Ainian GDPR tietopyyntökäsittelyjen tulokset

Toimiko GDPR-prosessi eri organisaatioissa asetuksen mukaisesti vai löysimmekö haasteita tietopyyntöjen käsittelyssä? Jokaisella organisaatiolla on löydösten mukaan parannettavaa.

Lähetimme toukokuun lopulla, heti EU-asetuksen voimaantultua, lähes kahdellekymmenelle eri organisaatiolle tietopyynnön koskien omia henkilötietojamme. Organisaatiot olivat eri kokoisia ja eri toimialoilta. Mukana oli myös kuntia ja kuntien liikelaitoksia.

Kuukauden jälkeen pyyntöjen lähettämisestä todettiin, että kaikki pystyivät toimittamaan raportin tietopyynnöstä asetuksen mukaisesti eli 30 vrk kuluessa tilaajalle. Yhtä lukuun ottamatta tiedot vaikuttivat olleen oikein. Erityisesti teleyhtiöillä ja eräällä energiayrityksellä prosessi toimi moitteettomasti. Huolestuttavaa oli, että useimmilla organisaatioilla oli selkeitä puutteita tunnistautumisessa ja viestinnässä.

Tietopyyntökyselyt aloitettiin pääsääntöisesti kahdella tavalla. Digitaalinen asiointi (tunnistuksena käyttäjätunnus/salasana tai tupas/mobiilivarmennus) oli käytössä erityisesti telco-yhtiöissä, pankeissa ja keskustukkuliikkeissä. Toiseksi asiointina paikan päällä, jossa täytettiin perinteellinen paperilomake. Jälkimmäisessä tavassa (erityisesti kunnat ja kuntien liikelaitokset) huolestuttavinta oli, ettei aina tarkistettu kyselijän henkilötietoja!

Yhteenvetona voidaan sanoa, että Suomessa ollaan yleisesti hyvinkin tietoisia, kuinka tietopyyntöjen prosessin pitäisi toimia. Toisaalta kuinka se tehdään mahdollisimman automaattisesti ja kustannustehokkaasti vaatii vielä jumppaamista muutamaan poikkeusta lukuun ottamatta. Telco-yhtiöillä, pankeilla ja muutamalla sähköyhtiöllä automatisointi ja asiakasviestintä toimivat hyvin. Muilla organisaatioilla oli haasteita selkeydessä ja automatisoinnissa. Tietty vaihe jouduttiin joko tekemään manuaalisesti (asioinnin aloitus ja/tai vastaanotto) tai koko prosessi piti aloittaa organisaation asiakaspalvelussa paperilla, myös tulokset piti hakea paikan päältä (kunnat).

Harvaa poikkeusta lukuun ottamatta tietopyynnön aloittaminen oli työlästä, koska oli hankalaa löytää tai saada tietoa kuinka se tehdään. Vinkkinä voidaan sanoa, että tehkää tietopyyntöasiointi helpoksi joko verkkosivujen selkeillä ohjeilla tai asiakaspalvelun antamilla yksinkertaisella opastuksella. Toiseksi on tärkeää viestiä pyytäjälle tietopyynnön etenemisestä, jotta turhilta yhteydenotoilta vältytään. Yksi turhauttavimmista hetkistä oli, kun erään pankin raporttia joutui itse etsimään päivittäin verkkopankista. Yksinkertaisinta olisi ollut lähettää viesti sähköpostilla tai tekstiviestillä, kun raportti oli haettavissa pankin verkkopalvelusta.

Ainia on suomalainen IT-palveluorganisaatio, joka toimittaa kokonaisratkaisuja digitalisoituneille organisaatioille. Ainian Data Privateer GDPR-ratkaisu automatisoi tietopyyntöjen käsittelyn hyödyntäen vahvaa tunnistautumista ja tietoturvallisia käyttöoikeuksia.

Jaa eteenpäin!