Valmistaudu uuteen tietosuojaan

|

Tietosuojan uudistus on näkynyt hyvin julkisessa keskustelussa ja uusia koulutustilaisuuksia putkahtaa kuin sieniä sateella, kuten varmaankin olet huomannut. Tietoa tarvitaan kyllä, mutta millainen tieto on oikeasti tarpeellinen sinulle, tavalliselle pienyrittäjälle tai yksinyrittäjälle?

Jo pelkästään kirjainyhdistelmä GDPR voi olla sinulle vieras puhumattakaan useista EU-asetuksen käyttämistä vieraista sanoista. EU:n tietosuoja-asetus on siis nimeltään General Data Protection Regulation ja se tulee voimaan Suomessakin 25.5.2018. Se koskee lähes kaikkia suomalaisia yrityksiä niiden koosta riippumatta – mukaan lukien sinun yrityksesi.

Miksi uusi tietosuoja pelottaa?

Tulevia muutoksia

Tietosuoja-asetus kiristää yritysten tietosuojaan liittyviä vaatimuksia. Samalla se asettaa yrityksellesi niin sanotun “syyllisyysolettaman”. Yrityksesi on asetuksen voimaan tultua pystyttävä osoittamaan, että se noudattaa EU:n tiukentuneita tietosuojavaatimuksia. Tämä osoittamisvelvollisuus on valvovaa viranomaista kohtaan olemassa, vaikka mitään tietoturvaan liittyvää ongelmaa ei olisikaan yrityksessä ilmaantunut. Tämän lisäksi sinun on oma-aloitteisesti ilmoitettava merkittävistä tietomurrosta.

Sanktiot

Tietosuoja muuttuu ja vaatimukset tiukkenevat. Sen lisäksi tietosuojarikkomuksesta voidaan määrätä sakkoja, jonka maksimimäärä on 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta. Enimmäismäärä on näistä se summa, joka on suurempi. Sakkojen lisäksi asetuksen mukaan on olemassa myös vahingonkorvausvelvollisuus.

Esimerkiksi jos Suomessa toimivan yrityksesi liikevaihto on 100.000,00 tai vaikkapa 30.000,00 euroa, voidaan tietosuojarikkomuksesta määrätä yrityksellesi enimmillään 20 miljoonan euron suuruinen sakko. Ups.

Onneksi tällaista sanktiota ei tarvitse ensimmäisenä odottaa, vaikka tietosuojassa olisikin puutteita. Sakkojen lisäksi uusia sanktioita ovat myös esimerkiksi huomaututs ja henkilötietojen käsittelyn keskeyttäminen. Jättisakot eivät siis ole todennäköisin sanktiovaihtoehto normiyrittäjälle.

Nykytila

Yleisesti yksi suurimpia huolenaiheita on se, että yritysten tietosuoja ei ole tällä hetkellä edes nykyisen lainsäädännön tasolla. Yrityksillä on siis runsaasti kurottavaa, jotta saadaan tietosuoja paitsi nykyisten myös uusien tiukennettujen vaatimusten mukaisiksi. Tämä ongelma on kansainvälinen, kuten alla olevasta lainauksestakin ilmenee.

Yrityksissä 70 % työntekijöistä pääsevät käsiksi tietoihin, joihin heillä ei lain mukaan pitäisi olla pääsyä.

“70% of employees have access to data they should not”
What’s Your Data Strategy? Harvard Business Review, May-June 2017.

Tämäkään lohduttava tieto ei kuitenkaan poista juuri Sinun yrityksesi vastuuta tietosuojan lainmukaisuudesta, valitettavasti.

Saako kirjoituksista ja koulutuksista apua?

Tietosuoja-aiheesta löytyy myös internetistä maksuttomia kirjoituksia, joiden mainostetaan kertovan ymmärrettävästi uusien GDPR -säännösten kiemurat. Kuitenkin niissä käytetään asetuksen kimuranttia tekstiä usein sellaisenaan ja yleensä sen vuoksi, että kirjoittaja ei itsekään ole sisäistänyt käsitteen todellista käytännön merkitystä.

Sama koskee useimpia tietosuojakoulutuksia. Mikä on sellaisen koulutuksen arvo, jossa referoidaan suomen kielellä muutamia kohtia 99 artiklaa sisältävästä 200 sivuisesta asetuksesta? Tai jossa kaupallisen tietoturvapalveluita tarjoavan organisaation edustaja selostaa uusia säännöksiä omien palveluidensa tarvetta perustellakseen?

Koulutuksiin osallistujat ovat saaneet mukaansa mielenkiintoisia urbaaneja legendoja. Kuten esimerkiksi sen, että tietosuoja ei missään tapauksessa koskisi sellaisia yrityksiä, joilla on vain yritysasiakkaita. Näinhän se ei ole.

Vaikka lukisit kaikki artikkelit ja kävisit kaikki tarjolla olevat koulutukset, et mitä ilmeisimmin saa juuri sinun yrityksesi toiminnan kannalta riittävästi tietoa. Ja sen lisäksi saat mitä ilmeisimmin myös ristiriitaista tietoa.

Tiedon hankinnan lisäksi sinun on vielä muutettava oman yrityksesi toiminta ja tekniset ratkaisut uuden lain vaatimusten tasolle. Ja kaiken lisäksi vielä laadittava tai päivitettävä tietosuojaselosteet. Kuka tekee tämän kaiken työn puolestasi 25.5.2018 mennessä?

Miten siis oikeasti valmistaudut uudistukseen?

Tiedonhankinnan lisäksi on korkea aika ryhtyä käytännön toimiin, jotta yrityksesi on valmis ottamaan vastaan uuden tietosuoja-asetuksen sen voimaan tullessa 25.5.2018.

Jos tämä kirjoitus on mielestäsi ymmärrettävää tekstiä, ovat myös GDPR -palvelumme sinulle sopivia.

Tiesitkö, että tietosuojasta voi tehdä myös yrityksen menestystekijän? Lisätietoa löydät artikkelistani GDPR on yrityksen kilpailuvaltti.

Tietosuojaterveisin Inga Koskinen.

Yksi kommentti artikkeliin ”Valmistaudu uuteen tietosuojaan

  1. Verkkokaupassamme on uutuustuotteena käytännön konkreettisia vinkkejä sisältävä tietosuojaopas sekä tietosuojaselosteen malliasiakirja. Helppo ja edullinen tapa tietosuojan haltuunottoon!

Jätä kommentti