Kaisanet Oy

Uusi EU:n tietosuoja-asetus (GDPR) koskettaa jokaista

Tietosuoja-asiantuntijat näkevät uudistuksessa ennen kaikkea hyötyjä
Juuri nyt monissa yrityksissä mietitään EU:n uuden GDPR tietosuoja-asetuksen tuomia vaatimuksia. Tarkoituksena on parantaa yksityishenkilöiden tietoturvaa, mutta tiedätkö sinä, minkälaisia toimenpiteitä asetus vaatii sinun yrityksessäsi? Kaisanetin tietosuoja-asiantuntija tietää.

Tietosuoja-asetus on henkilötietolain jatke, ja sen tavoitteena on yhtenäistää henkilötietojen käsittelyä EU:ssa. Samalla parannetaan yksityishenkilöiden tietoturvaa.

”Asetuksen ansiosta jokaisella yksityishenkilöllä on oikeus määrätä omista henkilötiedoistaan ja saada yrityksiltä selvitys niiden keräämisestä, säilyttämisestä ja käytöstä”, toteaa Kaisanetin liiketoimintajohtaja Marko Kallio. ”Henkilö voi esimerkiksi kieltää tietojensa käytön tai pyytää tietojen siirtämistä toiselle yritykselle. On kuitenkin hyvä muistaa, ettei asetus koske yritysten välisiä asioita. Niistä sovitaan jatkossakin erikseen sopimuksilla.”

Tietosuoja-asetus parantaa kuluttajien tietoturvaa


Uusi tietosuoja-asetus astui voimaan jo kaksi vuotta sitten, mutta siirtymäaika umpeutuu 25. päivä toukokuuta. Sen jälkeen asetus on virallisesti käytössä kaikissa EU-maissa.

”Yritykset, joissa käsitellään paljon henkilötietoja, ovat jo alkaneet siirtyä tietosuoja-asetuksen mukaiseen toimintaan, ja esimerkiksi suoramarkkinoinnissa monet ovat noudattaneet asetuksen käytäntöjä jo kauan” kertoo Kaisanetin palvelupäällikkö Toni Keränen. ”Asetus esimerkiksi vaatii, että markkinointiviestin saajalla on mahdollisuus kieltäytyä viesteistä tai jättäytyä pois yrityksen asiakasrekisteristä jatkossa.”

Pienissä yrityksissä uuden asetuksen ei ole välttämättä ymmärretty koskevan myös heitä.

”Lähtökohtaisesti jokaisella yrityksellä on vähintään kaksi rekisteriä, asiakas- ja työntekijärekisteri”, Keränen toteaa. ”Suurin vaikutus asetuksella on kuitenkin yrityksiin, joissa käsitellään kriittisiä tietoja, kuten terveystietoja, alaikäisten lasten henkilötietoja tai tietoja, jotka kertovat vaikkapa puoluevakaumuksen tai jäsenyyden ammattiliitossa.”

Miksi henkilöiden tietoturva kaipaa lisäsuojaa?


Tietosuoja-asetus täydentää henkilötietolaissa kohtia, jotka liittyvät digitalisaatioon ja tietotekniikan kehittymiseen. Asetus varmistaa, että yksityishenkilö omistaa oikeuden omiin tietoihinsa, vaikka tietoja keräisi suurorganisaatio, kuten Google tai Facebook.

”Jo lähes kaikissa yrityksissä kerätään, käsitellään ja jaetaan henkilötietoja sähköisten rajapintojen, verkon ja pilvipalvelujen kautta”, Kallio toteaa. ”Niin Suomesta kuin maailmaltakin löytyy esimerkkejä tietovuodoista ja identiteettivarkauksista. Asetus onkin keino saada yritykset suunnittelemaan tarkemmin, kuka henkilötietoja saa käsitellä, milloin ja millä keinoilla.”

Käytä tietoturva-asioissa maalaisjärkeä!


Tietosuoja-asetuksen ei ole kuitenkaan tarkoitus lisätä byrokratiaa tai hankaloittaa kaupankäyntiä.

”Asetuksen suhteen kannattaa käyttää maalaisjärkeä ja kysyä epäröimättä apua”, Keränen toteaa. ”Tarkkaa rajanvetoa ei ole vielä olemassa, mutta esimerkiksi käyntikortin vastaanottaminen ei vastaa henkilötietojen luovutusta eikä paperille kirjoitettu sähköpostiosoite ole henkilörekisteri. Rekisteri tarkoittaa esimerkiksi 20 henkilön henkilötietojen tallentamista tietokoneelle ja tietojen käsittelyä yrityksessä.”

Kaisanetin IT-palvelut yritysten tukena


Vastuu asetuksen noudattamisesta on aina yrityksellä, ja Kaisanetilläkin on oma tietosuojavastaava.

”Olemme perehtyneet asetukseen juurta jaksain, koska aina on parempi varmistaa oman toiminnan taso kuin ottaa se riski, että joku tekee tietoturvarikkomuksesta valituksen tietosuojaviranomaiselle, Kallio kertoo. ”Sanktio voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen globaalista liikevaihdosta.”

Kaisanet tarjoaa osaamistaan myös muille yrityksille.

”Tietosuoja-asiantuntija auttaa hallitsemaan riskejä kartoittamalla aluksi yrityksen lähtötilanteen eli minkälaisia tietoja yrityksen tietojärjestelmät sisältävät. Sitten opastamme asetuksen edellyttämään toimintaan, esimerkiksi henkilökuntaa kouluttamalla, ja tuemme asiakasta asetuksen noudattamisessa.”

”Päämäärämme on tuottaa yritysasiakkaillemme huoletonta arkea”, Keränen kiteyttää. ”Tietosuoja-asiantuntijamme sitoutuvatkin asiakkaidemme yritystoiminnan kehittämiseen pitkäjänteisesti. Kuluttajien henkilötietojen turvallinen käsittely on yksi osa yrityksen toiminnan parantamista.”


Lue aiheesta myös Yrittäjäsanomista 2/2018!

Tutustu Suomen Yrittäjien julkaisemaan tietosuojaoppaaseen.

Bonsky