Laadukas tietosuoja vaatii varautumista ja jatkuvaa muutoksenhallintaa

Toimiva tietosuoja on yhteisen toiminnan tulos. Sen toteuttaminen vaatii yhteistä halua ja syvällistä perehtymistä sen vaatimuksiin. Oikein hoidettuna se lisää yrityksen luottamuspääomaa ja tukee liiketoiminnan kehittämistä.

Euroopan unionin uusi tietosuoja-asetus (GDPR) astui voimaan toukokuussa 2016 ja sitä sovelletaan 25. toukokuuta 2018 lähtien. Asetuksen tarkoituksena on vahvistaa yksilöiden oikeuksia, sekä asettaa tarkemmat rajat rekisterinpidolle ja henkilötietojen käsittelylle. Asetus kohdistuu lähes kaikkeen henkilötietojen käsittelyyn ja sitä sovelletaan lähes kaikkialla, jossa henkilötietoja tavalla tai toisella käsitellään, kuten yrityksissä, terveydenhuollossa, pankeissa, kouluissa, taloyhtiöissä ja jäsenseuroissa.

Vaikka tietosuoja-asetuksen yrityksille aiheuttamasta työmäärästä puhutaan paljon, Asianajotoimisto Castrén & Snellmanin tieto- ja yksityisyydensuojaan erikoistuneen asianajajan Eija Warman mukaan kaikki ei suinkaan muutu vaan tietojen käsittelyn ydin pysyy hyvin samankaltaisena kuin tänäkin päivänä.

– Sääntelyä on ollut jo pitkään. Tietosuoja-asetus terävöittää molempien osapuolten tekemistä. Rekisterinpitäjät joutuvat olemaan tarkempia ja yksityishenkilöt saavat enemmän mahdollisuuksia vaikuttaa omien tietojensa käsittelyyn, Warma sanoo.

Warma kirjoittaa parhaillaan yhdessä viestintäoikeuden professori Päivi Korpisaaren ja IPR University Centerin tutkimusjohtajan sekä Aalto-yliopiston ja Helsingin yliopiston dosentin Olli Pitkäsen kanssa Uusi tietolainsäädäntö –kirjaa muuttuvasta sääntelystä. Alma Talent julkaisee sen huhtikuussa.

Henkilötietojen käsittelyä koskeva henkilötietolaki säädettiin vuonna 1999. Sen tarkoituksena on ollut toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsitellessä ja edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Kaikkien yritysten toiminta ei kuitenkaan ole nykylain edellyttämällä tasolla. Warma havainnollistaa asiaa: jos tietosuojatoiminta asetettaisiin nollasta sataan ulottuvalle janalle, toimijoiden pitäisi jo olla tasolla 80. Todellisuudessa monen taso on selvästi alhaisempi. Syitä tähän on monia.

– Nyt tuleva muutos liittyy siihen, että takamatka on kurottava umpeen ja sen lisäksi on tehtävä ekstrahyppäys tietosuoja-asetuksen edellyttämälle henkilötietojen käsittelytasolle. Ja tämä on se muutos, josta niin paljon puhutaan.

Vaatii riskiarviointia, mutta tuo myös mahdollisuuksia

Uusi asetus edellyttää yrityksiltä ja muilta rekisterinpitäjiltä oman toiminnan arviointia riskiperusteisesti. Oleellista on ymmärtää, mitä henkilötietoja yritys pitää hallussaan, ja arvioida, millaisen riskin tietojenkäsittely aiheuttaa kyseisille yksilöille.

Warma huomauttaa, että markkinointitarkoituksiin kerättyjä sähköpostiosoitteita ei tarvinne säilöä miinoitettuun maabunkkeriin, mutta esimerkiksi perimätietojen huolellinen säilyttäminen on todella tärkeää.

Uusi tietosuoja-asetus tuo myös uusia mahdollisuuksia. Warman mukaan yritykset pystyvät hyödyntämään hallussaan olevia tietoja aiempaa paremmin esimerkiksi liiketoiminnan kehittämisessä ja vanhentuneiden asiakastietojen päivittäminen ajantasaisiin auttaa yrityksiä saamaan markkinointiviestintäänsä perille. Tämä ei niinkään johdu muuttuvista vaatimuksista vaan ennemminkin ryhtiliikkeen tekemisestä tietojenkäsittelytoimissa.

Alma Talentin liiketoimintajohtaja Maria Ampiala huomauttaa, että aiemmin henkilötietojen käsittely ei ole ollut EU:n sisällä yhtenäistä. Muutos voi helpottaa esimerkiksi yritystoiminnan laajentamisessa ulkomaille.

Lisäksi Ampiala huomauttaa, että lain noudattamisen voi kääntää maine-edukseen. Kun asiakas luottaa yritykseen, hän on valmiimpi antamaan sille lisää tietoja itsestään.

Warman mielestä pahin riski, mikä tietosuoja-asetuksen vaatimusten noudattamatta jättämiseen liittyy, onkin maineenmenetys.

– Kun tietoisuus tietosuojasta kasvaa, uskon, että yksilöt alkavat esittämään enemmän kysymyksiä rekisterinpitäjille.

Mikäli yritys ei noudata uutta asetusta, viranomainen voi puuttua asiaan. Se voi esimerkiksi kieltää palveluiden käytön ja tietojen hyödyntämisen sekä viime kädessä määrätä hallinnollisia seuraamusmaksuja.

– Rikoslaissa on myös tietyt pykälät: voi syyllistyä rikokseen ja tulla tuomituksi. Yksilöt voivat myös vaatia vahingonkorvausta väärintoimijalta, mikäli he voivat osoittaa kärsimänsä vahingon toteen, Warma sanoo.

Tietosuoja on kaikkien asia

Missä vaiheessa yritysten ja muiden rekisterinpitäjien pitäisi sitten alkaa varautua muutokseen? Warman mielestä se riippuu toimijan nykytilanteesta. Joka tapauksessa omaa toimintaa on syytä tarkastella pikaisesti, ellei ole sitä vielä tehnyt.

– Kyseessä ei ole mikään tietosuojaprojekti, josta voisi ajatella, että tehdään sitten toukokuussa asiat kuntoon. Hyvä ja laadukas tietosuojan toteuttaminen vaatii muutosta ja on jatkuvaa tekemistä.

Ampialan mielestä valistunut, henkilötietoja keräävä ja käsittelevä yritys kertoo, mihin se niitä tarvitsee. Hän huomauttaa, että kuluttajia on moneen lähtöön: esimerkiksi nuoret voivat olla tottuneita tietojen keräämiseen, mutta vanhemmat sukupolvet saattavat olla varovaisempia.

Alma Talent tarjoaa koulutuksia, joiden tavoitteena on auttaa yritysten henkilökuntaa ymmärtämään tietosuoja-asetusta. Koulutuksia on nyt listattuna noin viisitoista.

– Meillä alkaa muun muassa kolmatta kertaa tietosuojavastaavan koulutusohjelma, jonka suunnittelussa on mukana myös tietosuojavaltuutettu Reijo Aarnio, Ampiala sanoo.

Koulutusten tavoitteena on, että osallistujat ymmärtäisivät, mitä muutoksia on tulossa, ja päivittäisivät tietojenkäsittelytaitonsa vaaditulle tasolle. Ampialan mielestä kaikkien, jotka suoraan tai epäsuorasti tekevät henkilötietoihin liittyviä töitä, olisi hyvä päivittää osaamisensa.

– Se ei ole vain johdon asia.

Warma huomauttaa, että organisaatioissa usein ajatellaan tietosuojan toteuttamisen olevan lakiosaston vastuulla.

– Kuitenkin eri toiminnot yrityksessä osallistuvat henkilötietojen käsittelyyn ja liiketoiminta useimmiten omistaa tiedot. Helposti asiaa pallotellaan ja kuvitellaan, ettei tämä ole kenenkään asia, vaikka oikeasti se on kaikkien asia.

Jaa artikkeli