15.03.2017 | Blogi

EU:n tietosuoja-asetus eli GDPR – uhka vai mahdollisuus?

Viime vuoden toukokuussa Euroopan komissio päätti nykyaikaistaa henkilötietosääntelyn. Asetettiin tietosuoja-asetus eli GDPR (General Data Protection Regulation), jonka myötä vahvistetaan yksilön oikeuksia omiin tietoihinsa ja selkeytetään yrityksen velvollisuuksia. Asetuksessa on myös määritelty uhkasakko: maksimissaan 4% globaalista liikevaihdosta tai 20 Meur riippuen kumpi osoittautuu suuremmaksi. Fiksuimmat yritykset kääntävät uhan mahdollisuudeksi. Oletko heidän joukossaan?

Tietosuoja-asetuksen moottori on yksilön oikeuksien parantaminen monen kirjavassa globaalissa pelikentässä. Asetus tarjoaakin erityisesti kansainvälisille yrityksille yhtenäisen lainsäädännön, sillä asetus koskee EU-maiden lisäksi myös ulkomaisia yrityksiä, jotka tarjoavat palveluita EU:n kansalaisille tai seuraavat heitä.

Muutosten toteutuminen vaatii yrityksiltä usein investoinnin nykyiseen ympäristöön

Keskeisimmät yksilöä turvaavat muutokset ovat oikeus

  • siirtää tiedot järjestelmästä toiseen
  • tulla unohdetuksi
  • saada informaatiota
  • vastustaa ja rajoittaa tietojen käsittelyä
  • saada ilmoitus tietovuodosta
  • saada omiin tietoihin pääsy ja tarvittaessa oikaista ne

Nykyään esimerkiksi tietojen siirto palveluntarjoajalta toiselle koneluettavassa muodossa on hyvin usein mahdotonta. Myös oikeus tulla unohdetuksi vaatii prosessin, jolla yksilön tiedot voidaan poistaa tai anonymisoida. Jotta yksilöllä on tulevaisuudessa myös pääsy omiin tietoihin ja mahdollisuus niiden oikaisuun, tarvitaan siihenkin alusta. Rekisteröityneen on pystyttävä itse tarkastelemaan omia tietojaan. Hänelle on myös tarjottava mahdollisuus tarvittaessa korjata ja päivittää niitä.

Käytännössä tietosuoja-asetus vaatii yritykseltä siis sisäisten prosessien tarkistamisen lisäksi uusia tietojärjestelmäratkaisuja.

Eikä sovi unohtaa että erilaisille datatyypeille on erilaista sääntelyä. Tietojen mallinnukselta vaaditaan siis paljon.

Yrityksen velvollisuus on huolehtia yksilön oikeuksista

Yrityksen velvollisuus on taas huolehtia yksilön oikeuksista noudattamalla tietosuojaperiaatteita ja tarvittaessa osoittamalla niiden noudattaminen. Tämä tarkoittaa puolestaan sitä, että yrityksen dokumentointivelvollisuudet kasvavat ja yritykseltä odotetaan erilaisia selosteita, toiminnan kuvauksia, auditointeja, sopimuksia, sisäisiä koulutuksia jne.

Erilaiset dataselvitykset ovat välttämättömiä toiminnan kuvaamiseksi: mitä dataa meillä on ja missä, mihin sitä käytetään, kuka dataa hallinnoi, kenellä on pääsy tietoihin, miten data siirtyy järjestelmistä ja tietokannoista toisiin? Näitä selvityksiä tai tietosuojavastaavien nimeämisiä ei ole tehty vielä monessakaan yrityksessä.

Selvityksen tekeminen mahdollistaa myös aiemmin tunnistamattomien kehityskohtien havaitsemisen

Lähteet: Building Consumer Trust, Deloitte University Press, 2014; The state of online privacy 2016, http://www.truste.com/blog/2016/01/28/state-online-privacy-2016

GDPR voi parhaimmillaan olla yrityksesi ensimmäinen askel kohti dataohjautuvaa yrityskulttuuria, tiedolla johtamista sekä askel kohti digitaalisen asiakaskokemuksen parantamista.

Mikäli tarvitset apua GDPR-aallokon yli seilaamiseen ja haluat saada GDPR-asiat liiketoimintalähtöisesti yrityksessäsi kuntoon, ole rohkeasti yhteydessä! Laivasi saattaa hyvinkin kääntyä kohti todellista aarresaarta. Lue lisää tietosuojapalveluistamme.

Sanna Öster työskentelee Solitan analytiikka-tiimissä datakonsulttina. Hänellä on kokemusta asiakastiedon projekteista, asiakkuuksien johtamisesta ja tiedon hyödyntämisestä liiketoiminnassa. Vapaa-ajalla Sannan pitää vauhdissa kaksivuotias tytär, juoksulenkkarit ja erilaiset itsensä kehittämisen projektit kuten jatkuva opiskelu.