22.5.2018

Kolme yötä GDPR:ään on – yritykset ovat jo heränneet, valtio nukkuu vielä

Pian on H-hetki. EU:n tietosuoja-asetus, eli GDPR, astuu voimaan kaikilta osin perjantaina 25.5.2018. Samalla kahden vuoden siirtymäaika päättyy. Tietosuoja-asetusta laadittaessa on ajateltu, että siirtymäaika on riittävä kaikille valmistautumiseen. Se varmasti pitäisi paikkaansa, mikäli projektit olisi aloitettu ajoissa. Valtaosa yrityksistä on vähintäänkin aloittanut GDPR -valmistelut. Kaikilta osin ei ehkä ole vielä aivan valmista, mutta viime kuukausina on tapahtunut paljon.

Valtio on kuitenkin auttamatta myöhässä. Eduskunta ei ole saanut käsiteltyä omaa lainsäädäntöpakettiaan. Tietosuojalakia ei ole hyväksytty eikä GDPR:n kanssa ristiriidassa olevaa henkilötietolakia ole kumottu. Käytännössä oikeustila on Suomessa vähintäänkin epäselvä perjantaista lähtien. Suomea on pidetty EU:n mallioppilaana, mutta tästä suorituksesta ei tule pisteitä.

Tietosuojavaltuutetun toimiston verkkosivuilla kerrotaan, että verkkosivujen uudistus on meneillään. Uudet sivut on määrä julkaista toukokuussa. Saapa nähdä kuinka käy. Paikalliselta viranomaiselta olisi toivonut paljon ajankohtaista ja ohjeistavaa tietoa. Oikea aika sivujen uudistukselle olisi ollut jo kaksi vuotta sitten siirtymäajan alkaessa. Vielä tänään tätä kirjoittaessa sivuston ohjeita käyttäen saa aivan väärän kuvan siitä, miten henkilötietoja tulisi loppuviikosta käsitellä.

Mutta mikä sitten perjantaina muuttuu? Tietosuojaviranomaiset eivät aloita perjantaina massiivista valvontakiertuetta perehtyen selosteisiin käsittelytoimista ja määräämään suuria valvontamaksuja. Yritysten on kuitenkin syytä muistaa, että perjantaista lähtien tulee voimaan uusia rekisteröityjen oikeuksia. Osa rekisteröidyistä tulee varmasti myös vaatimaan oikeuksiaan. Saatamme myös nähdä pienen aktiivisten ryhmän, jotka harrastuneisuuttaan ottavat yhteyttä tietosuoja-asioissa vain nähdäkseen, miten asetusta sovelletaan. GDPR:n voimaantulon jälkeen on syytä suhtautua vakavasti henkilöiden yhteydenottoihin, kuten pyyntöihin päästä käsiksi omiin tietoihinsa tai pyyntöihin jollakin tavalla rajoittaa omien tietojensa käsittelyä. Myös erilaisiin tietosuojaloukkauksiin on syytä suhtautua vakavasti. Käytännössä perjantain jälkeen niistä on ilmoitettava tietosuojaviranomaisille viipymättä. Mikäli vielä perjantaina yrityksesi tietosuojaprosessit eivät ole täysin valmiit, pääset seuraavilla askelilla pitkälle:

Henkilön ottaessa yhteyttä henkilötietojensa käsittelyyn liittyen:

• Ole kohtelias – koska henkilö on yhteydessä, on hänellä todennäköisesti aivan erityinen suhde yritykseesi
• Kirjaa yhteydenoton tiedot ja ajankohta itsellesi
• Tunnista henkilö mahdollisuuksien mukaan
• Pyydä mahdollisesti tarvittavia lisätietoja, kuten asiakasnumero
• Pyydä henkilöltä yhteystiedot vastausta varten
• Ilmoita palaavasi asiaan mahdollisimman pian
• Mikäli kyseessä on tietopyyntö, varmista ettei tietopyynnön kohteena olevia tietoja poisteta

Tämän jälkeen selvitä hötkyilemättä, miten pyyntöön on suhtauduttava. Toimi valmiiksi tekemiesi suunnitelmien mukaan. Jos suunnitelmia ei vielä ole, ota viipymättä yhteyttä asiantuntija-apuun. Älä poista mitään liiketoimintasi kannalta välttämätöntä tietoa kuten kirjanpitotositteita tai sopimuksia. Rekisteröidyllä ei ole absoluuttista oikeutta poistattaa henkilötietojansa. Muista myös, että pyyntö ei saa johtaa muiden rekisteröityjen oikeuksien loukkaamiseen.

Vaikuttaa siltä, että vasta perjantaina alkaa todellinen siirtymäaika.

Maailma muuttuu - yritysten tietoturvaongelmat eivät enää ole liikesalaisuuksia (15.1.2019)

GDPR tulee - oletko valmis? (27.4.2018)