Kumotaan GDPR-myyttejä – osa kaksi

27 maaliskuu 2019

Kumotaan GDPR-myyttejä – osa kaksi

Tietosuojamyyttien kumoamista jatketaan alla. Lue ensimmäinen kirjoitus täällä.

Tietosuoja on projekti

Tarua.

Moni organisaatio valmistautui tietosuoja-asetukseen jonkinlaisen projektin kautta. Projekti on usein hyvä aloitus tietosuojatyölle, ja sen kautta voi saavuttaa selkeitä lopputuloksia, kuten analyysin organisaation tietosuojan nykytilasta tai tiettyjä vaatimustenmukaisuuden kannalta keskeisiä dokumentteja, kuten tietojenkäsittelysopimus- tai vaikutustenarviointimallin.

Projekteilla on kuitenkin päätepiste, kun taas tietosuojatyön tulisi olla jatkuvaa systemaattista kehittämistoimintaa – siis prosessi. Erityisesti dataintensiivistä liiketoimintaa harjoittavat yritykset luovat kokeillen uusia palveluita sekä muuttavat usein käyttämiään teknologioita, kumppaneita ja datan käsittelytapoja. Tämä edellyttää jatkuvaa uusien elementtien arviointia sekä henkilöstön kouluttamista. Lisäksi tulee monitoroida sitä, että aiemmin määriteltyjä käytäntöjä noudatetaan ja alati muuttuviin tietoturvauhkiin on asianmukaisesti varauduttu.

Työkalu tai sertifikaatti varmistaa, että tietosuoja-asetusta noudattaa 100 %:sti

Tarua.

Kuten yllä todettiin, tietosuoja edellyttää jatkuvaa kehitystyötä. Jos joku kauppaa sinulle palvelua, jonka luvataan varmistavan 100 % vaatimustenmukaisuus, viittaa sille kintaalla. Yksi teknologia tai tuote ei ole autuus onneen, vaan kyse on systemaattisesti työstä, jota teknologia ja erilaiset digitaaliset palvelut voivat tukea.

Tietosuoja-asetus kannustaa erilaisten sertifiointimekanismien, tietosuojasinettien ja käytännesääntöjen käyttöönottoa, ja niitä voidaan käyttää osoittamaan asetuksen velvoitteiden noudattamista. Varsinaisia GDPR:n tarkoittamia sertifiointeja ei kuitenkaan ole vielä olemassa. Kannattaa siis tarkistaa, mihin konsulttien myyntipuheissa kuullut sertifioinnit viittaavat ja mitkä ovat olleet edellytykset niiden saamiselle. GDPR:n sertifiointi voidaan myöntää vain organisaatiolle, ei yksityishenkilölle.

Suhtaudu myös skeptisesti siihen, että joku organisaatio väittää olevansa ”100% GDPR compliant”. Lainsäädäntö on hyvin periaatteellista ja avointa tulkinnalle sekä nykyiset tiedonkäsittely-ympäristöt monimutkaisia, joten on hyvin vaikea kuvitella, että joku voisi saavuttaa tällaisen teoreettisen maksimin. Mitä enemmän tietosuojasta tietää, sitä selvemmäksi käy, että organisaatiolla on edessään loppumaton lista pienempiä tai suurempia tehtäviä tietosuojan ylläpitämiseksi tai parantamiseksi.

Tietosuoja rajoittaa sananvapautta

Useimmiten tarua.

Tietosuoja-asetus ja vuoden alusta voimaan tullut tietosuojalaki määrittävät henkilötietojen suojan ja sananvapauden yhteensovittamista. Uusi sääntely ei tuo merkittäviä muutoksia aiempaan oikeustilaan, vaan tietosuojasääntely soveltuu edelleen henkilötietojen käsittelyyn toimituksellisia tarkoituksia varten vain osittain. Jos kyse on tietojen, mielipiteiden ja ajatusten ilmaiseminen yleisölle, eikä esimerkiksi yksittäisten ihmisten uteliaisuuden tyydyttämisestä, henkilötietojen käsittely on varsin vapaata. Esimerkiksi verotustietojen julkaisua puoltaa se, että verotustietoihin sisältyy yhteiskunnallisesti merkityksellisiä tietoja, joiden avulla kansalaiset voivat seurata tuloerojen kasvua ja veropolitiikan oikeellisuutta.

Journalismia sekä taiteellisen ja kirjallisen ilmaisun tarkoituksia tulkitaan laajasti. Journalismipoikkeuksia sovelletaan perinteisten joukkotiedotusyritysten lisäksi kaikkia journalismia harjoittavia henkilöihin. Tämä on vahvistettu myös tammikuussa 2019 annetussa Euroopan unionin tuomioistuimen ratkaisussa.

Suurin uhka on massiiviset sakot

Tarua.

Tietosuoja-asetus ei ole ensisijaisesti keino sakottaa. Sen pääasiallinen tarkoitus on suojata meidän jokaisen yksityisyyttä. Tietosuojaviranomaisilla on käytössään sakkojen lisäksi myös muita keinoja, kuten varoitusten tai huomautusten antaminen taikka käsittelykiellon määrääminen. Näistä jälkimmäisellä voi olla yritykselle paljon sakkoja suurempia vaikutuksia, samoin kuin sillä, että rikkomuksen myötä menetetään asiakkaiden luottamus. Nämä seuraamukset voivat murentaa koko liiketoiminnan.

On myös huomattava, että vastuullisuus liiketoiminnassa on kasvava trendi. Yhä useampi työntekijä ja sijoittaja hakee kohdetta, jonka yritystoiminnan luonne ja perustoiminnot ovat eettisiä. Yksityisyyden suojaaminen on yksi vastuullisen liiketoiminnan elementti, jolla voidaan vaikuttaa yrityksen houkuttavuuteen, brändiin ja lopulta arvoon.

GDPR on kuin Y2K – paljon melua tyhjästä

Tarua.

Vaikka suomalaisten yritysten arjessa tietosuojaviranomaisten toimet näyttävät vielä vähäisiltä, on muistettava, että kansallinen tietosuojalaki, jolla tietosuojavaltuutettu sai tarvittavan toimivallan, tuli voimaan vasta vuoden 2019 alussa. Euroopan laajuisesti viranomaisilla on ollut tutkittavana yli 200 000 juttua ja sakkoja on annettu yli 55 miljoonaa euroa (lähde). Odotettavissa on, että ratkaisuja saadaan kiihtyvällä tahdilla.

Lue myös aikaisempi kirjoitus siitä, että GDPR tapahtuu nyt ja oikeasti.

Tässä tietosuojamyytit tällä erää! Ota yhteyttä Annaan tai Samiin, jos haluat vielä jonkun myytin kumoon.

Anna Paimela

Takaisin

Hemsida & Design av Intendit Webbyrå