Paytrail

Verkkokaupan GDPR: Kuka käsittelee asiakkaidesi ja yrityksesi tärkeitä tietoja?

Pekka Majaniemi Kirjoittanut Pekka Majaniemi - 17.4.2018

gdpr-kuka-kasittelee-verkkokauppasi-henkilotietoja

GDPR-asiantuntija, juristi Elina Koivumäki muistuttaa yrityksiä pitämään huolta sekä asiakkaan tiedoista että omista liikesalaisuuksistaan.

Verkkokaupan kannattaa olla tarkkana siitä, kenellä yrityksen sisässä on pääsy asiakkaan tunnistettaviin henkilökohtaisiin asiakastietoihin - vain niillä, joille se on roolinsa ja työnsä suorittamisen kannalta tarpeellista. Tietosuojajuridiikkaan erikoistununeen lakimies Elina Koivumäen 18-vuotisen juristikokemuksen mukaan usein liian monella työntekijällä on pääsy työpaikan henkilörekisterijärjestelmiin.

"Pääsy asiakkaiden tietoihin tulisi olla vain niillä henkilöillä, joiden työtehtävien kannalta on olennaista päästä käsittelemään tunnistettavia henkilötietoja", Koivumäki painottaa.

Jokaisella käyttäjällä tulisi aina olla henkilökohtaiset käyttäjätunnukset. Esimerkiksi tiimin kesken jaettavia käyttäjätunnuksia tai salasanoja ei ole pääsääntöisesti asianmukaista käyttää asiakastietojärjestelmissä. Väärinkäyttötapauksissa on pystyttävä selvittämään, kenen tunnuksilla järjestelmässä ollaan oltu.

Kuka hallinnoi asiakasrekisteriäsi?

Toinen henkilöstön käyttöoikeuksiin sidottu tietosuojatarve liittyy siihen, kuka pääsee hallinnoimaan asiakasrekisteriä ja sen tietoja. Yrityksen kannattaa selvittää ja arvioida tarkoin, kenellä tulisi olla oikeus muokata rekisteriä.

"Verkkokauppiaan tulisi tietää tarkkaan, kenellä järjestelmien käyttäjistä on esimerkiksi mahdollisuus ladata koko asiakastietokanta ja pahimmillaan viedä sen kopio mukanaan," Elina Koivumäki muistuttaa.

Onko sinun yritykselläsi riittävät valmiudet varotoimiin, ja tekniset mekanismit väärinkäytösten ja tietovuotojen ehkäisemiseksi?

Mitä tietoja asiakkaallesi lähtee?

CRM-järjestelmät ovat monessa yrityksessä korvanneet myyjien "mustakantisen kirjan". Yritysten asiakasrekisteriin saatetaan kirjoittaa vapaakenttään esimerkiksi kuvailuja asiakaspalvelupuhelun sisällöstä.

Kaikki asiakasjärjestelmiin tehdyt tunnistettavaa henkilöä kuvaavat merkinnät ovat osa yrityksen asiakasrekisteriä, ja asiakas voi halutessaan pyytää itseään koskevia tietoja nähtäväkseen.

Mikäli asiakaskontaktin tiedot on kytketty asiakkaan tietoihin, yrityksen on toimitettava asiakkaalle tämän pyytäessä järjestelmissä olevat asiakkaan henkilötiedot.

"Mikäli on epäilys, että asiakastietojen joukossa saattaa olla vain sisäiseen käyttöön tarkoitettuja merkintöjä, rekisterin vapaakenttiin kannattaa tehdä siivousta hyvissä ajoin kevään aikana," Koivumäki ehdottaa.

Oletko varmistanut, että yrityksesi tiedot pysyvät turvassa?

On myös tärkeää varmistaa, että tietopyyntöjen mukana ei valu yrityksen liikesalaisuuksia julkiseen tietoon.

Yrityksellä on yksi kuukausi aikaa vastata asiakkaalle, joten tietokokonaisuutta ei kannata lähettää hätiköidysti ja kiireessä. Silti tietopyyntöihin liittyvät käytännöt on parasta miettiä jo etukäteen.

"On hyvä myös miettiä ajoissa, mitkä kaikki tietuekentät yrityksesi on tarpeellista sisällyttää mukaan, kun asiakas pyytää tietojaan," Koivumäki sanoo.

Tässä on tärkeää tunnistaa, mikä kaikki tieto asiakasjärjestelmissä on lain tarkoittamaa henkilötietoa.

"Järjestelmissä voi olla erilaisia luokitteluja, segmentointeja ja kategorisointeja, jotka eivät ole GDPR:n alle luettavia ihmistä koskevia faktatietoja, vaan yrityksen liiketoimintaa ohjaavaa, liikesalaisuuksiksi tulkittavaa luokittelutietoa."

Verkkokauppiaan kannattaisikin selvittää, millaista tietoa asiakkaista eri järjestelmiin kertyy, ja analysoida, mikä osa siitä on asiakkaan henkilötietoa ja mikä ei.

Muuta GDPR:ään ja muuhun sääntelyyn liittyvää luettavaa

Elina Koivumäki: GDPR on verkkokauppiaalle hyvä asia

PSD2-direktiivi raivaa tietä mobiilimaksamiselle

Maksutapalisä poistuu - jäävätkö korttiyhtiöiden maksut verkkokauppiaan maksettavaksi?

paytrail-icon Verkkokaupan hallinta