Lokakuun alussa (2017), GDPR-työryhmä WP29 julkaisi guideline -ohjeistuksen (wp251) koskien profilointia ja automatisoitua päätöksentekoa ja/tai prosessointia. Nimensä mukaisesti, ”guideline” -dokumentin tulisi selkiyttää säännöstön tulkintaa. Nyt on käynyt toisin. Useita blogikirjoituksia on julkaistu, joissa ihmetellään guideline -dokumenttien roolia ja ristiriitaisuuksia. Itse kirjoitin (varovaisesti) asiasta blogiini 21.10.2017. Pidän tässä mukana myös hyvää koostetta by Jari Perko (ASML) otsikolla ”GDPR ja profilointi – kysymyskaruselli”.
Selvää on, että asian kuvaaminen on haastavaa. Ohjeistukset selkiytynevät lähivuosina, mutta 05/18 lähestyy vauhdilla, joten organisaatioiden pitää valita pääasiat, jotka laittaa kuntoon nyt, ja mitkä tarkennetaan myöhemmin.
organisaatioiden pitää valita pääasiat, jotka laittaa kuntoon nyt,
ja mitkä tarkennetaan myöhemmin.
Mutta kuinka käytännössä?
Itse olen soveltanut seuraavaa toimintamallia:
a) Määrittäkää nuo kaksi avainsanaa itse – aluksi omalla kielellä, sitten GDPR-kielellä:
- mikä analytiikka on ”profilointia” ja mikä ”muuta analyyttista ryhmittelyä” (jos ei onnistu jako kahteen, niin kolme kategoriaa) ja
- mikä teillä on ”automatisoitua päätöksentekoa” ja mikä ei.
piirtäkää (vaikkapa fläpille) näistä nelikenttä ja otsikoikaa neljä ruutua, toimintaanne sopivalla tavalla.
b) sijoittakaa analytiikkaan ja automatisointiin liittyvät toiminnat ja tuotokset nelikenttään.
Löydätte varmasti ne prosessit, joissa tehdään aidosti ”automatisoitua päätöksentekoa ohjaavaa profilointia” siten kuten teidän liiketoiminnassa asia ymmärretään – mikäli sellaista on.
Samalla kaikki muu asiakastiedon analytiikkaan, jalostamiseen ja yhdistelyyn liittyvä toiminta tulee kuvatuksi asiallisesti (huolellisuus-, suunnittelu- ja osoittamisvelvoite).Tämän kun tekee järkevällä tavalla, niin homman saa sovittautumaan myös GDPR:n kirjaimeen.
c) Sisäinen ja ulkoinen viestintä:
- dokumentointi sisäiseen tietosuojamateriaaliin (tietosuojapolitiikan sisäinen versio) => asian sisäinen viestintä, ohjeistus & koulutus.
- ulkoinen viestintä kerroksellisen informoinnin keinoin. Kärkidokumenttina tietosuojaseloste ja lisäksi tietosuojapolitiikan julkinen versio sekä kaikki muut viestinnän keinot.
Sisäisissä ja/tai syvällisemmissä dokumenteissa kuvataan vaikuttavuus käytännön toimintoihin asiakasrajapinnassa: tarkastusoikeus, lupa- ja kieltoasiat, ”unohtamisoikeus” jne.
Muistettava myös, että työ ei koskaan tule valmiiksi – järjestelmät ja prosessit elävät jatkuvasti ja ehkä juridinen viitekehyskin tarkentuu. Työ vaatii jatkuvaa asiantuntijayhteistyötä akselilla: Data-arkkitehtuuri – liiketoiminta – juridiikka – viestintä (tietosuojatiimin perusrakenne).
Pääasiahan on itse tietää mitä tehdään siten, että sen voi kertoa asiakkaalle.
Hyvin viestitty asiakastiedon jalostustyö (analytiikka, profilointi) rakentaa yrityksen luotettavuutta sekä yritysmielikuvaa.
Autan tarvittaessa mielelläni.
Marko Kivelä
Arvotieto Oy