Tietosuoja-asiantuntijat näkevät uudistuksessa ennen kaikkea hyötyjä
EU:n GDPR tietosuoja-asetus parantaa yksityishenkilöiden tietoturvaa, mutta tiedätkö sinä, minkälaisia toimenpiteitä asetus vaatii sinun yrityksessäsi? Kaisanetin tietosuoja-asiantuntija tietää.
Tietosuoja-asetus on henkilötietolain jatke, ja se yhtenäistää henkilötietojen käsittelyä EU:ssa. Samalla parantaa yksityishenkilöiden tietoturvaa.
”Asetuksen ansiosta jokaisella yksityishenkilöllä on oikeus määrätä omista henkilötiedoistaan ja saada yrityksiltä selvitys niiden keräämisestä, säilyttämisestä ja käytöstä”, toteaa Kaisanetin yritysliiketoimintajohtaja Marko Kallio. ”Henkilö voi esimerkiksi kieltää tietojensa käytön tai pyytää tietojen siirtämistä toiselle yritykselle. On kuitenkin hyvä muistaa, ettei asetus koske yritysten välisiä asioita. Niistä sovitaan jatkossakin erikseen sopimuksilla.”
Tietosuoja-asetus parantaa kuluttajien tietoturvaa
EU:n tietosuoja-asetus astui voimaan jo vuonna 2016 sitten, mutta siirtymäaika umpeutui 25.5.2018. Sen jälkeen asetus on ollut virallisesti käytössä kaikissa EU-maissa.
”Yritykset, joissa käsitellään paljon henkilötietoja, siirtyivät tietosuoja-asetuksen mukaiseen toimintaan ensimmäisenä, ja esimerkiksi suoramarkkinoinnissa monet ovat noudattaneet asetuksen käytäntöjä jo puolen vuosikymmentä” kertoo Kaisanetin tuotepäällikkö Toni Keränen. ”Asetus esimerkiksi vaatii, että markkinointiviestin saajalla on mahdollisuus kieltäytyä viesteistä tai jättäytyä pois yrityksen asiakasrekisteristä jatkossa.”
”Lähtökohtaisesti jokaisella yrityksellä on vähintään kaksi rekisteriä, asiakas- ja työntekijärekisteri”, Keränen toteaa. ”Suurin vaikutus asetuksella on ollut kuitenkin yrityksiin, joissa käsitellään kriittisiä tietoja, kuten terveystietoja, alaikäisten lasten henkilötietoja tai tietoja, jotka kertovat vaikkapa puoluevakaumuksen tai jäsenyyden ammattiliitossa.”
Miksi henkilöiden tietoturva kaipaa lisäsuojaa?
Tietosuoja-asetus täydentää henkilötietolaissa kohtia, jotka liittyvät digitalisaatioon ja tietotekniikan kehittymiseen. Asetus varmistaa, että yksityishenkilö omistaa oikeuden omiin tietoihinsa, vaikka tietoja keräisi suurorganisaatio, kuten Google tai Facebook.
”Jo lähes kaikissa yrityksissä kerätään, käsitellään ja jaetaan henkilötietoja sähköisten rajapintojen, verkon ja pilvipalvelujen kautta”, Kallio toteaa. ”Niin Suomesta kuin maailmaltakin löytyy esimerkkejä tietovuodoista ja identiteettivarkauksista. Asetus onkin keino saada yritykset suunnittelemaan tarkemmin, kuka henkilötietoja saa käsitellä, milloin ja millä keinoilla.”
Käytä tietoturva-asioissa maalaisjärkeä!
Tietosuoja-asetuksen ei ole kuitenkaan tarkoitus lisätä byrokratiaa tai hankaloittaa kaupankäyntiä.
”Asetuksen suhteen kannattaa käyttää maalaisjärkeä ja kysyä epäröimättä apua”, Keränen toteaa. ”Tarkkaa rajanvetoa ei ole vielä olemassa, mutta esimerkiksi käyntikortin vastaanottaminen ei vastaa henkilötietojen luovutusta eikä paperille kirjoitettu sähköpostiosoite ole henkilörekisteri. Rekisteri tarkoittaa esimerkiksi 20 henkilön henkilötietojen tallentamista tietokoneelle ja tietojen käsittelyä yrityksessä.”
Kaisanetin IT-palvelut yritysten tukena
Vastuu asetuksen noudattamisesta on aina yrityksellä, ja Kaisanetilläkin on oma tietosuojavastaava.
”Olemme perehtyneet asetukseen juurta jaksain, koska aina on parempi varmistaa oman toiminnan taso kuin ottaa se riski, että joku tekee tietoturvarikkomuksesta valituksen tietosuojaviranomaiselle, Kallio kertoo. ”Sanktio voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen globaalista liikevaihdosta.”
Kaisanet tarjoaa osaamistaan myös muille yrityksille.
”Tietosuoja-asiantuntija auttaa hallitsemaan riskejä kartoittamalla aluksi yrityksen lähtötilanteen eli minkälaisia tietoja yrityksen tietojärjestelmät sisältävät. Sitten opastamme asetuksen edellyttämään toimintaan, esimerkiksi henkilökuntaa kouluttamalla, ja tuemme asiakasta asetuksen noudattamisessa.”
”Päämäärämme on tuottaa yritysasiakkaillemme huoletonta arkea”, Keränen kiteyttää. ”Tietosuoja-asiantuntijamme sitoutuvatkin asiakkaidemme yritystoiminnan kehittämiseen pitkäjänteisesti. Kuluttajien henkilötietojen turvallinen käsittely on yksi osa yrityksen toiminnan parantamista.”
Tietosuojavaltuutetun toimistosta vastaa kysymyksiin GDPR:stä
Tutustu Suomen Yrittäjien julkaisemiin oppaisiin täällä