Miten tietosuoja-asetus ja –laki vaikuttavat käytännössä?
Suomen Yrittäjien hallituksen varapuheenjohtaja Jaakko Männistö kauhisteli, että monissa yrityksissä ei täysin ymmärretä tietosuoja-asetuksen vaatimuksia ja ”sinne päin” tekemisen seurauksia. Männistö varoitti, että pelkkä rekisteriselosteen päivittäminen verkkosivuille ei riitä, sillä GDPR ohjaa koko liiketoimintaa ja harva yritys selviää asetuksen velvoitteista omin voimin.

Varoitus oli aiheellinen. Männistön omassa yrityksessään jouduttiin muuttamaan lippulaivatuote, jotta toiminta saatiin rullaamaan asetuksen mukaan. Ohjelmistoyrittäjänä hän ymmärsi, miten laajasti asetus vaikuttaa ja turvautui ulkopuolisen asiantuntijan apuun. Totuus kuitenkin on, ettei kaikissa yrityksissä riitä aikaa lakien seuraamiseen. Verotuksessa ja laskutuksessa auttaa tilitoimisto. Tietosuojan suhteen yritykset ovat jääneet omilleen. Tuloksena on se, että toisissa tietosuojan eteen on nähty paljon vaivaa, toisissa tilanne on vähän niin ja näin.

Uskomusten kalliit sudenkuopat
Taustalla voi olla aito uskomus, että eipä se tietosuoja nyt paljon vaadi. Kun lakien vaikutusta ei tunne, niiden mukaan on vaikea toimia. Organisaatioita ohjaavat monet säädökset, mutta tietosuojaa koskevat läpäisevät koko toiminnan. Mahdotonta kuvitella organisaatiota, joka ei tarvitsisi päivittäisessä toiminnassaan ihmisiä —ja henkilötietoja. Tietosuojalakien on tarkoitus turvata näiden toiminnan keskiössä olevien ihmisten —työntekijöiden, asiakkaiden ja muihin sidosryhmiin kuuluvien —tietosuoja ja oikeudet.

Vaikka tietosuojalakien soveltamiseen ei ole yhtä kaikille sopivaa mallia jo senkin vuoksi, että jokainen organisaatio on erilainen, ne asettavat tiukat raamit, joiden puitteissa pitää toimia. Yhdenkin velvoitteen jättäminen huomiotta tai soveltaminen ”niin ja näin” voi tulla kalliiksi. Esimerkiksi yritys on kyllä aloittanut tietosuojakäytäntöjen dokumentoinnin. Se on kuitenkin jäänyt puolitiehen, joten verkkosivuilta puuttuu ajantasainen tietosuojaseloste. Asiakkaat joko eivät saa yrityksen tietosuojakäytännöistä mitään tietoa tai tarjottu tieto on riittämätön ja epämääräinen. Tietosuojalakien edellyttämä aktiivinen informointi ei silloin toteudu. Kimppuun voi saada niin suivaantuneet asiakkaat kuin viranomaiset. Näin kävi suomalaiselle elokuvateatteriketjulle —harmittomiksi luultujen menettelyjen vuoksi.

Suurin muutos nyt jo korvatun Henkilötietolain (523/1999) aikaan on juuri se, että tietosuojalakien noudattamista valvotaan. Riippumatta siitä, onko valvontaviranomaisten antama sapiska rahallinen tai hallinnollinen, se on aina julkista tietoa, joka tekee hallaa organisaation maineelle.

Näin GDPR ja tietosuojalaki vaikuttavat käytännössä
EU:n yleinen tietosuoja-asetus (General Data Protection Regulation —GDPR, 2016/679) ja sen rinnalla sovellettava Tietosuojalaki (2018/1050) koskevat kaikkia tahoja, jotka ovat tekemisissä henkilötietojen kanssa: viranomaisia, valtionhallintoa, järjestöjä, säätiöitä, yhdistyksiä. Ja jokaista yritystä tavaroiden ja palvelujen myyjänä, työnantajana, alihankkijana jne. Sillä ei ole väliä toimitaanko kuluttaja- vai yrityssektorilla.

Tietosuoja-asetus ja -laki säätelevät henkilötietojen keräämistä, käsittelyä, säilytystä, luovutusta, siirtämistä, työ- ja yhteistyösopimuksia, ulkoistettuja palveluita, tavaratoimituksia, ohjelmistohankintoja, laitteiden, järjestelmien ja toimitilojen turvallisuutta, kameravalvontaa, markkinointia jne.

Asetuksen mukainen ”oletusarvoinen ja sisäänrakennettu tietosuoja” tulee integroida osaksi organisaation päivittäistä toimintaa: henkilötietoja sisältävät rekisterit ja tietosuojakäytännöt dokumentoida, henkilöstölle laatia kirjalliset ohjeet. Mitättömältäkin tuntuvat tietoturvaloukkaukset on kirjattava ylös. Tapauksesta riippuen niistä on ilmoitettava rekisterissä oleville ja / tai viranomaisille. Myös tietosuojaa koskevan dokumentaation pitäminen ajan tasalla kuuluu asetuksen vaatimuksiin. Tietosuoja vaikuttaa tänään ja tulevaisuudessa. Mistään ”rasti ruutuun”-tehtävästä ei ole kysymys.

Yleinen tietosuoja-asetus pätee kaikissa muodoissa oleviin henkilötietoihin. Digitaaliseen ympäristöön on tulossa erillinen, EU:n sähköisen viestinnän tietosuoja-asetus, ePrivacy. Piakkoin alkavat GDPR-sertifioinnit. Ennen niitä on selvittävä 80-sivuisen tietosuoja-asetuksen yli 700 kohdasta, useista kymmenien sivujen lisäohjeista sekä Tietosuojalaista, jossa pykäliä on monta metriä lisää.

Miten varmistat, että teillä toimitaan asetuksen mukaan?
1. Tee tietosuojasta kilpailuvaltti
Tietosuojasta on tullut keskeinen osa yritysten maineen- ja riskienhallintaa. Ne, joille tietosuojavelvoitteet ovat pakollinen paha, eivät ole ymmärtäneet asetuksen tarkoitusta. Meistä kerätään valtavat määrät tietoja, joita tietyt suuryhtiöt ovat tavan takaa väärinkäyttäneet. Asetus tuo tolkkua tähän: pakottaa yritykset toimimaan avoimemmin, antaa meille asiakkaina, kumppaneina, työntekijöinä jne. laajemmat oikeudet tietoihimme ja niiden käyttöön.

Suomalaisten usko yrityksiin henkilötietojen käsittelijöinä ei ole kovin kummoinen. Luottamus voikin mennä nopeasti, jos tietosuoja jätetään retuperälle. Tietosuojan merkitys organisaatioiden imagoon ja toimintakykyyn on sen verran suuri, että Gartnerin, McKinseyn ja Global Web Indexin tutkimuksissa mallikkaasti hoidettua tietosuojakäytäntöä pidetään merkittävänä kilpailuvalttina. Lyhyesti —panosta tietosuojaan, pärjäät kilpailijoitasi paremmin.

2. Huolehdi dokumentointivelvoitteista
Dokumentointivelvoite tarkoittaa, että asetuksen noudattamisesta pitää olla kirjalliset todisteet. Ennen asetuksen voimaantuloa harvassa organisaatiossa oltiin perillä, millaisia henkilötietoja kerätään, mihin tarkoitukseen, missä kaikkialla tietoja säilytetään, miten ne on suojattu jne. Asetuksen myötä muun muassa nämä seikat on pitänyt kartoittaa ja dokumentoida. Tietosuojavaltuutetun sivuilla on listattu, mitä dokumentaatioon kuuluu. Hieman yli puolet listasta pätee kaikkiin yrityksiin. Loput koskevat tietynkokoisia yrityksiä tai tiettyjä toimialoja.

Muista, että sisäinen asiakirjanippu on tärkeä todiste, kun valvontaviranomaiset haluavat näyttöä lakien noudattamisesta. Sisäisten asiakirjojen pohjalta tehdään julkiset tietosuoja- / rekisteriselosteet, joten dokumentoinnissa kannattaa olla tarkkana. Kokosimme tänne ohjeet dokumentaation tekemiseen.

3. Huolehdi informointivelvoitteista
Informointivelvoite, eli tietosuoja- ja rekisteriselosteet eivät ole uusi idea. Joillakin toimialoilla niiden julkaiseminen oli pakollinen jo Henkilötietolain aikana. Tietosuoja-asetuksen myötä informointivelvoite muuttui pakolliseksi kaikille. Asetuksessa on melko yksityiskohtaiset vaatimukset, mitä ja miten henkilötietojen käsittelystä tulee kertoa.  Informointivelvoite edellyttää yrityksiltä aktiivista toimintaa, joka tarkoittaa että asiakkaiden ja muiden sidosryhmien on löydettävä yrityksesi henkilötietojen käsittelyn käytännöt helposti. Viranomaisten mukaan ”tieto pitäisi julkaista verkkosivuilla yleisesti tunnetulla nimellä”, kuten tietosuoja- / rekisteriseloste. Asetus vaikutti myös Työelämän tietosuojalakiin (759/2004). Sitä on päivitetty, joten myös työntekijöiden ja rekrytoitavien kohdalla säädetään entistä tarkemmin, millaista tietoa heille on annettava. Mitä muita vaatimuksia tietosuoja- ja rekisteriselosteisiin liittyy, siitä voit lukea lisää täällä.

4. Muista osoitusvelvollisuus
Osoitusvelvollisuus tarkoittaa, että viranomaiset voivat milloin tahansa vaatia yrityksenne tietosuojakäytäntöjä koskevaa dokumentaatiota nähtäväksi tai tehdä tarkastuksen paikan päällä. Jos sisäiset ja julkiset asiakirjat ja tietosuojakäytännöt eivät vastaa asetusta, viranomainen antaa kirjallisen varoituksen (joka on julkista tietoa), ja dokumentointi joudutaan tekemään uudelleen. Jos dokumentaatio puuttuu, ollaan jo isomman ongelman edessä.

5. Ota dokumentointi osaksi maineen ja riskienhallintaa
Tietosuojalakien noudattamista vauhditetaan pakkokeinoin. Viranomaisilla on valtuudet keskeyttää henkilötietojen käsittely yrityksessä tai yhteisössä (käytännössä koko toiminta) ja määrätä huomattavat sakot.  Suomessakin sakot ovat olleet huomattavia, sillä rahalliset seuraamukset on sidottu laiminlyönnin vakavuuteen. Pienimmillään sakko on 2 %, isoimmillaan 4 % edellisvuoden liikevaihdosta.

Sakkoja voivat seurata vahingonkorvaukset, mikäli asiakkaille tai muille rekisteröidyille aiheutunut vahinko johtuu ”hällä väliä” -asenteesta. Oletetaan, että kuvitteellisen HR- yhtiön rekisteriin on murtauduttu ja arkaluontoisia tietoja hyödynnetty rikolliseen tarkoitukseen. Yritykseltä puuttuu henkilötietojen käsittelyssä neuvova Tietosuojavastaava, joka olisi lain mukaan pitänyt nimittää, eikä henkilötietoja käsitteleville ole kirjallista tietosuoja- / tietoturvaohjeistusta. Yrityksen johto on tiennyt henkilörekisteriin liittyvistä tietoturvaongelmista, mutta katsonut asiaa läpi sormien. Myöskään tietoturvaloukkauksesta ei löydy yrityksessä minkäänlaista kirjallista merkintää eikä siitä ole ilmoitettu asianosaisille ja viranomaisille lain edellyttämässä ajassa. Tällaisessa tapauksessa rahallisten sanktioiden välttäminen vaatisi ihmeen.

Asetuksen myötä tietoturvan merkitys kasvoi, mutta 100 % turvallisuutta ei voi taata kukaan. Mikäli yrityksesi järjestelmiin tai toimitiloihin murtaudutaan siitä huolimatta, että ne on asianmukaisesti suojattu, dokumentaatiolla on keskeinen rooli. Sillä osoitat, että olette tehneet voitavanne vahinkojen estämiseksi.

6. Huomioi tietosuojalait sopimuksissa
Tietosuoja-asetuksen voimaantulon jälkeen sopimuskäytäntö muuttui niin, että asetuksen vaatimukset tulee ottaa huomioon. Kaikki ennen 25.5.2018 solmitut yhteistyö-, alihankinta-, työ- ja muut sopimukset tulisi tarkistaa, ja tarvittaessa täydentää. Suosi yhteistyössä ja sidosryhminä yrityksiä, joiden tietosuojavelvoitteet ovat kunnossa. Näin turvaat asiakkaittesi henkilötiedot ja vältyt mahdollisilta ongelmilta. Lue, miten tietosuojalaki vaikuttaa sopimuksiin.

7. Tarkista dokumentaatio sertifioinnin varalta
Tietosuojasertifioinnit ovat tulossa. Tarkkaa ajankohtaa niiden alkamiselle ei ole ilmoitettu, mutta Euroopan Tietosuojaneuvoston ohjeistus asiasta on hyväksytty (ihan artikkelin hännillä). Sertifiointeja tekevät viranomaisten hyväksymät tahot.

Jatkossa yritykset voivat hankkia verkkosivuilleen sinetin tai merkin todisteena asetuksen noudattamisesta. Sertifikaattia haettaessa organisaation sisäinen tietosuojadokumentaatio, rekisteri- ja tietosuojaselosteet sekä YSE-sopimusten henkilötietojen käsittelyä koskevat liitteet luovutetaan tarkastettavaksi. Siksi suosittelemme, että tietosuojakäytännöt päivitetään asiantuntijan kanssa. Tämän artikkelin lopusta löydät esimerkkejä, milloin dokumentaation päivitys on ajankohtainen.

Miten voimme tehdä sinun organisaatiosi tietosuojasta kilpailuvaltin? Kysy lisää.
katrin-kristiina
Katrin-Kristiina on toimitusjohtajamme, jolla on kahden vuosikymmenen kokemus digialalta. Hän kouluttaa ja konsultoi tietosuojan ja markkinoinnin automaation haltuunotossa.
Tilaa digityöläisten sisäpiiritieto!
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.