GDPR tulee
GDPR tulee
GDPR:stä puhutaan tänä syksynä paljon, ensi keväänä varmasti vielä enemmän. Kyseessä on Euroopan Unionin yleinen tietosuoja-asetus eli General Data Protection Regulation. Asetus on tullut virallisesti voimaan jo 2016, mutta soveltaminen alkaa 25.5.2018. Asetus on sellaisenaan voimassa olevaa sääntelyä ja tulee voimaan Suomessakin ilman erillisiä toimia. Käytännössä moni kansallinen laki vaatii kuitenkin muutoksia ollakseen asetuksen mukainen.
Mitä yleinen tietosuoja-asetus sitten tarkoittaa käytännössä? Entä ketä se koskee?
Asetus koskee henkilötietojen käsittelyä EU:n alueella sekä unionin kansalaisten henkilötietojen käsittelyä muualla. Käytännössä se vaikuttaa jokaiseen henkilötietoja työssään käsittelevään. Henkilötietoja löytyy yrityksissä yleisesti esimerkiksi asiakas- sekä markkinointirekistereistä ja jokainen yritys käsittelee henkilötietoja myös työsopimusten ja palkanmaksujen eli henkilöstöhallinnon yhteydessä. Lisäksi yrityksillä voi olla erilaisia sähköposti- tai joulukorttilistoja, jotka nekin sisältävät henkilötietoja.
Henkilötiedoilla tarkoitetaan tietoa, josta henkilö on tunnistettavissa tai joka muuhun tietoon yhdistettynä voi johtaa hänen tunnistamiseensa. Kun tällaista tietoa tallennetaan, katsotaan, käytetään tai poistetaan, on se henkilötiedon käsittelyä ja tietosuoja-asetus tulee sovellettavaksi.
Tässä vaiheessa monella herää ahdistus ja pelko siitä mitä asetus tarkoittaa omalle toiminnalle. On hyvä kuitenkin muistaa, että asetuksen tarkoitus on vahvistaa yksilöiden tietosuojaa digitalisoituvassa maailmassa. Tästä taitava toimija rakentaa itselleen kilpailuedun, sillä kautta aikain luottamus asiakkaan ja palveluntarjoajan välillä on ollut perustava osa mainetta ja pitkiä liiketoimintasuhteita.
Tietosuoja-asetus saa monessa yrityksessä aikaan liikettä. Nyt viimeistään on käytävä läpi omia toimintamalleja ja organisoitava tiedon käsittely. Asetukseen kirjattu sanktio on hyvä kannustin. Alku vaati töitä, kenellä mitenkin paljon, mutta kun vihdoin tiedetään missä henkilötiedot sijaitsevat, kuka niitä käsittelee ja miten, päästään niittämään paljon hyvää. Asetuksen myötä moni firma tiivistää toimintaansa ja jakaa rooleja uudelleen, niin että jatkossa kaikki tiedot saadaan kokonaismääräisesti käyttöön. Asiakkaat voivat luottaa tietojensa olevan turvassa kun yritys puolestaan ymmärtää mihin tietoja saadaan käyttää ja käyttää niitä entistä tehokkaammin. Sähköinen markkinointi ja sovellusten hyödyntäminen toiminnassa helpottuu.
Myös meillä tehdään muutoksia
Myös meidän yritysemme tekee tietosuojatyötä. Ohjelmistokehityksen puolella asetus näyttäytyy ensin ketterän kehityksen esteenä, mutta pian siitä löytyy mahdollisuuksia kun prosessit ovat kunnossa ja kaikki yhtä mieltä siitä, että rekisteröityjen tiedot ovat arvokasta ja turvassa pidettävää materiaalia. Haluamme sanoa meidän ohjelmistomme täyttävän tietosuoja-asetuksen vaatimukset.
Syksyn ja kevään mittaan tulen kirjoittamaan tänne blogiin meidän matkastamme kohti GDPR:n toteuttamista. Kerron asetuksen pääkohdista, soveltamisesta ja varmasti myös haasteista joita kohtaamme. Toukokuu tulee vauhdilla ja siihen mennessä tulee olla mahdollisimman valmista.
Katja Kataja
Projektipäällikkö, Movit