Euroopan unionin uusi tietosuoja-asetus yhtenäistää henkilötietojen käsittelyä koskevat käytännöt eri maiden välillä. Yksilön oikeuksia lisäävä asetus velvoittaa yritykset entistä läpinäkyvämpään tietosuojakäytäntöjen noudattamiseen.
Toukokuussa 2018 käytäntöön tuleva koko EU:n laajuinen tietosuoja-asetus GDPR yhtenäistää tietosuojakäytännöt sisämarkkinoilla.
– GDPR selkeyttää erityisesti niiden yritysten käytäntöjä, joilla on toimintoja useassa eri maassa, Energiateollisuus ry:n neuvontalakimies Saara Naukkarinen sanoo.
Yhtenäistyvät käytännöt tuovat mukanaan oikeuksia kuluttajalle ja velvollisuuksia yrityksille.
– Digitalisaation seurauksena lisääntynyt henkilötietojen käsittely sähköisissä palveluissa on luonut tarpeen pelisääntöjen selkiyttämiseen.
– Asetuksen tarkoituksena on turvata yksilön oikeus varmistaa, ettei omia henkilötietoja käytetä väärin. Jatkossa yrityksen on henkilön niin halutessa avoimesti osoitettava, minkälaista tietoa henkilöstä kerätään ja miksi.
Aikaisemmin on riittänyt, että tietosuoja-asetuksia noudatetaan, jatkossa se on pystyttävä myös todistamaan, Naukkarinen kertoo.
Uuteen asetukseen siirtyminen ja sen onnistunut noudattaminen vaatii organisaatioilta sisäistä pohdintaa.
– Yritysten on pureuduttava nykyisiin tiedonkeruumenetelmiinsä ja pohdittava, mikä tieto todella on toiminnan kannalta tarpeellista. Onko käyttäjistä mahdollisesti kertynyt turhaa informaatiota ja mitä konkreettisia muutoksia on tehtävä, ettei näin tapahdu jatkossa. Informaatiosta luopuminenkin vaatii tarkkuutta, ettei esimerkiksi energia-alalla asiakkaan tietoja poisteta sähkömarkkinalain määrittelemän oikaisuajan puitteissa, Naukkarinen kuvailee.
GDPR tuo selkeyttä vastuisiin
Tietosuoja-asetuksen noudattaminen läpi organisaation edellyttää vastuiden selkeyttä.
–Johdon on määriteltävä kuka vastaa mistäkin, ja sen jälkeen koulutettava ja sitoutettava henkilöstö asiakaspalvelua myöten uusien toimintaperiaatteiden noudattamiseen. Myös korvausvastuut alihankintasopimuksissa on selkiytettävä. Lakiosaamisen lisäksi IT-osaamisen merkitys korostuu.
– Kyseessä ei ole kertaluontoinen harjoitus, vaan uudistus tarkoittaa jatkuvaa riskiperusteista arviointia henkilötietojen hallinnasta.
Naukkarinen kehottaa yrityksiä ajamaan uudistukseen laadukkaasti sisään.
– Paljon on käyty keskustelua puutteellisen noudattamisen seuraamusmaksuista. Sen lisäksi tietosuoja-asetusten puutteellinen noudattaminen on maineriski, joka voi koitua hyvinkin kalliiksi, Naukkarinen muistuttaa.