Tiukemman sääntelyn takana piilee myös mahdollisuuksia uuteen liiketoimintaan ja prosessien selkiyttämiseen.
EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018 alkaen – siis onko tulossa taas lisää valvontaa ja byrokratiaa yrityksille? Ehkä sitäkin, mutta uudelle lainsäädännölle on olemassa myös hyvät perusteet.
Datasta on tullut yhä merkittävämpi liiketoiminnan tuotantotekijä: ihmisten henkilötietoja haetaan ja käsitellään uudenlaisen bisneksen luomiseksi.”
"Datasta on tullut yhä merkittävämpi liiketoiminnan tuotantotekijä: ihmisten henkilötietoja haetaan ja käsitellään uudenlaisen bisneksen luomiseksi. Esimerkkejä näistä ovat teollinen internet tai kuluttajaliiketoiminnan sovellukset, evästeet joilla käyttäjiä profiloidaan ja kohdistetaan heihin markkinointia", sanoo Jukka Lång, joka vastaa asianajotoimisto Dittmar & Indreniuksen Data Protection, Marketing & Consumers -praktiikasta.
Toinen syy uudelle tietosuoja-asetukselle ovat kasvaneet kyberturvallisuusuhat. Yksilöiden tietoturva on entistä haavoittuvampi, kun rikolliset käyttävät yhä useammin tietoverkkoja väärin omiin tarkoituksiinsa.
Kolmas tavoite on Långin mukaan pyrkimys kohti EU:n digitaalisia sisämarkkinoita. Yhteiset tietoturvasäännöt mahdollistavat, että tuotteita ja palveluita voi myydä samoilla ehdoilla maasta toiseen. Toki matkalla kohti sisämarkkinoita tarvitaan vielä isompiakin askelia, kuten tekijänoikeuksien, kuluttajasuojan ja kilpailuoikeuksien harmonisointi, mutta tietosuoja on hyvä alku.
Tietosuoja koskettaa lähes kaikkia
Tietosuoja-asetus koskettaa yrityksen monia toimintoja. Keskeisiä ovat tietovarastojen tekninen toteuttaja tietohallinto ja henkilöstöhallinto, sillä asetus kohdistuu myös työntekijädataan.
"Vastuuta pitää olla myös liiketoimintajohdolla silloin kun data liittyy liiketoimintaan, esimerkiksi jonkinlaiseen kuluttajaportaaliin. Jos yrityksessä on compliance- tai lakiasiainyksikkö, riskienhallintaväkeä tai sisäinen tarkastus, niin tietosuoja koskettaa kaikkien niiden toimintakenttää."
Mutta kenellä on kokonaisvastuu? Alun perin suunniteltiin, että asetus määräisi useimpia organisaatioita nimittämään erityisen tietosuojavastaavan. Neuvotteluiden jälkeen tämä velvoite tuli vain tietyille aloille, kuten esimerkiksi julkishallintoon ja terveydenhuollon toimijoille.
"Suosittelen kyllä muillekin tietosuojavastaavan nimittämistä vähintään oto-tehtävänä. On nimittäin tavallista, että kukaan ei koe omistajuutta tietosuoja-asioista, vaan ne putoavat harmaalle alueelle. Lakiasiainosasto ajattelee, että ne kuuluvat IT:lle, IT ajattelee, että ne liittyvät tietoturvaan, tietoturvan mielestä HR vastaa, koska hehän sen henkilöstöjärjestelmän hankkivat..."
Tulossa on tosiaankin nykyistä pitemmälle meneviä velvoitteita yrityksille. Esimerkiksi asiakkaille pitää pystyä kertomaan, millaista tietoa heistä on kerätty, tietoturvaloukkauksista on ilmoitettava viranomaisille 72 tunnin kuluessa ja hallussa olevat vanhentuneet henkilötiedot on poistettava järjestelmällisesti.
Vastuut ja prosessit kuntoon
"Näitä koskee myös osoittamisvelvollisuus, jota tehostetaan vastuussa olevaan organisaatioon kohdistuvalla käänteisellä todistustaakalla. On pystyttävä osoittamaan dokumentit ja prosessikuvaukset, jotka näyttävät, että velvoitteet on otettu huomioon."
Uskon aidosti, että kun maailma muuttuu ja datan merkitys kasvaa, tietosuoja-asetus pakottaa ottamaan huomioon datan liiketoiminnan osana.”
Tätä kautta tietosuoja-asetus tarjoaa siis myös mahdollisuuden selkiyttää yrityksen sisäistä työnjakoa ja sujuvoittaa prosesseja.
"Uskon aidosti, että kun maailma muuttuu ja datan merkitys kasvaa, tietosuoja-asetus pakottaa ottamaan huomioon datan liiketoiminnan osana ja miettimään myös mahdollisuuksia. Kun kuluttajille tarjotaan uusia digitaalisia palveluita, uudistus panee miettimään, miten heidän oikeutensa otetaan huomioon ja miten tietoturva toteutuu. Kun näitä mietitään, syntyy mahdollisuuksia myös uudelle liiketoiminnalle."
Siis kun yritys joutuu selvittämään, mitä kaikkea dataa sillä on hallussaan, voi syntyä ideoita uudenlaisesta liiketoiminnasta. Ja kuluttajat puolestaan ottavat uudet palvelut hanakammin käyttöön, kun he voivat luottaa siihen ettei heidän luovuttamaansa tietoa käytetä väärin.
Riskinä jopa miljoonaluokan sakot
Jotta asian vakavuus tulisi selväksi, tietosuoja-asetukseen liittyy tuntuva taloudellinen sanktioriski. Aiemmin meillä ainoastaan luonnolliset henkilöt ovat voineet joutua rangaistuksi tietosuojarikkeestä. Nyt viranomaisilla on oikeus langettaa myös yrityksille huimat sakot, 20 miljoonaa euroa tai 4 prosenttia yrityksen globaalista liikevaihdosta, jos siitä kertyy vielä isompi summa.
"Tämä on kopioitu suoraan kilpailuoikeudesta ja johtaa siihen, että yritysten kannattaa tosiaan huolellisesti panostaa tietoturva-asioihin ja kouluttaa henkilöstöään."
Jukka Lång kouluttaa aiheesta Aalto PRO:n Tietosuojalain uudet standardit - käytännön työkalut muutoksen hallintaan -koulutuksessa. Siinä tutustutaan henkilötietojen suojaa koskevaan lainsäädäntöön sekä pureudutaan muutoksen hallintaan ja sopimusten merkitykseen uuden tietosuoja-asetuksen näkökulmasta. Tule mukaan ja tiedä, mihin toimenpiteisiin tulisi juuri nyt panostaa. Lue lisää ohjelmasta »