Miten EU:n GDPR eli EU:n yleinen tietosuoja-asetus koskee myös minua? Lyhyesti sanottuna, GDPR vaikuttaa käytännössä kaikkiin yrityksiin ja yhteisöihin – hyvässä tai pahassa. Jos et ole tietoinen EU:n yleisestä tietosuoja-asetuksesta, voit olla mahdollinen riski yrityksellesi tai yhteisöllesi! Aika rajusti sanottu, mutta niin on vaikutuksetkin tiedonpuutteelle.
Käydessämme keskusteluja yrityksien ja julkishallinnon kanssa, huomaamme usein, että moni on tulkinnut EU:n yleisen tietosuoja-asetuksen väärin ja ymmärtää asetuksen koskevan lähinnä tietoturvaa. Tämä on johtanut tilanteeseen, jossa ylin johto, mukaan lukien talousjohto, ei ole tietoinen mahdollisista riskeistä sekä vaikutuksista, joita väärintulkinta voi pahimmillaan aiheuttaa. Avaamme tässä lyhyessä blogikirjoituksessa mistä tässä on kyse ja suoraan regulaatiosta otettuna:
Yleisen tietosuoja-asetuksen (jatkossa GDPR) tarkoituksena on vahvistaa yksilöiden tietosuojaoikeuksia ja helpottaa henkilötietojen vapaata liikkuvuutta digitaalisilla sisämarkkinoilla muun muassa vähentämällä hallinnollista rasitetta.
GDPR liittyy sekä henkilötietoon että henkilöön liittyvään tietoon ja sen käsittelyyn. GDPR:ssä oleva sääntely tiukentaa sekä tarkentaa, mm. mitä tietoja saa tallentaa, miten tietoja käsitellään ja miten tiedon elinkaarta käsitellään. Henkilöön liittyvä tieto voi olla esimerkiksi palkkatietoja, kehityskeskusteluja, sijaintitietoja, lokitietoja, sähköposteja, kuva-aineistoja tai lähes mitä tahansa muuta, joka voidaan liittää elävään henkilöön joko suoraan tai välillisesti tunnistaen. Pakon tai uhkien sijaan tämän regulaation voikin nähdä esimerkiksi näin:
- hyödyt toimintojen tehostuessa (esim. poistamalla tarpeetonta tietoa, toiminnot nopeutuvat ja helpotetaan tarpeellisen löytämistä)
- erottautuminen kilpailijoihin nähden, jotka eivät vielä ole GDPR:n mukaisia
- lisäkaupan mahdollisuudet EU:n alueella (yhtäläinen sääntely)
- riskien pienentyminen yhteistyökumppanien kanssa toimittaessa (käyttämällä alihankkijoita, jotka eivät ole valmiita, lisäät riskiä joutua itsekin korvauksiin)
EU:n yleinen tietosuoja-asetus siis asettaa vaatimuksia, johon tietojen tallentajien sekä käsittelijöiden on vastattava, esimerkiksi henkilöllä on oikeus pyytää tietojaan nähtäväksi ja korjattavaksi. Rekisterinpitäjällä on velvollisuus vastata tietopyyntöön ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Kuten muutkin GDPR:n velvoitteet, tämäkin velvoite on täytettävä auditointikelpoisesti. Jos tämä kuulostaa haasteelliselta, huomaa, että tämä koskee myös paperidokumentteja ja siten kaikkea mediaa, myös niitä jo tallennettuja tietoja. Pystytkö nyt vastaamaan tietopyyntöön ”ilman aiheetonta viivästystä”?
Merkille pantavaa on, että GDPR on jo julkaistu 5/2016. Vuonna 2018 keväällä GDPR tulee täysimääräisesti sovellettavaksi mahdollisine sanktioineen. Liiketoimintakumppanien osalta on huolehdittava esimerkiksi sopimusten ja vastuiden osalta valmiudesta GDPR:n vaatimuksiin.
Tutustu Opiframen toimittaman “EU Tietosuoja-asetus – käytännön askeleet GDPR:ään” kurssin sisältöön ja ilmoittaudu mukaan!
Juha Sallinen
Kirjoittaja työskentelee toimitusjohtajana GDPR Tech Oy:ssa, joka on keskittynyt EU:n yleisen tietosuoja-asetuksen osalta erityisesti tiedonhallintaan sekä miten yritys- tai julkinen taho voi portaittain valmistautua vuoden 2018 vaatimuksiin. GDPR Tech toimii Oppia.fi:ssa Opiframe Oy:n kouluttajakumppanina ja EU Tietosuojan asiantuntijana.