Viime vuonna voimaan tullut yleinen tietosuoja-asetus (GDPR) on selkeyttänyt ja yhdenmukaistanut henkilötietojen käsittelyä Euroopan unionin jäsenmaissa.
Asetus ja sitä täydentävä kansallinen tietosuojalaki säätelevät, mitä velvollisuuksia rekisterinpitäjillä ja henkilötietojen käsittelijöillä on ja mitä oikeuksia rekisteröidyillä on.
Rubicin tietosuoja-asiantuntija Antti Halonen on auttanut useita järjestöjä, liittoja ja yrityksiä tietosuoja-asetuksen vaatimusten huomioimisessa. “Tietosuoja-asetukseen liittyi ennen sen voimaantuloa paljon turhaa pelottelua sakoilla ja tietosuojan toteuttaminen leimattiin vaikeaksi ja työlääksi”, Halonen toteaa.
“Tietosuojavaltuutetun toimisto on kuitenkin ansiokkaasti muistuttanut asetuksen todellisesta luonteesta ja suitsinut pelkoja”, Halonen arvioi.
Pelottelun sijaan Halonen korostaa tietosuoja-asetuksen tuomia hyötyjä. “Tietosuojassa on ennen kaikkea kyse siitä, että organisaatio kunnioittaa asiakkaidensa, työntekijöidensä ja jäsentensä yksityisyyttä ja oikeuksia. Se taas parantaa organisaation luotettavuutta”, hän sanoo.
Halosen mukaan tietosuojan huomioimisessa keskeistä on jatkuva kehittäminen ja henkilöstön osaaminen. “Tietosuojaa ei voi ostaa marketin hyllyltä, vaan se on kokonaisuus, joka rakentuu tietosuojan seurannalla, johdon ja henkilöstön sitoutumisella ja jatkuvalla osaamisen ja tietoisuuden päivittämisellä”, hän toteaa. “Tietosuojatapahtumiin, kuten mahdollisiin tietovuotoihin, täytyy reagoida tapauskohtaisesti, eikä täyttä varmuutta voi koskaan saavuttaa. Jos joku tuote mainostaa tarjoavansa asiakkaalle GDPR-sertifioinnin tai sataprosenttisen varmuuden tietosuojasta, niin sanoisin että mainoslause ei ehkä täysin vastaa totuutta”.
Pakettiratkaisuiden sijaan Halonen korostaa organisaatioiden omaa vastuuta.
“Tietosuojan huomioiminen edellyttää organisaation omaa arviointia esimerkiksi tietojen käsittelyyn liittyvistä riskeistä ja riittävästä tietoturvan tasosta. Itsearviointia ei voi täysin ulkoistaa ja parhaimmillaan tietosuoja-asioiden kehittäminen parantaa organisaation havainnointikykyä ja päätöksentekokykyä myös muiden asioiden osalta” Halonen pohtii.
Euroopan unioni on tuomassa GDPR:n jatkoksi asetusta sähköisen viestinnän tietosuojasta (ePrivacy).
Uusi asetus koskee henkilötietojen lisäksi kaikkea sähköistä viestintää, kuten sähköistä suoramarkkinointia, evästeiden asettamista ja hyödyntämistä, sekä sähköisiä pikaviestipalveluita. Asetus on vielä käsittelyssä, eikä lopullisesta muodosta tai voimaantulemisajankohdasta ole vielä varmuutta.
“Elämme vielä epätietoisuudessa sen suhteen, mitä ePrivacy tulee pitämään sisällään ja koska se tulee voimaan”, Antti Halonen sanoo. “On arvioitu, että yksi merkittävä muutos voi olla B2B-markkinoinnin muuttuminen vastaanottajan suostumuksen vaatimaksi, kuten B2C-markkinointi usein on”, Halonen jatkaa.
“Joka tapauksessa yritysten ja järjestöjen kannattaa aloittaa varautuminen mahdollisimman pian”, Halonen päättää.
Rubic HR Finland on riippumaton järjestelmähankintojen konsultointitoimisto, joka kuuluu Iodata Oy -konserniin yhdessä Lanka Creative Oy:n ja Fabula Productions Oy:n kanssa. #järjestelmäarki