovat ryhmäkohtaiset ja helposti sijoitettavissa omille sivuillesi tai lomakkeisiin. Saat selkeät tekstit ja ohjeet ilman järjestelmäasennuksia tai raskasta projektia.

Tutustu GDPR-Apun
Share