25.5.2018 Suomessa ja Euroopan Unionissa astuu voimaan GDPR-asetus,eli suomeksi EU:n tietosuoja-asetus. Asetus velvoittaa kaikkia yrityksiä jotka käsittelevät henkilötietoja EU:n alueella, mikäli yhtiöllä on yhtään asiakkaita tai työntekijöitä.
Hanke sai lähtösykäyksensä vuonna 2012, kun eräs EU-kansalainen ei toistuvista pyynnöistään huolimatta saanut Facebookia kertomaan, mitä kaikkea tietoa hänestä oli kerätty talteen ja mahdollisesti välitetty eteenpäin USA:n viranomaisille. Usean vuoden oikeustaisteluiden jälkeen EU-tuomioistuin määräsi Facebookin toimittamaan kysyjälle maksutta kaiken tiedon mitä henkilöstä oli Facebookiin tallennettuna. Tietoja oli painetussa muodossa runsaat 1100 A4-sivua.
Vuosia kestänyt oikeusjuttu havahdutti EU:n päivittämään kantojaan pilvipalveluihin, sähköisiin henkilörekistereihin, missä ja miten rekisteritietoja säilytetään, kuka tietoihin pääsee käsiksi, mitä tietoa ylipäätään saa kerätä ja kenelle niitä saa luovuttaa. Samalla kun tietojen keräämistä ja säilyttämistä koskevat asetukset päivitettiin ajan tasalle, lanseerattiin kansalaisille "oikeus tulla unohdetuksi", sekä mahdollisuus oikaista rekisteriin kirjattuja vääriä tietoja. Erityisesti tämä poistamis- ja muuntamisokeus ei ole aivan ongelmatonta, koska tiedon säilyttämiseen voi olla laillinen peruste. Rajanvetoa näistä asioista tullaan varmasti vielä käymään.
"Mitäs sitten?" kysyy kiireinen lukija. EU määräsi kaikille henkilörekisterien pitäjille hyvin kattavat vaatimukset ja erittäin kovat rangaistusmaksut mikäli vaatimuksia ei noudateta. GDPR-rikkomuksista voidaan määrätä rangaistusmaksua maksimissaan 20 miljoonaa euroa tai 4% yhtiön kansainvälisestä liikevaihdosta. Tämä on tietenkin maksimirangaistus, mutta kuvastaa sitä kovaa linjaa jonka EU on ottanut henkilörekisteriasioiden hoitamisen suhteen. Yrityksissä kannattaakin huomioida, että asetuksen astuessa voimaan valvovilla viranomaisilla on varmasti tarvetta löytää muutama varoittava julkinen esimerkki - opiksi ja ojennukseksi muille yrityksille. Tarkkana kannattaa siis olla.
”25.5.2018 tulee kovin äkkiä emmekä ole tehneet vielä mitään? Miten kannattaa toimia?” Tietosuojavaltuutetun sivuilta www.tietosuoja.fi voi käydä lukemassa viranomaisen julkaisemat ohjeet. Käytännössä asetuksen vastaiset henkilörekisterit pitää hävittää, ja tiedot pitää suojata asiattomilta salasanoin ja muilla tekniikan keinoilla. Sen lisäksi pitää tehdä tietosuoja- ja henkilöstön koulutussuunnitelma, sekä mahdollisesti valita yhtiölle tietosuojavastaava. Palveluna ostettujen tietojärjestelmien osalta kannattaa olla yhteydessä palveluntarjoajaan, ja kysyä mitä olisi tärkeää tehdä jotta GDPR-vaatimukset tulevat täytetyiksi heiltä hankitun järjestelmän osalta. Asetus on yritysten kannalta siltäkin osin hankala, että yhtiö voi saada rangaistumaksun maksettavakseen tietosuoja-asetuksen määräysten rikkomisesta, vaikka yrityksen henkilörekistereihin ei vielä olisikaan tehty tietomurtoa eikä mitään todellista vahinkoa olisi päässyt tapahtumaan. Pelkän tuurin varaan ei siten voi enää laskea.
Tietosuoja-asetus koskee jokaista Suomessa asuvaa koska heidän tietojaan on erilaisissa henkilörekistereissä. Sanktiouhka kohdistuu ensisijaisesti tietojen käsittelijöihin ja rekisterinpitäjiin, mutta viime kädessä todelliset vahingot kohdistuvat niihin henkilöihin joiden tietoja näissä rekistereissä on. Pitäkäämme yrityksissämme hyvää huolta työntekijöidemme ja asiakkaidemme henkilötiedoista. Tässä asiassa mokaaminen voi tulla yritykselle arvaamattoman kalliiksi, niin rahassa kuin varsinkin maineessa mitattuna.
Kirjoittaja Heikki Juhola toimii myyntijohtajana HeadPower Oy:ssä joka toimittaa pilvipalveluita infraverkkoyhtiöille. Digitaaliset tuotekokonaisuudet koostuvat sovelluksista ja ohjeistoista, jotka helpottavat ja tehostavat verkonhaltijoiden, suunnittelijoiden, urakoitsijoiden ja tarviketoimittajien jokapäiväistä työskentelyä.
© Koodiviidakko Oy - Y-tunnus 1939962-1