top of page

Elämää GDPR:n jälkeen – mikä on muuttunut?


Toukokuussa 2018 sovellettavaksi tullut EU:n yleinen tietosuoja-asetus (GDPR) on vaikuttanut monin tavoin suomalaistenkin yritysten toimintaan. Harmailta hiuksilta ei ole täysin vältytty, mutta ainakin yksi selvä muutos parempaan on uudistuksen myötä saatu: yrityksissä ymmärretään paremmin, miten tärkeää henkilötietojen oikeaoppinen käsittely on. Moni yritys on alkanut ymmärtää, että tietosuoja-asetuksen vaatimukset eivät ole pelkkä välttämätön paha, vaan niistä saa myös konkreettisia hyötyjä liiketoiminnalle.

– Asiallinen ja turvallinen henkilötietojen käsittely on myös osa yrityksen imagoa. Se rakentaa osaltaan asiakkaan luottamusta. Varsinkin terveydenhuollon, pankkien tai vakuutusyhtiöiden toimialoilla on luotettavuudella elintärkeä merkitys. Lisäksi tietosuoja-asetus edellyttää yrityksiä varmistamaan, että kerätyt tiedot ovat oikeita ja niiden käsittelylle on oikeat perusteet. Kun oikeat tiedot ovat oikeassa paikassa, vähentää se sähläystä yrityksissä. Päätökset ja toimenpiteet pystytään tekemään paikkansapitävien tietojen perusteella, kertovat Secraysin asiantuntijat Marita Touru ja Janne Valo.

Yhdenmukainen lainsäädäntö helpottaa yritysten toimintaa

GDPR ei tuonut sääntelyä mullistavia muutoksia, vaan lähinnä kyse on yhteisten pelisääntöjen luomisesta. Uusi asetus helpottaa erityisesti monessa maassa toimivia yrityksiä. Nyt tietosuojavaatimukset ovat samat koko EU:n alueella. Joitain asioita on jätetty kansallisesti päätettäväksi, mutta huomattavasti vähemmän kuin aikaisemmissa, kansallista lainsäädäntöä ohjaavissa direktiiveissä.

Suomessa aiemmin voimassa ollut henkilötietolaki sisälsi pääpiirteissään samanlaisia vaatimuksia. Janne Valon mukaan mitään mittavia toimenpiteitä ei yrityksissä olisi tarvittu, jos vanhan henkilötietolain vaatimukset olisivat olleet hoidossa jo valmiiksi. Toisaalta asetuksen vaatimukset ovat pistäneet monet firmat miettimään asiaa nyt vähän tarkemmin, vaikka kaikki olisikin sinällään kunnossa.

Asiakkaat vaalivat yksityisyyttään aiempaa tarkemmin

Asetuksen tärkeä vaikutus on ollut myös se, että kansalaiset ovat alkaneet kiinnittää tarkempaa huomiota oikeuksiinsa. Siitä syystä yritysten on ollut pakko alkaa laittaa omia sisäisiä prosessejaan kuntoon. Lisäksi tietosuojaviranomaisilla on nyt järeämmät työkalut yritysten patisteluun.

– Tietoisuuden lisääntyminen on kuluttajien lisäksi näkynyt myös siinä, miten myös alihankkijoilta ja toimittajilta vaaditaan asioiden olevan kunnossa. Henkilötietoja toisen puolesta käsittelevien yritysten on pakko laittaa asiat kuntoon pystyäkseen ylipäätänsä tarjoamaan palveluitaan. Vaikutukset näkyvät koko tuotantoketjussa, Touru kuvailee.

Hänen mukaansa asetukseen sisältyvä informoinnin vaatimus edellyttää henkilötietojen käsittelijöitä perustelemaan perin juurin, miksi henkilötietoja käsitellään ja mihin tarkoitukseen.

– Yleensä jo pelkästään tämän miettimisen seurauksena huomataan, miten tietosuojaa kannattaa yrityksessä kehittää. Asetushan ei itsessään vaadi mitään kohtuuttoman kalliita investointeja tietoturvaan, vaan yritykset saavat itse suhteuttaa ne riskien mukaan. Suojausten on totta kai oltava mittavat, jos käsitellään esimerkiksi terveystietoja.

Tietosuoja-asetuksen vaikutukset heijastuvat henkilötietojen käsittelyn lisäksi kaikkeen muuhunkin yrityksen tietojenkäsittelyyn. Kyse on oikeastaan hyvästä yrityskulttuurista ja hallinnosta, mutta samalla myös laadukkaasta asiakaspalvelusta. Monet yritykset ovatkin ryhtyneet tarjoamaan verkkopalvelua, josta asiakkaat voivat itse käydä tarkistamassa tietonsa ja muuttamassa niitä tarvittaessa. Tämänkaltainen verkkopalvelu tuo monesti myös kustannussäästöjä, kun tietojen etsimiseen ja toimittamiseen ei tarvita kokonaista armeijaa työntekijöitä.

Tavoitetaso ei vielä täysin toteudu

Tietosuoja-asetusta on nyt sovellettu Suomessa noin puolitoista vuotta. Yksi paljon työtä aiheuttaneista vaatimuksista liittyi sopimuksiin henkilötietoja käsittelevien alihankkijoiden kanssa. Monessa yrityksessä sopimuksia tehtiin kiireessä.

– Harva siihen ruljanssiin osasi ennakolta täysin valmistautua. Eri osapuolilla oli sopimuksia ristiin rastiin, mikä osoittaa, miten verkottunut yhteiskuntamme on. Henkilötietojen käsittelijöitä saattaa olla kymmeniä kaikki alihankkijat mukaan luettuna, Touru sanoo.

Tämän päivän tilanne asetuksen vaatimusten täyttymisen suhteen on jo melko hyvä, mutta työsarkaa riittää vielä. Kaikissa yrityksissä ei välttämättä olla vielä täysin havahduttu asiaan, varsinkaan jos henkilötietojen käsittely ei kuulu bisneksen ydintoimintoihin. Silloin tulee helposti ajatelleeksi, että vaatimukset eivät meitä koske, vaikka esimerkiksi työntekijöiden henkilötiedot ovat nekin asetuksen alaisia. Janne Valo muistuttaakin, että tietosuoja vaatii jatkuvaa arviointia ja kehittämistä.

– Itse suhtaudun skeptisesti yrityksiin, jotka ilmoittavat toimintansa olevan täysin asetuksen vaatimusten mukaista. Tietosuojan toteutuminen on prosessi, eikä jotain mikä hoidetaan vain kerralla pois alta. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden pitäisi päinvastoin ohjata päivittäistä tekemistä.


Featured Posts
Recent Posts
Archive
Search By Tags
No tags yet.
Follow Us
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page