GDPR:n eli EU:n yleisen tietosuoja-asetuksen osalta liikkeellä on monenlaista tietoa. Puhetta on riittänyt jo muutama vuosi, pitääkö aiheesta vielä kiinnostua? Ja miksi tietosuoja-asioissa usein puhutaan vain sanktioista hyvien käytäntöjen sijaan?
Organisaatiot, niin yritykset kuin julkishallinnon toimijat, ovat edenneet vaihtelevasti GDPR-valmiuden kanssa. GDPR koetaan hankalaksi hahmottaa, käsittää ja myös todentaa sen edellyttämä tekeminen. Soppaa hämmentävät erilaiset tulkinnat, etenkin peruskäsitteiden osalta ollaan asiasta välillä kaukana.
Osa pienemmistä organisaatioista ei välttämättä ole edes aloittanutkaan, sillä “kirjanpitäjäni sanoi, että GDPR ei koske minua, joten siitä ei tarvitse välittää”.
GDPR:llä on peloteltu yrityksiä sekä organisaatioita ympäri Eurooppaa. Keskustelu, johon yllä viitataan, todella käytiin vuonna 2020, jossa yrittäjä kertoi kirjanpitäjänsä opastaneen, ettei GDPR koske heitä. Kun juteltiin yrittäjän kanssa hetken siitä, mitä he tekevät – auttavat kriiseissä olevia työyhteisöjä, joissa on pahoinvointia – hän tajusi, että käsittelevänsä tietoja, joiden päätyminen vääriin käsiin voisi todellakin ”aiheuttaa haittaa tai harmia”.
”Henkilötietojen käsittelijän on lisäksi toteutettava riittävät suojatoimet sekä asianmukaiset tekniset ja organisatoriset toimenpiteet.” Miten tätä voidaan mitata ja todentaa toimien riittävän? Lisäksi ‘riittävät toimet’ on erittäin laaja käsite, etenkin jos otetaan mukaan henkilötietojen siirto Yhdysvaltoihin, johon liittyy hässäkkä nimeltään ”Schrems II”.
Koulutusta GDPR-asioissa pelottelun sijaan
Keskeisin huomio, jonka olemme tehneet asiakkaiden kanssa sisäisissä auditoinneissa, on koulutuksen puute – tai sen kertaluonteisuus. Eräässäkin yhtiössä kaikki työntekijät koulutettiin vuonna 2018, muttei ketään sen jälkeen. Toisessa yhtiössä uuden käyttäjän käyttäjätunnus/salasana muodostettiin henkilön henkilötunnuksesta. Lisäksi erilaiset tulkinnat, kuten ”voiko Mailchimpiä enää käyttää, kun Saksan tietosuojaviranomainen on kieltänyt sen käytön” on usein ymmärretty väärin.
Pelottelu sanktioista on ollut pelottelua ja luotaantyöntävää, mutta on huomattava, että ympäri Eurooppaa on jaettu niin ohjeita kuin sanktioitakin – pienimmät sanktiot ovat olleet noin 28 euroa , mutta isoimmat ovat reippaasti yli 20 miljoonan (mm. British Airways, Marriot International ja Hennes & Mauritz).
Sanktioiden sijaan pitäisi keskittyä henkilötietojen suojaamiseen: ei kai autokoulussakaan pelotella ylinopeussakoilla, eihän?
GDPR-päivä, joka järjestetään neljättä kertaa, käy läpi muun muassa yllä mainittuja asioita, mutta keskittyy niiden lisäksi tietosuojatyön johtamiseen, tekniseen toteutuksiin, verkkosivujen evästeisiin ja muuhun käytönseurantaan sekä moneen muuhun asiaan. Päivä on täynnä käytännön toteutuksien kautta saatuja kokemuksia.
Tule oppimaan uutta, jakamaan omia kokemuksia tai tuomaan asiantuntijaesiintyjille tiukkoja täsmäkysymyksiä.
GDPR-päivä järjestetään 18.11 Helsingissä. Ohjelman, aikataulut ja liput löydät täältä.
Nähdään Helsingissä!
Juha Sallinen, yrittäjä, konsultti / GDPR Tech oy
JK. Kenelle tapahtuma on suunnattu? Aiempina vuosina kävijöinä on ollut mm. liiketoimintajohtajia, kehityspäälliköitä, ylitarkastajia, tietosuojavastaavia, toimitusjohtajia, risk managereita, CTO, CEO, CFO, DPO, CISO, CIO, ja muutamia muita lyhenteitä. Päivä ei keskity teknologiaan tänäkään vuonna.