Kuka pelkää GDPR:ää?

23.11.2017

Euroopan unionin uusi tietosuoja-asetus, johon viitataan usein kryptisellä lyhenteellä GDPR, on herättänyt vilkasta keskustelua lähiaikoina. Tietotekniikkaa pidempään seuranneet voivat tunnistaa tästä keskustelusta samoja piirteitä kuin ennen vuosituhannen vaihdetta ja millennium-bugia; varsinainen asia tuntui hukkuvan erilaisten kauhukuvien alle. Unohdetaan ne hetkeksi ja käydään läpi mistä oikeasti on kyse.

EU:n yleinen tietosuoja-asetus

GDPR eli EU:n yleinen tietosuoja-asetus korvaa jäsenvaltioiden kansalliset henkilötietodirektiivit ja tietosuojalait. Se astui voimaan 24.5.2016 ja sitä aletaan soveltaa 25.5.2018. Koska kyseessä on asetus, se tulee voimaan ilman, että jäsenvaltioiden tulee erikseen liittää sitä lainsäädäntöönsä. Uusi tietosuoja-asetus koskee kaikkia EU:ssa sijaitsevia organisaatioita ja yrityksiä, jotka käsittelevät henkilötietoja. Lisäksi asetus koskee EU:n ulkopuolisia toimijoita, jotka käsittelevät unionin kansalaisten henkilötietoja. Asetusta sovelletaan sekä yksityisellä, että julkisella sektorilla riippumatta henkilötietojen käsittelyn laajuudesta, luonteesta tai käytetystä teknologiasta.

Tavoitteena tietosuojan parantaminen ja digitalisaation helpottaminen

GDPR:llä on muutama keskeinen tavoite. Ensimmäinen on yksilöiden tietosuojan parantaminen maailmassa, jossa ihmisten tiedot ovat mitä moninaisimmissa järjestelmissä ja jossa ihmiset vapaaehtoisesti luovuttavat tietonsa vastineeksi ilmaisesta verkkopalvelusta, asiaa sen suuremmin miettimättä. Asetus lisää käsittelyyn avoimuutta ja läpinäkyvyyttä ja lisää rekisteröityjen oikeuksia omiin tietoihinsa, sekä antaa mahdollisuuden vaikuttaa niiden käyttöön. Esimerkiksi Facebookin liiketoiminnan ytimessä on tällaisten tietojen jalostus markkinointitarkoituksiin, eikä yksityishenkilöllä tällä hetkellä ole oikeastaan mahdollisuuksia vaikuttaa siihen, mitä hänen tiedoillaan tehdään. Toinen suurempi tavoite on digitalisaation helpottaminen, kun palveluita luotaessa ja tarjottaessa ei ole tarvetta ottaa huomioon kaikkien jäsenmaiden omia käytäntöjä vaan EU:ta voidaan käsitellä yhtenä markkinana. Tämä helpottaa esimerkiksi myös suomalaisten verkkokauppojen laajenemista ulkomaille.

Dokumentaatio vaatimuksena

Mikä sitten muuttuu nykytilanteeseen verrattuna? Monilta osin henkilötietojen käsittelyssä on jo nyt edellytetty asetuksen vaatimia asioita, mutta asetuksen myötä vaaditaan, että asiat on myös dokumentoitu. Uudessa asetuksessa myös määritellään selkeästi, kuinka tietojen käsittelyä valvotaan ja toki ne suurelta kuulostavat enimmäissanktiotkin ovat siellä mukana. Asiaa ei kuitenkaan kannata lähestyä vain sakot mielessä. Jos henkilötietojen käsittely ja tietotekniikka on jo toteutettu hyvien käytäntöjen mukaisesti ja turvallisesti, on jäljellä lähinnä asioiden dokumentointi. Tämä on samalla hyvä hetki selkeyttää oman organisaation toimintatapoja ja prosesseja ja kun tämä lyhyehkö projekti on saatu päätökseen, jatketaan vain sovittujen prosessien toteuttamista. Asetukseen mukautumisen voisi siis rinnastaa vaikkapa laatujärjestelmän käyttöönottoon, mutta yhtä työläästä asiasta ei useimmiten kuitenkaan ole kyse.

Aluksi EU:n uusi tietosuoja-asetus voi vaikuttaa suurelta mullistukselta, jota on vaikea lähestyä mistään suunnasta ja josta kenelläkään ei ole käytännön kokemusta. Kun asiaan kuitenkin perehtyy hetken, keskeiset vaatimukset selkeytyvät ja oman toiminnan oikeellisuuden varmistaminen on mahdollista nähdä enemmänkin mahdollisuutena kuin uhkana. Tämän jälkeen ensi vuoden toukokuuta ja niitä sanktioitakaan ei ole syytä enää pelätä.

 

Tamico Oy
Sakari Tamminen