Blogi: Paljon porua GDPR:stä

EU:n tietosuoja-asetuksen (GDPR) voimaantuloon on tänään 23.2.2018 aikaa 91 päivää. Asiaan liittyviä uutisointeja on alkanut mediavirrassa näkyä jatkuvasti enemmän. Yrityksissä käydyissä keskusteluissa asia herättää pelonsekaisia tunteita, ja asiasta on tehty useita virheellisiä tulkintoja.

Yksi yleinen virheellinen tulkinta on se, että asetus jotenkin kieltäisi henkilörekisterit sekä niihin liittyvien tietojen keräämisen ja käyttämisen. Näin asia ei ole. Asetus enemmänkin luo EU-tasolla yhteisiä pelisääntöjä sille, miten mainittuja asioita tehdään.

Toinen yleinen virhetulkinta on, että tietosuoja-asetus koskisi vain isoja yrityksiä. Tietosuoja-asetus ei kuitenkaan ota kantaa organisaation kokoon, käytettäviin teknologioihin tai muihin käsittelyn keinoihin. Se koskee jokaista yritystä, jolla on yhdenkään työntekijän tai asiakkaan tiedot tallennettuna. Tietosuoja-asetus antaa henkilötietojen käsittelytavoille raamit ja edellyttää kaiken käsittelyn dokumentointia.

Kolmas esille tullut tulkinta on se, että yritys kokee, ettei sillä ole lainkaan henkilötietoja ja asetuksen voimaantulo ei näin aiheuta mitään toimenpiteitä. On hyvä huomioida, että asiakastietojen lisäksi tietosuoja-asetusta sovelletaan myös kaikkien muiden henkilötietojen käsittelyyn. Tällaisia henkilötiedot voivat koskea työntekijöiden ja asiakkaiden lisäksi alihankkijoita, yhteistyökumppaneita, kulunvalvontaa, tavarantoimittajia tai vaikkapa messujärjestäjän messuosallistujien luetteloa.

Internet on täynnä erilaisia "GDPR tulee, tee vähintään ainakin nämä" -luetteloita, joissa on pyritty tiivistämään tietosuoja-asetuksen tärkeimmät kohdat. Siksi tässä ei ole tarvetta uudelle tällaiselle listaukselle. Keskeisin muutos olemassa olevaan lakiin on osoitusvelvollisuuden todentaminen, joka vaatii kaikilta organisaatioilta toimenpiteitä. Pelkkä lainsäädännön noudattaminen ei enää riitä: lainkuuliaisuus on myös voitava todentaa. Tämä todentaminen vaatii henkilörekistereihin liittyvien toimintojen dokumentoimista joko itse tai ostopalveluna.

Kyse on luottamuksesta. Yrityksen maineen rakentaminen on pitkäjänteistä työtä, jonka tulokset voidaan menettää yhdessä yössä, jos EU:n tietosuoja-asetusta ei oteta vakavasti.

Easy GDPR -palvelu

Easy GDPR -palvelulla organisaatio pystyy hoitamaan GDPR:n mukanaan tuomat asetuksen noudattamisen osoitusvaatimukset helposti.

Palvelussa on 10 valmiiksi tehtyä yrityksissä yleisesti muodostuvaa henkilörekisteriä sekä niihin tarvittavat rekisteriselosteet. Lisää rekistereitä on helppo luoda tarpeen mukaan.

Valmis jäsennelty kehys yhdessä valmiiden ja muokattavien dokumenttipohjien kanssa mahdollistaa osoitusvelvollisuuden täyttymisen sekä ylläpidon helposti ja kustannustehokkaasti.

Easy GDPR -palvelun avulla otat tietosuojavaatimukset haltuun ja saat samalla sertifikaatin, jolla voit tuoda sidosryhmillesi, asiakkaillesi sekä tarjouskilpailuissa erottuvasti esille, että tietosuojavaatimukset on yrityksessäsi hoidettu esimerkillisellä tavalla.

Juha Oravala

D-Fence Oy