16 May 2018

GDPR – henkilötietojen uusi aikakausi

Harva nettiä käyttävä on voinut välttyä kuulemasta EU:n uudesta tietosuoja-asetuksesta, joka tunnetaan myös englanninkielisellä lyhenteellä GDPR. Asetus on ollut voimassa jo kohta kaksi vuotta, mutta siirtymäaika, jonka jälkeen kaikkien on asetusta noudatettava, päättyy 25.5.2018.

Kohti yhtenäisempää markkina-aluetta

Tietosuoja-asetuksella on mielestäni kaksi päätavoitetta: yhtenäistää tietosuojakäytännöt EU-maissa ja suojata EU-kansalaisten henkilötietoja väärinkäytöltä sekä EU:n sisällä että sen ulkopuolella. Käytäntöjen yhtenäistämisellä halutaan helpottaa todellisen unionin laajuisen digitaalisten palveluiden markkina-alueen syntymistä. Verrokkina on tietenkin digitaalisten palveluiden suunnannäyttäjä Yhdysvallat, joka on liittovaltiona hyvin yhtenäinen markkina-alue.

GDPR vahvistaa yksilön oikeuksia

Suomessa henkilötietojen käsittelyä on jo säännelty henkilötietolaissa. GDPR tuo siihen kolme merkittävää lisäystä: seuraamusmaksun, oikeuden tulla unohdetuksi ja dokumentointivaatimuksen. Vaikka seuraamusmaksun suuruudesta tai sen määräytymisestä ei vielä luonnollisestikaan ole oikeita esimerkkejä, sen pääasiallinen tarkoitus on toimia pelotteena isoille informaatioteknologia-alan yrityksille väärinkäytön estämiseksi. Seuraamusmaksun tarkoituksena ei ole karkottaa pieniä innovatiivisia toimijoita pois markkinoilta tai hidastaa digitaalisten palvelujen käyttöönottoa esimerkiksi koulusektorilla. Dokumentointivaatimuksen myötä henkilötietojen käsittelyn elinkaaren vaiheet organisaatiossa on dokumentoitava ja oikeus tulla unohdetuksi antaa kuluttajalle mahdollisuuden vaatia omien tietojensa hävittämistä eri palveluista.

Kaikki muuttuu – vai muuttuuko?

Tietosuoja-asetusta on myös valitettavasti ylitulkittu ainakin kolmesta näkökulmasta. Ensimmäinen ylitulkinnan kohde on kerättävien tietojen tyyppi eli asetus koskee vain henkilötietojen keräämistä. Asetus ei siis koske kaikkea yrityksissä tai yhteisöissä käsiteltävää tietoa, josta kuitenkin valtaosa on muuta kuin henkilötietoa. Toinen ylitulkinnan kohde on luvanvaraisuus. Lupaa henkilötietojen keräämiseen ja käsittelyyn ei edelleenkään tarvita, jos nämä perustuvat laissa määritettyyn oikeuteen tai velvollisuuteen ylläpitää henkilörekisteriä. Kolmas ylitulkinta on ollut liiallinen seuraamusmaksuun keskittyminen: toki maksimissaan 20 miljoonan euron suuruinen sakko kuulostaa pahalta, mutta se ei ole tietosuoja-asetuksen pääsisältö.

GDPR:n vaikutukset yrityksissä

Monissa yrityksissä GDPR on aiheuttanut merkittävästi lisätyötä ja kustannuksia, koska tietojärjestelmät ja käytännöt on jouduttu päivittämään GDPR-yhteensopiviksi. Mekin olemme käyneet läpi ja dokumentoineet henkilötiedon käsittelyn eri vaiheet markkinoinnin, myynnin ja tuotteen ylläpidon prosesseissa. Tätä työtä on helpottanut pilvipalveluiden käyttö: kaikki data on pilvessä ja käytämme pilvipalveluita vain luotettavilta toimijoilta, joilla tietosuojaan kuuluu itsestäänselvyytenä muuttuvan lainsäädännön vaatimusten noudattaminen. Olemme myös sangen nuori yritys, joten meillä ei ole vanhojen, teknologioiltaan ehkä jo parhaat päivänsä nähneiden, tietojärjestelmien ylläpidon taakkaa. Lupaammekin asiakkaillemme ja muille sidosryhmillemme, että toimimme vastuullisesti myös henkilötietojen käsittelyn uudella aikakaudella, joka alkaa 25.5.2018.

 

Jukka Pirinen

Tuotekehitys ja tietoturva
jukka(ät)qridi.fi