- 9.2.2018

10 harhaa ja myyttiä GDPR tietosuoja-asetuksesta – osa 2

Kaksiosaisessa GDPR-myyttejä käsittelevässä sarjassa suoristamme yleisimpiä tietosuoja-asetukseen liittyviä harhoja ja väärinkäsityksiä.

Ensimmäisessä osassa kävimme lyhyesti läpi, miten EU GDPR vaikuttaa yrityksiin. Otimme myös ensimmäiset viisi myyttiä tarkasteluun.

Paljon on puhuttu ja kirjoitettu siitä, mitä kaikkea GDPR sisältää. Mutta osa puheista ja sisällöistä sisältää väärinkäsityksiä ja harhoja. Mitä lähemmäksi toukokuu tulee, sitä kuumemmaksi keskustelu käy. Fakta ja fiktio sekoittuvat helposti eikä tämä ainakaan auta ketään omien GDPR-selvitysten ja prosessien rakentamisessa.

Vinkkinä, jos joku väittää olevansa GDPR-asiantuntija, siihen kannattaa suhtautua varauksella. Mitään täysin valmista GDPR-sapluunaa kaikille yrityksille ei ole olemassa.

Jatkamme myyttien murtamista. Seuraavat viisi myyttiä ja harhaa tietosuoja-asetuksesta, olkaa hyvä!

Myytti 6 – GDPR koskee vain yksilöityä henkilötietoa (PII – personally identifiable information)

GDPR ei rajoitu pelkästään yksilöityyn henkilödataan. Se laajentaakin yleisesti Yhdysvalloissa käytettyä henkilötietokäsitettä paljon laajemmaksi. IP-osoitteita ja evästeitä ei tule enää ajatella anonyymina datana. Asetus koskee henkilötietoja, joko suoraan tai välillisesti tunnistettavana.

Riittävän paljon tietoa sanallisesti kuvattuna yksilöi henkilön. Matkapuhelimesi sijaintitieto, jota todennäköisesti käytät, yksilöi esimerkiksi liikkumisesi.

Vinkki. Jos et jo tiennyt, niin esimerkiksi Google Analyticsin puolelle ei tähänkään mennessä ole saanut kerätä henkilöityä dataa (PII) kuten esimerkiksi puhelinnumeroita, sähköpostiosoitteita tai käyttäjien tietoja URL-osoitteissa. Tämä rikkoo Googlen itsensä asettamia sääntöjä.

Myytti 7 – GDPR koskee vain eurooppalaisia yrityksiä

GDPR vaikuttaa myös esim. amerikkalaisiin ja aasialaisiin yrityksiin, jotka tarjoavat palveluitaan ja tuotteitaan EU-alueella, tai seuraavat EU-alueella asuvien ihmisten toimintaa, riippumatta heidän toimipisteestä tai palvelinten sijainnista.

Erään markkinatutkimuksen mukaan jopa 53% yhdysvaltalaisista yrityksistä kokee, että GDPR ei aiheuta lisätoimenpiteitä heidän nykytilaansa. Isoista yhtiöistä esimerkiksi Google, Microsoft ja Veritas ovat avoimesti kertoneet omasta valmiudestaan.

Myytti 8 – Asetuksen rikkominen aiheuttaa välittömät sakot

Pahimmillaan tietosuoja-asetuksen rikkominen voi aiheuttaa yritykselle sakot, joka vastaa neljää prosenttia konsernin viimeisestä vahvistetusta globaalista liikevaihdosta tai 20 miljoonaa euroa, kumpi vain on isompi. Tämä on tietenkin saanut ihmiset varpailleen.

Tosiasiassa sakko ei kuitenkaan ole ainoa tai ensimmäinen sanktio.

Todellisuudessa huomautus, korjauspyyntö sekä mahdollinen tietojenkäsittelykielto voivat olla jo riittävän kovia toimia, joiden seurauksena liiketoiminta kärsii merkittävästi. Oman riskinsä tuo myös maineen menetys.

Lisäksi on syytä muistaa, että maksimisanktio voi kertaantua sekä henkilöt voivat lisäksi asettaa omia vaatimuksiaan tietojensa väärinkäytöstä.

Sanktiot eivät kuitenkaan ole kannustin. Kun toimit asetuksen mukaisesti, suoritat riskikartoituksen sekä otat oman tietosi hallintaan, olet tehokkaampi kuin kilpailijasi, j­a vielä pienemmällä riskillä. Tämä on ­tutkittua tietoa. Haasta meidät, jos et usko.

Myytti 9 – Taasko ollaan EU:n mallioppilaita, mitenkähän Etelä-Euroopassa?

Tietosuoja-asioissa Pohjoismaat ja Baltian alue ovat käytännössä vuosikausia jäljessä sekä Keski-Eurooppaa että Etelä-Eurooppaa. Vaikka lakimme ovatkin ehkä olleet suhteellisen tiukkoja, niitä ei ole valvottu riittävällä tasolla.

Esimerkkinä englantilainen yhtiö, joka ilman hyväksyntää soitti 146:lle miljoonalle henkilölle markkinointipuheluita. Yhtiö sai 350 000 punnan sakot. Italiassa paikallinen viranomainen taasen määräsi viidelle yhtiölle yhteensä 11 miljoonan euron sakot henkilötietojen väärinkäytöstä.

Myytti 10 – Odotan ja ostan valmisratkaisun tähän, tämä muuttuu vielä tai tulee lisäaikaa?

Monet organisaatiot, niin julkisella kuin yksityisellä puolella, odottavat jonkinlaista valmisratkaisua. Sitä ei kuitenkaan ole tulossa.

Jokaisella organisaatiolla on erilaisia haasteita. Ja vaikka yksittäisiä osa-alueita voidaankin ratkaista valmistuotteilla, kuten esimerkiksi tiedon arkistointi, niin moniin liiketoiminnan prosesseihin ei löydy ratkaisua kaupan hyllyltä.

Lisäksi olemme usein kuulleet, että ”tämä nyt tulee vielä muuttumaan eikä tule tällaisenaan menemään läpi”. Asetus on jo voimassa ja on siis mennyt läpi. Jokaiseen lakiin voi tulla muutoksia, mutta toivekuvaa on turha jäädä odottamaan.

Kohti kevättä

Kun yrityksesi tietoja käsitellään oikein ja teillä on riskienhallinta hallussa, liiketoimintasi on turvallisissa kantimissa. Riittävä dokumentaatio, prosessit sekä henkilöstön osaamisen tietoinen hallinta ovat osatekijöitä, jotka auttavat matkallasi kohti EU GDPR-valmiutta.

Juha Sallinen on GDPR Techin toimitusjohtaja ja perustaja. GDPR Tech on täysin EU:n tietosuoja-asetukseen keskittynyt yritys, joka tarjoaa laajan ratkaisuvalikoiman GDPR:ään.

Haasta meidät tai pyydä käymään. Kerromme, miten organisaation intranetissä tai pilvipalvelussa olevat tiedot saadaan hallintaan asetuksen mukaiselle tasolle.

Aiheesta lisää

Tutkimus: Suomalaisten IT-ahdistus on liioiteltua Sinisen Meteoriitin tilaaman tutkimuksen mukaan yli 80 % työssäkäyvistä suomalaisista suhtautuu positiivisesti uusiin digitaalisiin työvälineisiin. Va...
Valo voitti jälleen ClearBoxin Intranet Choice – Value -palkinnon Brittiläinen konsulttifirma ClearBox tekee vertailua SharePoint intranet-ratkaisuista ja palkitsee vuosittain parhaat ratkaisut. Valo valittiin juuri ...
Moderni SharePoint on kuumaa kamaa Järjestimme 6.11. Microsoft-talolla tilaisuuden "Uuden sukupolven intranet ja moderni Office 365". Päivän teemana oli moderni SharePoint ja moderni Va...
Kumpi voittaa, äly vai tunne? Järjestimme lokakuun 23. päivä Kämpin Peilisalissa tapahtuman otsikolla "Äly, tunne & työpäiväkokemus". Päivän aikana kysyimme osallistujilla seur...
Valo tuplafinalisti 2018 ESPC Awardsissa Valo on jo kolmatta vuotta putkeen finalistina 2018 ESPC Awardsissa.. Ja, mikä mahtavinta, Valo on jo toista kertaa mukana tuplafinalistina! Valo o...
Office 365 Keep on Track -webinaari, lokakuu 2018 Lokakuun webinaari on paketissa, ja takki on taas hetken aikaa suhteellisen tyhjä. Fiilis on kuitenkin kaikkea muuta kuin tyhjä, ja kärsimättöminä odo...

Kommentoi