Rekisteröidyn informointi on tietosuoja-asetuksen rekisterinpitäjälle asettama velvollisuus. Rekisteröityä tulee informoida selkeällä ja ymmärrettävällä kielellä siitä mitä tietoja rekisterinpitäjä on tallentanut ja miten rekisterinpitäjä käsittelee niitä. Vaikka velvollisun sisältö on tarkkaan määritelty se miten informointi tehdään jättää rekisterinpitäjälle liikkumavaraa. Hyvä informointi tapahtuu käyttäjän kielellä oikea-aikaisesti.
Menestyvät yritykset panostavat asiakkaisiinsa. Tämä itsestään selvältä kuulostava väite sai hiljattain tieteellisen vahvistuksen Kölnin yliopistossa tehdyn kattavan tutkimuksen myötä. Tutkimuksen mukaan yritysten kannattaa panostaa ennen kaikkea asiakassuhteeseen ja vahvaan brändiin markkinaosuuden kasvattamisen sijaan.
Kuulostaa järkeenkäyvältä. Mitä tällä on tekemistä tietosuoja-asetuksen vaatiman rekisteröidyn informoinnin kanssa?
Lyhyesti sanottuna: Kaikki.
Tietosuoja-asetus asettaa ihmisen keskiöön
EU:n yleisen tietosuoja-asetuksen eli GDPR:n (general data protection regulation) soveltaminen alkoi 25.5.2018. Sen 1. artiklan mukaan tietosuoja-asetuksen tavoite on suojella “luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan”.
Merkittävää tässä ei ole se, että tietosuoja-asetus pyrkii suojelemaan luonnollisten henkilöiden eli ihmisten oikeuksia: Niin tekevät monet muutkin lait, asetukset ja direktiivit. Merkittävää on se, miten tämä suojelu GDPR:n mukaan tapahtuu.
Tietosuoja-asetus ei ole saanut kunniaa siitä, miten ihmisläheinen se on. Ehkä pitäisi. GDPR nimittäin edellyttää, että henkilötietoja käsittelevät organisaatiot informoivat ihmisiä (tietosuojaslangissa rekisteröityjä) heidän henkilötietojensa käsittelystä:
- Tiiviisti esitetyssä
- Läpinäkyvässä
- Helposti ymmärrettävässä ja saatavilla olevassa muodossa
- Selkeällä ja yksinkertaisella kielellä.
Toisin sanoen: tiedon saaminen ja oikeuksien käyttäminen tulee suunnitella asiakaslähtöisesti, jotta se on ihmisille helppoa.
Hyvä informointi on sijoitus, joka kannattaa
Miten tietosuoja-asetuksen mukainen informointivelvollisuus muuttuu firman tilille tulevaksi rahaksi?
Kuten alussa esitin, yritysten taloudellinen menestys on seurausta vahvoista asiakassuhteista. Voittoa mielivän yrityksen kannattaa siis panostaa asiakassuhteisiin.
Ei ole salaisuus, että hyvät asiakassuhteet ovat seurausta hyvästä asiakaspalvelusta, siis positiivisista asiakaspalvelukokemuksista.
Positiivisen asiakaspalvelukokemuksen voi luoda joko 1) ratkaisemalla asiakkaan ongelman tämän toivomalla tavalla, tai 2) tuottamalla asiakkaalle kuulluksi tulemisen kokemuksen ja osoittamalla, että tämän ongelma on otettu vakavasti ja sen ratkaisemiseksi on nähty vaivaa. Tällöin asiakkaalle ei välttämättä ole merkitystä, vaikka ratkaisu ei olisikaan hänen mielensä mukainen.
Miten tietosuoja muuttuu positiiviseksi asiakaspalvelukokemukseksi?
Mutta miten tietosuoja muuttuu positiiviseksi asiakaspalvelukokemukseksi? Ainoa varma tapa tähän on ymmärtää asiakkaan ongelma täydellisesti.
Asiakkaan näkökulmasta tietosuojaan liittyvä ongelma voi olla esimerkiksi tällainen:
”Hei. Uutisissa kerrotaan nyt paljon tietomurroista. Haluaisin varmistua siitä, että tietoni ovat turvassa hallussanne. Ettehän myöskään käytä tietojani tai salli niiden edelleenkäyttöä mihinkään, mistä emme ole sopineet. En halua, että tietojani käytetään toisten valtioiden vaalien manipulointiin.”
Jotta voimme ymmärtää asiakkaan ongelman täydellisesti, meidän täytyy ymmärtää, mitä asiakas tarvitsee.
Informointivelvoitteen edellyttämät tiedot
EU:n lainsäätäjä on pitkälti ratkaissut yritysten puolesta sen, mitä asiakas tarvitsee. Tietosuoja-asetuksen 13-14 artikloissa luetellaan ne tiedot, jotka rekisteröidylle tulee toimittaa.
Olen purkanut tähän informointivelvoitteen sisällön kohta kohdalta. Toiset tiedot yrityksen on annettava asiakkaalleen aina, toisten antaminen riippuu henkilötietojen käsittelyn luonteesta.
Pakolliset tiedot
Yrityksen on aina annettava rekisteröidylle seuraavat tiedot:
Kun keräät tietoa henkilöltä itseltään | Kun keräät tietoa muualta kuin henkilöltä itseltään | |
Tieto rekisterinpitäjästä (eli yritys), ja yhteystiedot | ✓ | ✓ |
Käsittelyn tarkoitukset ja käsittelyperuste | ✓ | ✓ |
Henkilötietojen vastaanottajat tai vastaanottajaryhmät | ✓ | ✓ |
Henkilötietojen säilytysaika tai ajan määrittämiskriteerit | ✓ | ✓ |
Tieto rekisteröidyn oikeuksista ja oikeudesta tehdä valitus valvontaviranomaiselle | ✓ | ✓ |
Käsiteltävien henkilötietojen ryhmät (esim. yhteystiedot, pankkitiedot, luottotiedot jne.) | – | ✓ |
Mistä henkilötiedot on saatu | – | ✓ |
Käsittelyn luonteesta riippuvat tiedot
Nämä tiedot tulee antaa sen mukaan, minkä luonteista henkilötietojen käsittely on, tai jos organisaatiossa on nimitetty tietosuojavastaava:
- Tietosuojavastaava ja tämän yhteystiedot, jos yritys on nimittänyt sellaisen
- Tarkentavat tiedot käsittelyperusteesta:
- Jos käsittely perustuu rekisterinpitäjän oikeutettuun etuun, tieto kyseisestä oikeutetusta edusta
- Jos käsittely perustuu suostumukseen, tieto oikeudesta peruuttaa suostumus koska tahansa
- Jos käsittely perustuu lakisääteiseen velvoitteeseen, tieto kyseisestä velvoitteesta sekä siitä, onko rekisteröidyn pakko toimittaa henkilötiedot ja tietojen antamatta jättämisen mahdolliset seuraukset
- Jos käsittely on tarpeen sopimuksen vuoksi tai sellaisen tekemiseksi, sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tietojen antamatta jättämisen mahdolliset seuraukset
- Tieto profiloinnista ja automaattisesta päätöksenteosta, jos käsittelyyn sisältyy tällaisia toimia
- Jos henkilötietoja siirretään EU:n ulkopuolelle, tarkentavat tiedot tällaisista siirroista ja tietojen vastaanottajista.
Kuten huomaat, kumpikaan lista ei edellytä yrityksen kertovan, mitä se on konkreettisesti tehnyt tietoturvan eteen. Kannustan kuitenkin jokaista yritystä avaamaan näitä toimia asiakkailleen, sillä se parantaa informoinnin läpinäkyvyyttä ja yrityksen luotettavuutta.
Näiden tietojen kertomistapaan kannattaa panostaa. Positiivisen asiakaspalvelukokemuksen luomiseksi informaation esittämistapa on vähintään yhtä tärkeää, ellei jopa tärkeämpää, kuin informaation sisältö.
Miten esittää informaatio oikein?
Asiakaspalveluguru Dan Gingiss kirjoittaa arvostetussa Forbes-lehdessä, että erinomainen asiakaskokemus voidaan palauttaa kolmeen osatekijään. Gingissin mukaan asiakaskokemuksen tulisi olla mieluummin:
- Yksinkertainen kuin monimutkainen
- Nopea kuin hidas
- Hauska kuin tylsä.
Samassa julkaisussa Mathew Sweezey nostaa yhdeksi tärkeimmistä erinomaisen asiakaskokemuksen edellytyksistä kokemuksen “kitkattomuuden”. Kitkattomuudella Sweezey tarkoittaa jotakuinkin samaa kuin Gingiss sanoesaan, että asiakaskokemuksen tulee olla yksinkertainen ja nopea.
Yksinkertainen, nopea ja kitkaton. Sanalla sanoen: asiakaskokemuksen tulee olla asiakkaalle helppo.
Kuten alussa kerroin, myös tietosuoja-asetus edellyttää tiedon saamisen ja oikeuksien käyttämisen helppoutta. Vaikuttaa siltä, että erinomaisella asiakaskokemuksella ja GDPR:llä on jonkinlainen yhteys.
Vinkit selkeään informointiin – näin teet asiakaskokemuksesta helpon
Rekisteröidyn informointi on osa asiakaskokemusta. Miten teemme siitä asiakkaalle helppoa?
Tietenkin soveltamalla samoja periaatteita ja työkaluja kuin mitä käytämme minkä tahansa palvelun suunnittelemisessa asiakaslähtöiseksi. Nämä työkalut löytyvät palvelumuotoilijoilta ja heidän työtään kutsutaan palvelumuotoiluksi. Asiakaslähtöistä, palvelumuotoilun työkaluja hyödyntävää juridiikkaa puolestaan kutsutaan termillä legal design.
Tätä ajatusmallia hyödyntäen rekisteröidyn informointi – kuten melkein mikä tahansa juridinen asiakirja tai palvelu – voidaan laatia helposti ymmärrettävällä tavalla, kun keskitytään muutamaan yksinkertaiseen asiaan:
- Tiiviyteen
- Kielen selkeyteen ja havainnollistamiseen (esimerkein)
- Visualisointiin (esim. kuvat, symbolit, kaaviot, aikajanat jne.)
Tiiviys
Tiiviys saavutetaan selvittämällä, mitä tietoa asiakas todella tarvitsee. Kuten edellä esitin, tietosuoja-asetus kertoo meille valmiiksi, mitä tietoa asiakas tarvitsee (ks. yllä), joten meidän ei tarvitse vaivata sillä liikaa päätämme.
Mitä meidän kuitenkin täytyy tehdä, on tehdä jako toisaalta kaikista olennaisimpaan ja toisaalta hyödylliseen, mutta ei kriittiseen tietoon. Koska tietyt tiedot on tietosuoja-asetuksen mukaan pakko kertoa rekisteröidylle, emme voi kuitenkaan vain pudottaa tietoja pois. Sen sijaan voimme säädellä tiedon yksityiskohtaisuuden määrää.
Ideana on, että informointi etenee yleisestä yksityiskohtaiseen. Jos esimerkiksi keräämme henkilöistä yhteystietoja, kuten nimen, puhelinnumeron, sähköpostiosoitteen ja kotiosoitteen, voimme määritellä nämä tiedot ryhmäksi “Yhteystiedot”. Kun olemme saaneet tiedon ryhmiteltyä, kerrostamme tiedon.
Tiedon kerrostaminen tarkoittaa, että asiakasta ei hukuteta epärelevantin tiedon tulvaan, vaan hänelle tarjotaan ensin kaikkein olennaisin tieto tiiviissä yleiskatsauksessa. Toisin sanoen kerromme asiakkaalle ensin, että käsittelemme hänen “Yhteystietojaan”. Linkein ja muilla vastaavilla tavoilla tarjoamme hänelle sitten pääsyn yksityiskohtaisempaan informaatioon, josta selviää, mitä ryhmä “Yhteystiedot” tässä tapauksessa pitää sisällään. Näin asiakas saa myös itse päättää haluamansa informaation tarkkuuden.
Kielen selkeys
Juridiikka perustuu paljolti termeihin ja käsitteisiin, joille on laissa annettu tietty sisältö.Yrityksen keskivertoasiakas ei kuitenkaan tiedä, mitä mikäkin termi tarkoittaa.
Juridinen teksti muuttuu ymmärrettävämmäksi, kun lakitermit (esimerkiksi tässäkin kirjoituksessa esiintyvät rekisteröity tai rekisterinpitäjä) korvaa tavallisilla pronomineilla, kuten “sinä” ja “me”.
Toinen juristien yleisesti viljelemä pahe on passiivien käyttäminen. Passiiveista luopuminen selkeyttää kieltä olennaisesti ja kertoo täsmällisesti sen, kuka on oikeutettu tai velvoitettu ja mihin.
Vertaa vaikka seuraavia ilmaisuja:
“Rekisteröidyn tarkastusoikeus toteutetaan rekisteröidyn pyynnöstä. Tarkastuspyynnöt tulee jättää osoitteeseen tietosuoja@yritys.fi”.
TAI
“Voit pyytää meitä kertomaan, mitä tietoja meillä on sinusta. Voit jättää pyyntösi osoitteeseen tietosuoja@yritys.fi”.
Väitän, että keskivertokansalaisen mielestä jälkimmäinen ilmaisu on paitsi merkittävästi mukavampi lukea, myös helpompi ymmärtää.
Visualisointi
Tiedon visualisointi auttaa tiedon omaksumista. Tämä ei ole mielipide, vaan tohtori Stefania Passeran vuonna 2017 valmistuneessa, juridisten asiakirjojen visualisointia koskeneessa väitöskirjassaan osoittama tosiasia. Henkilöt, joille oli tarjottu visualisoitua tietoa (kuvin, kaavioin, symbolein ja aikajanoin), vastasivat sekä nopeammin että tarkemmin tiedon sisäistämistä koskeneissa testeissä.
Lähde: Passera, Stefania, Beyond the wall of contract text – Visualizing contracts to foster understanding and collaboration within and across organizations, 2017, s. 134.
Yhteenveto
Tarjoamalla informaatio tiiviisti ja kerrostettuna, selkeällä kielellä sekä visuaalisia apukeinoja hyväksikäyttäen, voimme tehdä tietosuoja-asetuksen edellyttämästä informaatiosta asiakkaalle helppoa.
Näillä aineksilla kykenemme luomaan asiakkaan mieleen positiivisen asiakaskokemuksen, ja sitä kautta vahvistamaan asiakassuhdetta.
On kuitenkin vielä kaksi tärkeää keinoa – ikään kuin kirsikkana kakun päälle – joilla kykenemme vahvistamaan positiivista asiakaskokemusta entisestään sekä vahvistamaan yrityksen brändiä.
Aivan kuten Kölnin yliopistossa tehty tutkimus kehotti taloudellista menestystä tavoittelevia yrityksiä tekemään.
Brändää informaatio
Jokaisella yrityksellä on oma brändi. Brändi voi olla vahva tai vähemmän vahva, mutta koskaan en ole vielä kuullut, että yrityksen brändi olisi liian vahva.
Miksi emme siis käyttäisi lainsäätäjän meille tarjoamaa tilaisuutta brändin vahvistamiseen? Jos tietosuoja-asetus edellyttää meitä viestimään asiakkaidemme kanssa, miksi emme tekisi tätä viestintää brändimme mukaisesti ja jopa sitä vahvistaen?
Toki avoin ja läpinäkyvä viestintä jo itsessään vahvistaa asiakkaiden luottamusta yritykseen. Tekemällä tietosuojaan liittyvästä viestinnästä yhdenmukaista yrityksen muun viestinnän kanssa voimme kuitenkin lisäksi osoittaa asiakkaille, että tietosuojavelvoitteet on otettu yrityksessä tosissaan ja integroitu saumattomasti yrityksen toimintaan (vrt. päälleliimatut rekisteriselosteet, evästeilmoitukset, suostumuspyynnöt ym).
Yksinkertaisimmillaan brändääminen on yrityksen muun viestinnän kanssa yhdenmukaisten logojen, värien ja fonttien käyttöä (usko pois, kokemuksemme mukaan tämä ei ole aina itsestäänselvää). Riippuen brändistä yritys on saattanut lisäksi luoda itselleen ja itsestään “tarinaa” ja sillä on ehkä julkisesti lausuttuja arvoja, tavoitteita ja missioita.
Jos haluat ottaa kaiken hyödyn irti tämän lakisääteisen velvoitteen täyttämisestä, tee rekisteröidyn informointi siten, että se liittyy saumattomasti yrityksesi muuhun ilmeeseen ja tarinaan.
Lopuksi jäljellä on vielä yksi tehokeino, ja vaikka se on haastavin, se saattaa hyvinkin olla myös tehokkain.
Älä pelkää käyttää huumoria
Muistatko vielä Dan Gingissin erinomaisen asiakaskokemuksen kolmannen käskyn?
“Ole mieluummin hauska kuin tylsä”.
Huumori liitetään älykkyyteen, itsevarmuuteen, se saa hyvälle tuulelle ja se jää mieleen. Ainakin onnistuessaan siis.
Huumori ei ole helppoa, eikä siihen myöskään ole mitään yleispätevää ohjetta, jonka voisi esittää blogauksessa: “Näin teet huumoria”.
Tästä syystä en yritäkään kertoa siitä muuta kuin tämän: älä pelkää käyttää huumoria.
Onnistuessaan se tuo valtavat hyödyt ja vaikka se epäonnistuisi.. no, onko se niin vakavaa?
TOP 5 vinkit rekisteröidyn informointiin
Lopuksi on hyvä vetää yhteen erinomaisesti toteutetun rekisteröidyn informoinnin salaisuudet ja miksi pyrkiä siihen.
Ensinnäkin, tieteellinen näyttö tukee sitä, että yritysten kannattaa panostaa hyvän asiakassuhteen luomiseen sekä brändin vahvistamiseen. Nämä korreloivat yrityksen taloudellisen menestyksen kanssa huomattavasti enemmän kuin esimerkiksi yrityksen markkinaosuus tai sen kasvattaminen.
Toiseksi, asiakasviestintä kaikissa muodoissaan, mukaan lukien rekisteröityjen informointi heidän henkilötietojensa käsittelystä, edesauttaa asiakassuhteen luomisessa, minkä lisäksi yritys voi käyttää sitä brändinsä vahvistamiseen. Asiakassuhteen ja brändin vahvistamiseksi yrityksen tulee pyrkiä luomaan positiivisia asiakaspalvelukokemuksia.
Kolmanneksi, asiakaspalvelukokemuksesta jää positiivinen mielikuva kun se on helppo. Helppous saavutetaan tarjoamalla tieto visuaalisesti, tiiviisti ja selkeällä kielellä.
Kirsikkana kakun päälle yrityksen kannattaa brändätä informointi kuten mikä tahansa muu yrityksen viestintä, sekä höystää se huumorilla saavuttaakseen maksimaalisen tehon informoinnin asiakassuhdetta ja brändiä vahvistavasta vaikutuksesta.
Näillä vinkeillä onnistut rekisteröidyn informoinnissa kuin itsestään:
- Selvitä, mitkä tiedot sinun on pakko kertoa rekisteröidylle. Keskittymällä olennaiseen pidät viestintäsi tiiviinä ja varmistat viestin perillemenon. Voit käyttää yllä olevaa listaa apuna selvittäessäsi, mitä tietoja yrityksesi tulee vähintään antaa rekisteröidyille.
- Tarjoa informaatio kerrostettuna. Anna ensin yleiskuva, mutta mahdollista uteliaille pääsy yksityiskohtaisempaan tietoon linkein ja muin vastaavin keinoin.
- Käytä selkeää kieltä ja esimerkkejä.
- Visualisoi informaatio kuvin, kaavioin ja symbolein.
- Brändää informointi – tee siitä yrityksesi näköinen.
Höystä lopputulos halutessasi huumorilla.
Autamme mielellämme
Me täällä Turre Legalilla olemme jo useiden kymmenien asiakkaidemme kanssa suunnitelleet heille informointikäytännöt, jotka ovat visualisoituja, selkokielisiä ja yrityksen brändin mukaisia. Visualisoidut informointikäytäntömme ovat olleet menestys ja niitä ovat kiittäneet niin asiakkaamme kuin ne ihmisetkin, jotka ovat niiden kautta saaneet tiedon omien henkilötietojensa käsittelystä.
Jos sinäkin haluat yrityksesi erottuvan joukosta ja jäävän positiivisella tavalla mieleen, ole rohkeasti yhteydessä. Autamme mielellämme.
Lisää tietosuojaa ja yksityisyyttä käsitteleviä artikkeleitamme löydät täältä: Tietosuoja ja yksityisyys.
Käytämme legal design – menetelmät näkyvät työmme jäljessä.