GDPR on ollut voimassa toukokuusta 2018 lähtien ja siihen liittyvät suomalaiset lisäykset vuoden 2019 alusta lähtien, mutta sen suhteen on edelleen paljon epäselvyyttä. Monet yritykset eivät ole vielä heränneet siihen, että tämä lainsäädäntö koskee myös heitä, osa ei ole edelleen ehtinyt uudistaa prosessejaan ja osa on ottanut hyvin varovaisen kannan välttäen kaikenlaisia riskejä.
Kirjoittaja: Aki Vainio
GDPR
#DigiLAHTI on LAMKin, LUTin ja Ladecin yhteinen EU:n aluekehitysrahaston rahoittama hanke, jonka tavoitteena on alueen yritysten digitaalisten valmiuksien kehittäminen. Yksi digitalisoitumiseen vaikuttavista tekijöistä on GDPR. Se on usein rajoite erilaisille digitalisoitumisprojekteille, koska se tuo niille vaatimuksia, joita moni yritys ei haluaisi ottaa huomioon, mutta yleisen edun nimissä niiden on pakko.
General Data Protection Regulation (GDPR) eli EU:n Yleinen tietosuoja-asetus 2016/679 käsittelee yksityisyyttä. Se antaa yksityishenkilöille paljon valtaa heidän omien tietojensa suhteen, sekä määrää yritykset huolehtimaan heidän tiedoistaan. Tietoja ei myöskään saa kerätä ilman syytä ja tietojen käsittelystä on huolehdittava. (European commission.)
Tarve GDPR:lle oli akuutti. Vaikka henkilötietojen käsittelyä oli esimerkiksi Suomessa säädelty laajasti ja säädellään edelleen monessa suhteessa tiukemmin kuin GDPR:n alla, asiat eivät olleet samalla mallilla kaikkialla ja Suomen poliittinen painoarvo ei olisi ollut riittävä tämänkaltaiseen lainsäädäntöön, jolla pyritään sääntelemään myös yrityksiä EU:n ulkopuolella kunnioittamaan EU-kansalaisten yksityisyyttä ja oikeuksia.
GDPR:n seuraaminen
IAPP:n (2018, iv-v, 63) maailmanlaajuisen selvityksen mukaan jopa 21% yrityksistä uskoo, että GDPR ei vaikuta mitenkään heidän toimintaansa. Samassa selvityksessä paljastui myös, että 56% yrityksistä ei joko seuraa vielä asetusta täysin tai ei usko koskaan saavuttavansa sen täydellisiä vaatimuksia (IAPP 2018, 65). Toinen selvitys taas kertoo, että vain 29% yrityksistä näkee pystyneensä muuttamaan toimintaansa siinä määrin, että ne seuraavat täysin GDPR:n vaatimuksia (DeNisco Rayome 2018).
GDPR on myös vasta alkua. Esimerkiksi useat osavaltiot Yhdysvalloissa joko suunnittelevat vastaavaa lainsäädäntöä tai ovat jo säätäneet lakeja (Serrato ym. 2018) ja Brasilia aikoo myös seurata EU:n viitoittamalla tiellä (Ramey 2018). Vielä ei tiedetä, kuinka paljon tämä vaatii järjestelmiltä, mutta ainakin tämän selvittäminen vie aikaa.
Monissa DigiLahdessa esiin tulleissa tapauksissa yritysten GDPR-valmius on hyvin heikko. Tietoja kerätään, mutta GPDR:stä ei olla joko tietoisia lainkaan tai ei olla tietoisia siitä, että se koskee myös sitä omaa yritystä. Mitä pienempi yritys, sitä todennäköisemmin tilanne on tämä. Esimerkiksi asiakkaiden yhteystietojen kerääminen yhteydenottolomakkeen tai ajanvarauksen yhteydessä kuuluu selvästi GDPR:n piiriin, mutta jos tästä ollaan tietoisia, se sivuutetaan mahdottomana vaatimuksena.
Ymmärrettävästi yhden tai muutaman hengen yrityksissä, joissa aikaa on muutenkin hyvin rajatusti, ei aina haluta käyttää lisäaikaa tarpeettomaksi koettuihin toimintoihin. Tällä hetkellä meillä ei ole vielä edes ennakkotapauksia, joista näkyisi kuinka merkittäviä vaikutuksia asetuksen rikkomisella saattaa olla, eikä absurdin korkeita sakkoja – 20 miljoonaa euroa tai 4% liikevaihdosta, kumpi vain on korkeampi (EUGDPR.org) – osata edes pitää todellisena riskinä.
Tämä onkin GDPR:n seuraus, jota ei oltu suunniteltu. Suuremmat yritykset, joiden toimintaa lähinnä haluttiin kontrolloida, voivat suurilla resursseillaan vastata vaatimuksiin automaation avulla, mutta pienelle yritykselle vaatimukset tuntuvat helposti ylivoimaisen hankalilta. Moni ulkomainen sivusto onkin valinnut sen tien, että ne sulkevat sivunsa EU-kansalaisilta, jotta niiden ei tarvitse seurata asetusta mieluummin kuin tekevät suuria muutoksia järjestelmiinsä (Dent 2018).
Suomessa ollaan siinä mielessä hyvässä asemassa, että monet asetuksen vaatimuksista, kuten esimerkiksi markkinointiluvat, ovat olleet käytössä jo pitkään, joten muutos ei ole välttämättä edes suuri. Monissa muissa maissa, joissa lainsäädäntö oli ennen GDPR:ää heikompaa, tilanne on paljon huonompi.
Yksi ongelmista on se, että usein tulkinnat ovat vielä avoimia. Asetuksessa on käytetty sanamuotoja, jotka eivät aina ole selviä edes alan ammattilaisille tai lain asiantuntijoille. Monet asiat tarkentuvat aikanaan, kun näistä asioista käydään oikeudenkäyntejä ja niistä muodostuu sitä kautta ennakkotapauksia.
Mitä pitäisi tehdä?
Merkittävin muutos suomalaisille yrityksille on tietojen keräämisestä tiedottaminen ja perustelu tietojen keräämiselle. Jokaisella organisaatiolla, myös mikroyrityksillä, pitäisi olla joku, jonka vastuulla GDPR on, jotta kaikki muut asiat tulevat hoidetuksi.
GDPR:n ydin on se, että nyt yksityishenkilö omistaa omat tietonsa, vaikka ne olisivatkin jonkun muun yrityksen hallinnassa. Tämä tarkoittaa, että käyttäjillä on oikeus pyytää tietonsa poistettaviksi, nähdä kaikki heistä kerätty tieto, saada tietonsa siirrettävässä muodossa, vetää takaisin markkinointilupa tai saada tietää, jos tietoihin on päässyt käsiksi joku, jonka ei pitäisi päästä. Näihin kaikkiin liittyy myös vaatimus siitä, että ne pitää pystyä tekemään helposti ja näihin liittyviin pyyntöihin on vastattava nopeasti.
Pienen yrityksen näkökulmasta huomattavaa on se, että näihin asioihin liittyviä pyyntöjä ei ole odotettavissa usein, mutta jos niitä tapahtuu, niihin täytyy pystyä vastaamaan kohtuullisella nopeudella. Yrityksellä olisi siis hyvä olla tiedossa, että mihin kaikkialle tietoa on kerätty, jotta tämä onnistuu. Asetus myös vaatii, että tämä on tiedossa, joten jos tätä ei ole vielä tehty, se pitäisi tehdä viipymättä.
Asetuksen vaatimukset ovat taakka pienille yrityksille. Se voi helposti tarkoittaa, että yrittäjä joutuu käyttämään arvokkaan ja harvinaisen vapaapäivän pohjimmiltaan tuottamattomaan työhön selvittäessään kaiken tarpeellisen. Lopulta vaihtoehtoja ei kuitenkaan ole, erityisesti jos yrittäjä itse on vastuussa yrityksen toiminnasta omaisuudellaan. Selvittämistä on paljon ja omaa toimintaa pitää suunnitella joskus aivan uudella tavalla, mutta asetus ei jätä vaihtoehtoja, mikäli yritys aikoo jatkaa toimintaansa.
Lähteet
DeNisco Rayome, A. 2018. Only 29% of EU organizations are GDPR compliant. TechRepublic. [Viitattu 10.1.2019] . Saatavissa: https://www.techrepublic.com/article/only-29-of-eu-organizations-are-gdpr-compliant/
Dent, S. 2018. Major US news sites are still blocking Europeans due to GDPR. Engadget. [Viitattu 9.1.2019] . Saatavissa: https://www.engadget.com/2018/08/09/us-news-sites-unavailable-europe-gdpr/
EUGDPR.org. GDPR FAQs. [Viitattu 11.1.2019]. Saatavissa: https://eugdpr.org/the-regulation/gdpr-faqs/
European commission. 2018 reform of EU data protection rules. [Viitattu 9.1.2019]. Saatavissa: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
IAPP. 2018. IAPP-EY Annual Privacy Governance Report 2018. [Viitattu 10.1.2019]. Saatavissa: https://iapp.org/media/pdf/resource_center/IAPP_EY_Gov_Report_2018.pdf
Ramey, M. 2018. Brazil’s New General Data Privacy Law Follows GDPR Provisions. Inside Privacy. [Viitattu 10.1.2019]. Saatavissa: https://www.insideprivacy.com/international/brazils-new-general-data-privacy-law-follows-gdpr-provisions/
Serrato, J.K., Cwalina, C., Rudawski, A., Coughlin, T. & Fardelmann, K. 2018. US states pass data protection laws on the heels of the GDPR. Data Protection Report. [Viitattu 10.1.2019]. Saatavissa: https://www.dataprotectionreport.com/2018/07/u-s-states-pass-data-protection-laws-on-the-heels-of-the-gdpr/
Kirjoittaja
Aki Vainio on tietojenkäsittelyn lehtori Lahden ammattikorkeakoulussa ja entinen ohjelmistoalan yrittäjä.
Artikkelikuva: https://pxhere.com/en/photo/1434829 (CC0)
Julkaistu 14.1.2019
Viittausohje
Vainio, A. 2019. GDBR:n omaksumisen ongelmat. LAMK Pro. [Viitattu ja pvm]. Saatavissa:
http://www.lamkpub.fi/2019/01/14/gdpr:n-omaksumisen-ongelmat/