GDPR on täällä! Mitäs nyt?

gdpr_on_taalla_mitas_nyt

Jokainen meistä on jo varmaan kuullut kyllästymiseen asti, että Euroopan Unionin laajuisen yleisen tietosuoja-asetuksen eli GDPR:n soveltaminen alkaa 25. toukokuuta. Asetus on ollut paljon esillä kevään aikana niin mediassa, internetissä, messuilla kuin seminaareissa, eikä sen periaateisiin tai velvoitteisiin ole voinut olla törmäämättä. Valitettavasti kaikki tämä jatkuva asian esillä olo on nostanut pintaan paljon väärinkäsityksiä ja pelkoja siitä, mitä oikein tapahtuu.

Ajatuksena avoimuuden lisääminen

Tämän asetuksen tarkoituksena ja periaatteena on lisätä henkilötietojen käsittelyn avoimuutta sekä vahvistaa kaikkien meidän oikeutta valvoa omien henkilötietojemme käsittelyä. Nämä ovat erinomaisia asioita ja kuuluvat meidän kaikkien perusoikeuksiin. Mitä lähemmäksi tulemme toukokuun loppua, sen useampi meistä on käytännössä jo päässyt tekemisiin asetuksen kanssa. Facebookissa, Instragramissa, LinkedInissä ja muissa sosiaalisen median palveluissa on tietokoneen ruuduille ilmestynyt viimeisten viikkojen aikana ”pakkosyöttönä” näiden palvelutoimittajien uudet asetuksen mukaiset käyttöehdot, jotka ovat saattaneet tulla hyväksytyksi käyttöehtoja lukematta.

GDPR-kärpäsestä härkänen

GDPR:stä on julkisessa keskustelussa ollut paljon pelottelua ja väärinkäsityksiä. On esimerkiksi oletettu, että osa yrityksistä on täysin valmistautumattomia asetuksen soveltamiseen, yritysten henkilötietoja sisältävät rekisterit sisältäisivät paljon vanhentuneita ja rekistereihin kuulumattomia henkilötietoja, tai että meno ylipäätään olisi kuin villissä lännessä.

En kuitenkaan näe, että tilanne suomalaisissa yrityksissä on todellisuudessa näin huono. Monella on varmasti vielä tehtävää oman yrityksensä asetuksenmukaisuuden varmistamisessa, eikä tämä työ suinkaan pääty tähän kevääseen tai vuoteen. GDPR edellyttää säännöllisten prosessien ja toimintamallien luomista, ja sen tulisikin olla samanlainen säännöllinen yritystoiminnan tukiprosessi kuin esimerkiksi taloudenohjaus ja myynninseuranta. GDPR:n huomioiminen pitäisikin nähdä yrityksissä uskottavuutta ja luottamusta herättävänä kilpailuetua, sillä GDPR:n asettamien velvoitteiden asianmukainen hoito ja siitä viestiminen vahvistaa yrityksen ja sen sidosryhmien välistä luottamusta.

Maalaisjärki ja apuvälineet riittää

Asetuksenmukaisuuden varmistaminen ei vaadi juristin pätevyyttä. Tästä syystä väitänkin, että asetus ei edellytä yrityksiltä mitään sellaista, mihin yrityksillä ei olisi sisäisiä valmiuksia. Yksinkertaisin tapa edetä yrityksen selvityksen kanssa on tehdä:

  1. Tee yrityksessäsi tietoinventaario. Selvitä esimerkiksi, missä kaikissa paikoissa ja järjestelmissä ylläpidetään henkilötietoja, mitä ja minkälaisia tietoja kerätään ja miten tietoa säilytetään, tuhotaan tai luovutetaan yrityksen ulkopuolisille henkilöille.

  2. Listaa kaikki yrityksesi käyttämät alihankkijat, kumppanit ja ulkopuoliset palvelutarjoajat. Näitä ovat muun muassa tilitoimisto, IT-palveluntarjoajat sekä rekrytointikumppanit. Kumppaneilta tulisi ainakin varmistaa, onko heillä oikeudet päästä henkilötietoihin, kumpi osapuoli on rekisterin ylläpitäjä ja onko kumppanilla tietoturvavasta vastaavaa henkilöä.

  3. Tarkista tai laadi kirjalliset tietosuojasäännöt ja prosessit. Asetuksessa linjataan selkeästi, että henkilötietojen käsittelylle on luotava kirjatut säännöt ja prosessit. Lisäksi yritysten on pystyttävä osoittamaan, että näitä myös noudatetaan. Näitä kirjattavia asioita ovat muun muassa tieto siitä, ketkä ovat oikeutettuja pääsemään käsiksi rekistereihin ja miksi.

  4. Muista tarkistaa yrityksesi tietoturva. Asetus edellyttää, että henkilörekisterit on suojattu kunnollisella tietoturvalla ja "modernien tietoturvaratkaisujen avulla". Yrityksen tietohallinnon tulee dokumentoida muun muassa tietosuojaan liittyvä käyttäjien hallinta, ohjelmistojen ja palvelinten tietoturva sekä asianmukainen varmuuskopiointi.

  5. Luo säännölliset prosessit tietosuoja-asetuksen velvoitteiden ylläpitoon. Asetuksen noudattaminen ei pääty vuoteen 2018 tai siihen hetkeen, kun yrityksessä on tehty kaikki tarvittavat toimenpiteet. Jokaisen yrityksen pitää luoda ne prosessit, vastuut ja käytännöt, joilla voidaan varmistaa, että jatkossakin noudatetaan dokumentoituja sääntöjä ja toimintatapoja sekä varmistetaan tietotosuojasta huolehtiminen.

Konsulteista ja työkaluista hyvä apu yritykselle

GDPR:n myötä on markkinoille tullut useita asiantuntijapalveluja ja tietosuoja-asetuksen velvoitteiden hoitoon tarkoitettuja pilvipalveluita. Olen kuitenkin kuullut yrityksiltä valitettavan paljon palautetta, että jälleen kerran palveluntarjoajat rahastavat velvoitteella nyt, kun asia on pinnalla. Itse näen kuitenkin ulkopuoliset asiantuntijat ja pilvipalvelutarjoajat positiivisena lisänä ja apuna yrityksille, jotka tuskailevat selvityksensä kanssa tai tarvitsevat ulkopuolisen apua luodakseen kunnolliset prosessit, vastuut ja käytännöt omasta tietosuojastaan huolehtimiseen. Yrityksissä kannattaa miettiä, tarvitaanko GDPR:n suhteen apua, jotta kaikki oleellinen tieto pysyy hyvin tallessa ja hallinnassa.

Markkinoilla on useita eri hintaisia ja tasoisia palveluntarjoajia, joista onneksi valtaosaan pääsee tutustumaan etukäteen ennen ostopäätöstä. Tarjolla olevien palveluiden vertailussa voi hyödyntää myös internetiä, sosiaalista mediaa tai Tivi-lehden GDPR-työkalujen vertailua. Jos omaa osaamista, mielenkiintoa tai ylimääräistä aikaa ei GDPR:ää kohtaan ole, on apua hyvä hankkia jostain muualta.

Tutustu GDPR:n vaatimuksiin lisää täällä


Antti-Eemeli Mäkinen

Antti-Eemeli Mäkinen

Antti on pitkän linjan tilaajavastuulainen, jolle on kertynyt laaja tietämys palveluistamme. Tällä hetkellä hän on keskittynyt erityisesti edistämään kiinteistö- ja rakennusalan digitalisaatiota sekä yhteistyötä partnereiden kanssa.

Katso kaikki hänen kirjoituksensa