- 2.2.2018

10 harhaa ja myyttiä GDPR tietosuoja-asetuksesta – osa 1

EU GDPR (General Data Protection Regulation) eli uusi EU:n yleinen tietosuoja-asetus tulee pian. Regulaatio astuu voimaan kovennettuna 25.5.2018 alkaen. Jos et vielä tiedä mikä GDPR on tai miten se koskettaa yritystäsi, voit olla jo pahasti myöhässä.

Lyhyesti kiteytettynä GDPR yhtenäistää henkilötietojen käsittelyä EU:n alueella. Sen avulla pyritään viemään henkilötietoihin liittyvä tietojenkäsittely digiaikaan. Suomen nykyinen henkilötietolaki on vuodelta 1999. Esimerkiksi Facebook perustettiin viisi vuotta tuon jälkeen, joten lakimme ei voi tuntea Facebookin tapaa käsitellä tietojamme.

Miksi GDPR:n pitäisi olla tuttu sinulle? Lyhyesti, jos sinulla on asiakkaita tai työntekijöitä yrityksessäsi tai organisaatiossasi, GDPR:n tunteminen on olennaista. Jos sinulla on yritys ja hallussasi on mitä tahansa dataa asiakkaistasi tai henkilökunnastasi, tämä koskee sinua.

Aiheesta on kirjoitettu paljon ja yksi asia on varma. Monet ovat edelleen aika pihalla mitä tietosuoja-asetus käytännössä tarkoittaa. Ja koska aiheesta on kirjoitettu niin runsaasti, emme halua tässä yrittää kertoa mitä GDPR tarkoittaa. Sen sijaan haluamme kertoa mitä GDPR ei tarkoita.

Haluamme rikkoa myyttejä sekä harhoja asetuksen osalta.

Otamme tarkasteluun kymmenen tietosuoja-asetukseen liittyvää myyttiä, joissa fakta ja fiktio menevät useimmiten sekaisin. Tässä niistä ensimmäiset viisi ja jatkoblogissamme tulee toinen mokoma.

Myytti 1 – GDPR ei koske meitä

Uudistus koskee jokaista yritystä. Jos sinulla on yritys ja sinulla on asiakkaita, uudistus koskee sinua. Jos sinulla on yritys, mutta ei asiakkaita, olet kehittänyt uuden mielenkiintoisen liiketoimintamallin.

Jos sinulla on yrityksessäsi työntekijöitä, tämä koskee sinua. Tietosuoja-asetus kohdentuu siis kaikkiin eläviin ihmisiin.

Myytti 2 – Vielä on aikaa

Asetus astuu voimaan 25.5.2018. Jos et vielä ole reagoinut asiaan millään tavoin, sinulle tulee kiire. Jos toimit jo entuudestaan erittäin säännellyllä toimialalla, kuten terveydenhuollossa tai finanssialalla, voivat tarvittavat toimenpiteet olla yrityksenne kohdalla varsin maltillisia.

Veritas Technologiesin syksyllä 2017 toteuttaman kansainvälisessä tutkimuksen mukaan noin 2% vastaajista olivat valmistautuneet riittävällä tavalla. Tämän blogin julkaisuhetkellä sinulla on noin 110 päivää aikaa laittaa asioita parempaan kuntoon, alle 100 työpäivää.

Myytti 3 – Meillä on jo riittävät valmiudet

Jos kuvittelet, että asetus ei vaadi teiltä mitään toimenpiteitä, olet väärässä. Monissa organisaatioissa ei olla valmistauduttu henkilötietojen luovuttamiseen tai tietojen poistoon asetuksen määrittämässä aikaikkunassa, puhumattakaan 72 tunnin määräajasta tietovuotojen ilmoitusvelvollisuuden osalta.

Symantecin kansainvälisessä tutkimuksessa vuonna 2016 tietovuotojen top 10 kärjessä olivat tietojen varastaminen ja tietojen väärinkäyttö.

Myytti 4 – Yrityksessämme ei käsitellä henkilötietoja

Jos yritykselläsi on asiakkaita tai työntekijöitä, niin henkilötietoja löytyy jostain takuuvarmasti. Kyse ei ole pelkästään järjestelmistä. Jos teillä käytetään asiakkuudenhallintaan Exceliä, niin lopputulema on täysin sama.

Entä ne messuilta kerätyt liidit, jotka käsiteltiin ensin paperisina lippuina? Ja joita jatkokäsitteli alihankkijanne – minne kaikkialle näiden henkilöiden tiedot päätyivätkään? Hmm… lapussahan luki näin: ”Vastanneiden nimi- ja osoitetietoja voidaan käyttää ja luovuttaa suoramarkkinointitarkoituksiin henkilötietolain mukaisesti”.

Tai, asiakas vaivautui lukemaan rekisteriselosteen. Siinä kuvataan, että uuden mahdollisen asiakkaan tietoja voidaan käyttää ”asiakkuuteen ja asialliseen yhteyteen, kehittämiseen, analysointiin, liiketoiminnan suunnitteluun, yhtiön sisällä ja konsernin kumppanien käyttöön, suoramainontaan, etämyyntiin, suoramarkkinointiin tai muihin tätä sivuaviin tarkoituksiin”. Siis minne tietosi päätyvät, kun täytät yhteystietolomakkeen?

Ei näin. Tiedolla, jota kerätään, täytyy olla selkeä käyttötarkoitus. Ja sitä ei voi muuttaa ilman kyseessä olevan henkilön suostumusta.

Myytti 5 – Yritys x on sertifioitu GDPR-asiantuntija

Virallisesti sertifioituja ja asetuksen mukaisia GDPR-asiantuntijoita ei ole. Jos joku toisin väittää, hän valehtelee. Sertifioituja testikeskuksia, jotka toimivat esimerkiksi ISO 17024 -standardin mukaan, toki löytyy. Tämä ei kuitenkaan ole osa asetusta.

Edellyttääkö asetus sertifiointeja tai tarjoaako se malleja siitä? Ei.

Vaikka asiantuntija olisikin sertifioitu jonkin ulkoisen prosessin mukaisesti, ymmärtääkö hän juuri teidän liiketoimintaa tai prosesseja? Millaisia projekteja hän on ollut tekemässä? Entä millainen kokemus hänellä on asetuksen käytännön vaatimuksista?

Eräs englantilainen GDPR-konsultti kertoi aina jättävänsä rakenteettoman tiedon pois ohjeistuksistaan, koska sen käsittely on erityisen hankalaa. Eräs toinen konsultti taasen vaati asiakkaan kaikkia takuutietoihin liittyviä tietoja poistettavaksi.

Sain itse juuri autoani koskevan huoltokutsun ajoneuvoni turvallisuuteen liittyen. En todellakaan halua, että maahantuoja tai Trafi ei ole tietoinen ajoneuvoni ja turvallisuuteni tilasta. Vaikka ajattelemattomasti vaatisinkin tietojani poistettavaksi asetuksen mukaisesti. Järki käteen.

Järki käteen

Järjen käyttö on sallittua. GDPR-asetuksen mystifiointi ja asioiden ”lainopillistaminen” ei edistä asiaa kenenkään hyväksi. GDPR:n suhteen painotetaan liikaa asetuksen tiettyjä kohtia olettaen, että asiakkaat tuntevat nämä syvällisesti.

Ajattele asiaa vertauksen kautta. Onko sinulla ajokortti? Oliko autokoulun opettajasi lakimies? Nimittäin kun uutisissa seuraavan kerran viitataan, että ”huono keli tai lumisade aiheutti x kpl liikenneonnettomuuksia”, niin todellinen syyhän on autoilijassa, joka rikkoo tieliikennelain kohtaa §23. Kukaan ei kuitenkaan oleta, että autoilija tuntee tieliikennelain jokaisen pykälän.

Järki käteen ja EU GDPR haltuun hallitusti.

Lue 10 harhaa ja myyttiä GDPR tietosuoja-asetuksesta – osa 2

Juha Sallinen on GDPR Techin toimitusjohtaja ja perustaja. GDPR Tech on täysin EU:n tietosuoja-asetukseen keskittynyt yritys, joka tarjoaa laajan ratkaisuvalikoiman GDPR:ään.

Kommentoi