27.4.2018

GDPR tulee - oletko valmis?

EU:n uusi tietosuoja-asetus eli GDPR tulee voimaan 25.5.2018 kaikissa EU- ja ETA -maissa. GDPR määrittelee miten henkilötietoja tulee käsitellä. Siten se koskee kaikkia yrityksiä ja yhteisöjä.

Henkilötiedon käsite uudessa asetuksessa on erittäin laaja. Henkilötietona ymmärretään käytännössä mikä tahansa luonnolliseen henkilöön liittyvä tai liitettävissä oleva tieto. Asiakkaiden yhteystiedot, kuten henkilökohtaiset sähköpostiosoitteet ja puhelinnumerot sekä yhteyshenkilöiden nimet ovat henkilötietoja. Myös esimerkiksi www-sivujen seurantatiedot tai kanta-asiakkaiden seurantaa koskevat tiedot ovat henkilötietoja vaikkei yrityksellä olisi edes tiedossa kyseisen asiakkaan nimeä.

Mikä GDPR:ssä sitten on uutta? Oikeastaan ei kovinkaan paljoa. Jo nyt voimassa oleva direktiivi ja paikalliset henkilötietolait määrittelevät hyvin samankaltaiset säännökset. Ne ovat olleet voimassa jo kymmeniä vuosia. Uutta on, että nyt EU:n asetus on suoraan sellaisenaan voimassa kaikissa jäsenmaissa. Henkilötietojen käsittelyn säännöstö yhtenäistyy ja paikalliset säännökset vähenevät olennaisesti. Tämä helpottaa kansainvälisesti toimivia yrityksiä.

Julkisuudessa on annettu ymmärtää, että GDPR tuo suuret sanktiot ja paljon uusia dokumentointivelvollisuuksia yrityksille. On totta, että GDPR mahdollistaa jopa 4% globaalia vuotuista liikevaihtoa vastaavan sakon, mutta käytännössä se koskee vain niitä toimijoita, jotka piittaamattomasti tai tahallisesti rikkovat säännöksiä merkittävästi. On tosin huomattava, että GDPR antaa viranomaisille mahdollisuuden määrätä henkilötietojen käsittelyn lopetettavaksi, mikäli siinä tapahtuu rikkeitä. Silloin yrityksen liiketoiminta usein pysähtyisi.

Myöskään dokumentointivelvollisuus ei Suomessa poikkea kovin paljoa aikaisemmasta. Jo voimassa olevien lakien perusteella on täytynyt olla rekisteriselosteet. GDPR:ssä on joitakin suurempia yrityksiä koskevia lisävelvoitteita. Lisäksi GDPR määrittää toimijoille osoitusvelvollisuuden. Toimijoiden on pystyttävä osoittamaan noudattaneensa asetusta. Käytännössä osoittaminen on mahdotonta, ellei toimija dokumentoi toimintaansa jatkuvasti.

GDPR:ssä ei ole kysymys sanktioista tai laajoista dokumentointivelvollisuuksista. GDPR:n tarkoituksena on luoda reilut ja yhtenäiset pelisäännöt henkilötietojen käsittelylle.

Vaikka GDPR ei suuresti muutakaan sääntelyä, on nyt oikea hetki perehtyä henkilötietojen käsittelyyn. GDPR on ollut laajasti julkisuudessa esillä. Asiakkaat ja työntekijät ovat tietoisia oikeuksistaan. Myös eri yhteystyökumppanit tulevat kiinnittämään huomiota siihen, että asiat ovat kunnossa. Jatkossa tietosuojaan panostaminen on menestystekijä.

Mitä toimijoiden sitten täytyy tehdä GDPR:n vuoksi? Se riippuu aika paljon nykytilasta. Jos yrityksellä on olemassa kattava dokumentaatio nykytilasta, valmiit rekisteriselosteet ja toimivat prosessit,
asiat ovat melko pitkälle kunnossa. Silloin riittänee asioiden läpikäynti ja pienien päivitysten tekeminen. Mikäli taas yrityksessä ei olla lainkaan mietitty henkilötietojen käsittelyä, nyt on aika herätä. Paras tapa varmistua toiminnan vaatimustenmukaisuudesta on ottaa yhteyttä osaavaan yhteistyökumppaniin, joka pystyy tuomaan riittävän osaamisen yritykseesi. GDPR:ssä on melko pitkälle kysymys oikeasta asenteesta ja ajattelutavasta.