- 9.2.2018

10 harhaa ja myyttiä GDPR tietosuoja-asetuksesta – osa 2

Kaksiosaisessa GDPR-myyttejä käsittelevässä sarjassa suoristamme yleisimpiä tietosuoja-asetukseen liittyviä harhoja ja väärinkäsityksiä.

Ensimmäisessä osassa kävimme lyhyesti läpi, miten EU GDPR vaikuttaa yrityksiin. Otimme myös ensimmäiset viisi myyttiä tarkasteluun.

Paljon on puhuttu ja kirjoitettu siitä, mitä kaikkea GDPR sisältää. Mutta osa puheista ja sisällöistä sisältää väärinkäsityksiä ja harhoja. Mitä lähemmäksi toukokuu tulee, sitä kuumemmaksi keskustelu käy. Fakta ja fiktio sekoittuvat helposti eikä tämä ainakaan auta ketään omien GDPR-selvitysten ja prosessien rakentamisessa.

Vinkkinä, jos joku väittää olevansa GDPR-asiantuntija, siihen kannattaa suhtautua varauksella. Mitään täysin valmista GDPR-sapluunaa kaikille yrityksille ei ole olemassa.

Jatkamme myyttien murtamista. Seuraavat viisi myyttiä ja harhaa tietosuoja-asetuksesta, olkaa hyvä!

Myytti 6 – GDPR koskee vain yksilöityä henkilötietoa (PII – personally identifiable information)

GDPR ei rajoitu pelkästään yksilöityyn henkilödataan. Se laajentaakin yleisesti Yhdysvalloissa käytettyä henkilötietokäsitettä paljon laajemmaksi. IP-osoitteita ja evästeitä ei tule enää ajatella anonyymina datana. Asetus koskee henkilötietoja, joko suoraan tai välillisesti tunnistettavana.

Riittävän paljon tietoa sanallisesti kuvattuna yksilöi henkilön. Matkapuhelimesi sijaintitieto, jota todennäköisesti käytät, yksilöi esimerkiksi liikkumisesi.

Vinkki. Jos et jo tiennyt, niin esimerkiksi Google Analyticsin puolelle ei tähänkään mennessä ole saanut kerätä henkilöityä dataa (PII) kuten esimerkiksi puhelinnumeroita, sähköpostiosoitteita tai käyttäjien tietoja URL-osoitteissa. Tämä rikkoo Googlen itsensä asettamia sääntöjä.

Myytti 7 – GDPR koskee vain eurooppalaisia yrityksiä

GDPR vaikuttaa myös esim. amerikkalaisiin ja aasialaisiin yrityksiin, jotka tarjoavat palveluitaan ja tuotteitaan EU-alueella, tai seuraavat EU-alueella asuvien ihmisten toimintaa, riippumatta heidän toimipisteestä tai palvelinten sijainnista.

Erään markkinatutkimuksen mukaan jopa 53% yhdysvaltalaisista yrityksistä kokee, että GDPR ei aiheuta lisätoimenpiteitä heidän nykytilaansa. Isoista yhtiöistä esimerkiksi Google, Microsoft ja Veritas ovat avoimesti kertoneet omasta valmiudestaan.

Myytti 8 – Asetuksen rikkominen aiheuttaa välittömät sakot

Pahimmillaan tietosuoja-asetuksen rikkominen voi aiheuttaa yritykselle sakot, joka vastaa neljää prosenttia konsernin viimeisestä vahvistetusta globaalista liikevaihdosta tai 20 miljoonaa euroa, kumpi vain on isompi. Tämä on tietenkin saanut ihmiset varpailleen.

Tosiasiassa sakko ei kuitenkaan ole ainoa tai ensimmäinen sanktio.

Todellisuudessa huomautus, korjauspyyntö sekä mahdollinen tietojenkäsittelykielto voivat olla jo riittävän kovia toimia, joiden seurauksena liiketoiminta kärsii merkittävästi. Oman riskinsä tuo myös maineen menetys.

Lisäksi on syytä muistaa, että maksimisanktio voi kertaantua sekä henkilöt voivat lisäksi asettaa omia vaatimuksiaan tietojensa väärinkäytöstä.

Sanktiot eivät kuitenkaan ole kannustin. Kun toimit asetuksen mukaisesti, suoritat riskikartoituksen sekä otat oman tietosi hallintaan, olet tehokkaampi kuin kilpailijasi, j­a vielä pienemmällä riskillä. Tämä on ­tutkittua tietoa. Haasta meidät, jos et usko.

Myytti 9 – Taasko ollaan EU:n mallioppilaita, mitenkähän Etelä-Euroopassa?

Tietosuoja-asioissa Pohjoismaat ja Baltian alue ovat käytännössä vuosikausia jäljessä sekä Keski-Eurooppaa että Etelä-Eurooppaa. Vaikka lakimme ovatkin ehkä olleet suhteellisen tiukkoja, niitä ei ole valvottu riittävällä tasolla.

Esimerkkinä englantilainen yhtiö, joka ilman hyväksyntää soitti 146:lle miljoonalle henkilölle markkinointipuheluita. Yhtiö sai 350 000 punnan sakot. Italiassa paikallinen viranomainen taasen määräsi viidelle yhtiölle yhteensä 11 miljoonan euron sakot henkilötietojen väärinkäytöstä.

Myytti 10 – Odotan ja ostan valmisratkaisun tähän, tämä muuttuu vielä tai tulee lisäaikaa?

Monet organisaatiot, niin julkisella kuin yksityisellä puolella, odottavat jonkinlaista valmisratkaisua. Sitä ei kuitenkaan ole tulossa.

Jokaisella organisaatiolla on erilaisia haasteita. Ja vaikka yksittäisiä osa-alueita voidaankin ratkaista valmistuotteilla, kuten esimerkiksi tiedon arkistointi, niin moniin liiketoiminnan prosesseihin ei löydy ratkaisua kaupan hyllyltä.

Lisäksi olemme usein kuulleet, että ”tämä nyt tulee vielä muuttumaan eikä tule tällaisenaan menemään läpi”. Asetus on jo voimassa ja on siis mennyt läpi. Jokaiseen lakiin voi tulla muutoksia, mutta toivekuvaa on turha jäädä odottamaan.

Kohti kevättä

Kun yrityksesi tietoja käsitellään oikein ja teillä on riskienhallinta hallussa, liiketoimintasi on turvallisissa kantimissa. Riittävä dokumentaatio, prosessit sekä henkilöstön osaamisen tietoinen hallinta ovat osatekijöitä, jotka auttavat matkallasi kohti EU GDPR-valmiutta.

Juha Sallinen on GDPR Techin toimitusjohtaja ja perustaja. GDPR Tech on täysin EU:n tietosuoja-asetukseen keskittynyt yritys, joka tarjoaa laajan ratkaisuvalikoiman GDPR:ään.

Haasta meidät tai pyydä käymään. Kerromme, miten organisaation intranetissä tai pilvipalvelussa olevat tiedot saadaan hallintaan asetuksen mukaiselle tasolle.

Aiheesta lisää

Microsoft Sway – oletko valmis keinumaan? Office 365 -jumppa jatkuu ja tällä kertaa jumpataan keinuen. Kun puhutaan esitysohjelmistoista, niin ajattelet varmaan ensimmäisenä PowerPointia. Mutt...
Digitaalisuus tekee meistä inhimillisempiä Työ on murroksessa ja siitä voi syyttää teknologiaa. Tämä ei kuitenkaan tapahdu nyt ensimmäistä kertaa vaan hyvin samankaltainen ilmiö toteutui jo teo...
Case Tehy – sosiaalinen intra vastaa, kun sinne huudetaan  Tehy on sosiaali- ja terveysalan ammattijärjestö, joka tarjoaa edunvalvontaa yli 160 000 jäsenelleen. Tehyssä on reilut 120 työntekijää ja 13 aluetoim...
Vohvelin perusteet – näin tuunaat vohvelia Mitä eroa on hampurilaisella ja vohvelilla? Nyt ei puhuta ruokalajeista vaan digityötaidoista. Hampurilaisvalikolla viitataan usein kolmen viivan muod...
Digi-taka – näin saat enemmän irti digistä Jos rakastat jalkapalloa, tiedät varmasti käsitteen 'tiki-taka'. Se viittaa nopeaan liikkeeseen ja pallonhallintaan perustuvaan pelityyliin, muun muas...
Tökkiikö teknologia?  Väitän, että onnistunut teknologiaprojekti on 20 % teknologiaa ja 80 % työkulttuuria, työtapoja ja asennetta. Eikö kuulostakin hieman erikoiselta? Onn...

Kommentoi