Suomi on sääntöjen johtava maa EU-alueella yli 700 erityslainsäädännöllään – kaukana perässä tulee Saksa vain 300 vastaavalla. Varmasti osittain tämän vuoksi tietosuoja-asetus eli GDPR aiheuttaakin monissa reaktion epämieluisasta rajoitteesta. Kysymys ei kuitenkaan ole rajoitteesta, vaan pikemminkin mahdollisuudesta saavuttaa kilpailuetua vastuullisuuden ja toimivien prosessien avulla.
Tässä blogiartikkelissa yhteistyökumppaniltamme Opsecilta Jari Ala-Varvi kertoo näkemyksiään EU:n tietosuoja-asetuksesta ja sen asettamista velvoitteista!
Tietosuoja-asetuksen vaatimuksista on helppoa nostaa yksi, ylitse muiden oleva toimenpide: ”Useimmissa GDPR-hankkeissa yli puolet ajasta kuluu sen määrittämiseen, mitä henkilötietoja yrityksessä on ja missä nämä tiedot sijaitsevat”, kertoo Ala-Varvi. Esimerkkinä hän mainitsee tilanteen, jossa yritys on toiminut 20 vuotta ja tallentanut henkilöiden tietoja 90-luvulta lähtien erilaisten markkinointi- ja mainoskampanjoiden myötä. Kun mitään tietoja ei ole vuosien saatossa poistettu, henkilötietoja on hajallaan useissa eri tietojärjestelmissä, palvelimilla, asemilla ja lukuisissa muissa paikoissa.
”Pelkästään sen selvittämiseen, mitä tietoja yrityksessä on, vie runsaasti aikaa – etenkin, kun todella moni joutuu tekemään työn manuaalisesti,” kertoo Ala-Varvi. Kaikkein olennaisinta onkin tietojen tunnistaminen, sillä mitään ei voida suorittaa, jos olennaisia tietoja ei tunnisteta.
Tiedonhallinnan näkökulmasta tietosuoja-asetuksella on suoria vaikutuksia yritystoimintaan: rekisterinpitäjä kantaa vastuun tiedon virheettömyydestä ja oikeellisuudesta. Virheet ja puutteet henkilötiedoissa voivat aiheuttaa ongelmia esimerkiksi laskutukseen, tuotteiden toimituksiin ja pahimmillaan sanktioita ja kanteita. ”On lain vaatimus ja edellytys huolehtia, että tiedot ovat ajan tasalla ja virheettömiä”, muistuttaa Ala-Varvi.
Tiedon luottamuksellisuus on myös olennainen osa tiedonhallintaa, sillä tietoa ei saa vuotaa organisaation ulkopuolelle. ”Kyse ei ole pelkästään tekniikasta – kaikki lähtee siitä, että tiedetään mitä henkilötietoja on, mitä tehdään ja lisäksi seurataan tekemistä”, Ala-Varvi tiivistää.
Vaikka tietosuoja-asetus onkin lain edellyttämä vaatimus, ei sen tarvitse olla epämiellyttävä ja huono asia. GDPR on mahdollista valjastaa markkinoinnin ja myynnin hyötykäyttöön kilpailuedun luojaksi: ”On ensisijaisen tärkeää huolehtia asiakkaista, yhteistyökumppaneista ja muista tahoista sekä ennen kaikkea osoittaa vastuullisuus näkyvästi”, huomauttaa Ala-Varvi. ”Nykyisin markkinoilla kilpailu on niin valtavaa, jolloin laatu ratkaisee”, Ala-Varvi jatkaa.
Välinpitämättömyys tietosuoja-asetusta kohtaan voi pahimmillaan aiheuttaa suuria sanktioita, mutta suurempi huolenaihe on, että valvontaviranomainen asettaa esimerkiksi viikon käsittelykiellon henkilötiedoille rekisteröidyn valituksen perustella. Tällainen käytännön rajoite muutamaan kertaan toistettuna voi tuoda mukanaan hallinnollista sanktiotakin suurempia murheita – yhtään laskua ei lähde, yhtään asiakasta ei tule.
”Meillä GDPR-projektit lähtevät yleensä liikkeelle siten, että istumme saman pöydän ääreen niiden henkilöstön edustajien kanssa, jotka tietävät missä henkilötietoja on ja miten niitä käsitellään”, kertoo Ala-Varvi. ”Kun tiedon elinkaari kuvataan konkreettisesti esimerkiksi fläppitaululle, alkaa kokonaisuus hahmottua jokaiselle pöydän ääressä istuvalle”. Tällöin on myös helppo havaita tehostamisen paikkoja. Esimerkiksi isojen tietovarantojen läpikäymisessä voi turvautua automatiikkaan ja ylimääräisiä järjestelmiä voi jopa karsia välistä pois.
Projektin edetessä myös henkilöstön oma osaaminen kasvaa, mikä lisää osaltaan työn mielekkyyttä ja tuo tehokkuutta toimintaan. ”Jokainen organisaatio on erilainen, joten on tärkeä toteuttaa GDPR-hankkeet vastaamaan henkilöstön ja yrityksen tarpeita”, tiivistää Ala-Varvi. Tietosuoja-asetus ei aseta velvoitteita, miten henkilötietojen käsittelyä koskevat vaatimukset on toteutettava, vaan jokaisella yrityksellä on vapaus valita omat keinonsa viedä GDPR käytäntöön.
Kun toukokuussa voimaan astuvan tietosuoja-asetuksen eteen on nähtävä vaivaa, aiheuttaa se monille organisaatioille lisäkustannuksia. ”GDPR ei kuitenkaan itsessään aiheuta kustannuksia, vaan työ sen eteen, kun asioita ei aiemmin ole hoidettu kuntoon”, toteaa Ala-Varvi. Samalla hän peräänkuuluttaa viimeistään nyt laittamaan henkilötietojen käsittelyn prosessit kuntoon, jottei muutaman vuoden päästä eteen tule taas samaa tilannetta. Nyt on oikea hetki tarkastella järjestelmävalintoja sekä pohtia esimerkiksi sitä, onko erilliselle tiedonhallinnan ratkaisulle tarvetta!
Lataa maksuton GDPR-opas rekisteröidyn oikeuksien täyttämisestä, josta saat lisätietoa tiedonhallinnan automaatiosta ja siitä, miten rekisteröidyn oikeudet on mahdollista täyttää helposti ja vaivatta!
Opsec Oy on tietohallinnon, tietoturvan ja ICT-ulkoistusratkaisujen asiantuntijapalveluja tarjoava yritys. Jari Ala-Varvi on tietosuojavastaava ja yrittäjä, jolla on vankka kokemus sekä IT-alalta että lakiasioista.