GDPR ja tietosuojalaki saattavat vaikuttaa samalta asialta, mutta niissä on eroa. Olet todennäköisesti jo kuullutkin EU:n uudesta tietosuoja-asetuksesta, joka astui voimaan vuoden 2018 toukokuussa kahden vuoden siirtymäajan jälkeen, mutta sen käytännön sovellukset ovat saattaneet jäädä hämäriksi. Lyhenne GDPR tulee sanoista General Data Protection Regulation, ja sen tarkoitus on parantaa ihmisten oikeuksia henkilötietoihinsa. Sen lisäksi vuoden 2019 alusta astui voimaan Suomen uusi tietosuojalaki, jonka tehtävä on täydentää EU:n uutta tietosuoja-asetusta.
Tietosuojan paraneminen on iloinen asia monella tapaa, etenkin aikana, jolloin tietosuojarikoksia on yhä enemmän ja tietojamme tallennetaan yhä useampien tahojen toimesta milloin minnekin. Yrityksille uusi laki voi kuitenkin teettää hieman enemmän töitä sen suhteen, että asiat ovat tietosuojan suhteen kunnossa. On tärkeää, että tietosuojalakia noudatetaan, sillä säännösten rikkomisesta voi tulla lievemmissä tapauksissa huomautus tai uhkasakko, mutta seuraamusmaksu voi olla 10-20 miljoonaa euroa tai 2-4% yrityksen liikevaihdosta, riippuen siitä kumpi on suurempi summa.
Yrityksen vastuu
Tietosuoja-asiat koskevat lähes kaikkia yrityksiä, sillä GDPR-asetuksessa henkilötiedon käsite ymmärretään laajasti. Henkilötiedoiksi lasketaan kaikki tiedot, joiden perusteella voi suoraan tai epäsuorasti tunnistaa luonnollisen henkilön. Näihin tietoihin kuuluvat mm. nimi, kuva, sähköpostiosoite, auton rekisterinumero, puhelinnumero, paikkatieto tai IP-osoite. Henkilötiedon käsittely voi taas olla mitä tahansa keräämisestä, tallettamisesta siirtämisestä, käyttämisestä ja muuttamisesta aina poistamiseen tai tuhoamiseen saakka. Jos yrityksessä käsitellään laajamittaisesti henkilötietoja, esimerkiksi terveyspalvelujen yhteydessä, tulee yrityksen nimittää tietosuojavastaava, jonka tehtävänä on tietosuojan toteutuminen ja valvonta. Henkilötietojen keräämiseen on myös pyydettävä lupa, jonka henkilö voi myös perua, ja yrityksen on osoitettava poistaneensa kyseiset tiedot tietokannastaan.
Yritys voi käsitellä tietoja itse tai ulkoistaa käsittelyn palveluntarjoajalle, ja samat säännökset koskevat rekisterinpitäjää ja palveluntarjoajaa. Mm. pilvipalveluja tallenuskapasiteettina tarjoava yritys on vastuussa tietosuojan toteutumisesta käsittelijänä. Niinpä hyvin harva yritys jää tietosuoja-asetuksen soveltamisen ulkopuolelle. Yritykset ovat tilivelvollisia viranomaisille ja heidän täytyy pystyä tarvittaessa osoittamaan varautuneensa tietomurtoihin riittävän hyvin. Heidän täytyy myös tietää missä kriittisiä tietoja säilytetään ja kenellä on mahdollisuus päästä niihin käsiksi.
Moni yritys, kuten myös Katrium, onkin katsonut helpoimmaksi henkilötietojen käsittelyn ulkoistamisen toisille yrityksille, joilla kaikki tietosuoja-asiat on otettu huomioon ja jotka pystyvät tarvittaessa osoittamaan, että tietojen käsittelyn tavat ja prosessit täyttävät kaikki vaatimukset. Tämän ansiosta yritys voi keskittyä itse liiketoimintaan, ja jättää tietosuoja-asiat kokonaan muille, sen sijaan että käyttäisi resursseja uusiin prosesseihin ja henkilökunnan koulutukseen.
GDPR ja tietosuojalaki – kuinka toimia?
Yrityksen on ensin selvitettävä mitä henkilötietoja tietokannassa liikkuu, ja mihin tarkoitukseen niitä käytetään. Ovatko kaikki tiedot välttämättömiä? Onko tarve ehkä poistunut tai muuttunut? Turhia tietoja ei tulisi kerätä. Voiko prosesseja yksinkertaistaa? Ketkä ovat vastuussa tiedoista ja niiden suojaamisesta?
Kun välttämättömät henkilötiedot ja niiden käyttötarve on selvitetty, asettakaa tavoitetila tietoturvalle. Suunnitelkaa muutokset järjestelmiin ja käytäntöihin, ja toteuttakaa ne. Dokumentoikaa tehdyt ratkaisut ja päätökset, ja valmistautukaa perustelemaan ne viranomaisille tarvittaessa.
Ennakoikaa mahdollisia tietoturvaloukkauksia, ja valmistautukaa niihin. Kuinka voitte pysyä ajan tasalla myös tulevaisuudessa? Tietosuojamuutokset voivat olla liiketoimintaa virtaviivaistava prosessi, jonka tuloksena turha tietojen pyörittely ja keräys sekä mahdolliset turhat käytännöt jäävät pois. Sillä voi olla jopa kustannuksia alentava vaikutus.
Annos maalaisjärkeä
GDPR ja tietosuojalaki sekä näissä tapahtuneet muutokset ovat aiheuttaneet ongelmia yrityksille. Konsulttifirmat ovat iskeneet tähän markkinarakoon, jopa niin että asioista on tehty monimutkaisempia kuin mitä ne ovatkaan. Maalaisjärki on hyvä pitää mukana, sillä vaikka kyse onkin melko suurista muutoksista, ei niiden tarvitse olla vaikeita toteuttaa. Tietojen käsittelyn ulkoistaminen on hyvä tapa täyttää uudet vaatimukset ammattilaisten huolehtiessa yksityiskohdista.