Huomio henkilötietoihin – EU:n tietosuojalainsäädäntö muuttaa toimintatapoja pysyvästi

Huomio henkilötietoihin

Henkilötietojen keräämistä, säilyttämistä ja käsittelyä koskevat säännöt tiukentuvat 25. toukokuuta lähtien, kun EU:n tietosuoja-asetusta aletaan soveltaa käytännössä. Juristi Elina Koivumäki kertoo, mistä muutoksessa on kyse ja miten se vaikuttaa pk-yrityksiin.

Digitalisaation myötä yrityksille kertyy henkilötietoja hurjaa vauhtia monista eri lähteistä: sopimuslomakkeista, asiakaspalvelupuheluista, chatin ja sosiaalisen median kanavien kautta sekä verkkokaupasta. EU:n tietosuoja-asetuksen (GDPR) myötä kaikkien näiden tietojen keräämistä ja käsittelyä koskevat säännöt tiukentuvat.

– Yritykset eivät enää pysy perässä, mitä kaikkea henkilötietoja sisältävää dataa niille liiketoiminnasta kertyy, mistä kanavista, kuka dataa käsittelee ja miten. Lainsäätäjä päätti pysäyttää kaikki EU-alueella toimivat yritykset analysoimaan tilannetta, Elina Koivumäki kertoo.

Vaikka uudet säädökset työllistävät suuryrityksiä paljon enemmän kuin pienempiä, periaatteet koskevat kaikkia EU-alueella toimivia yrityksiä koosta riippumatta.

– Tietosuoja-asetuksessa on kohtia, jotka tuntuvat hieman ylimitoitetuilta pienten yritysten tehtäväksi, joten jää nähtäväksi, miten viranomaiset tulkitsevat vaatimuksia. Perusperiaate kuitenkin on, että säädökset ovat kaikille samat, Koivumäki toteaa.

GDPR-kerrostalon kivijalka

Henkilötietoja voivat nimen ja osoitteen lisäksi olla esimerkiksi verkkotunnistetiedot, terveystiedot, tulot, sijaintipaikka ja kulttuurinen profiili. Koivumäki puhuu GDPR-kerrostalon rakentamisesta, jonka kivijalka on tunnistaa, mistä tietoa tulee ja mikä tästä tiedosta on lainsäädännön suojaamaa henkilötietoa.

Seuraava vaihe on miettiä ja tunnistaa, mitä henkilörekistereitä yritykselle kertyvästä datasta syntyy. Eli kuinka monta eri henkilörekisteriä yrityksen liiketoiminnassa on käytössä.

– Juridisesti erillisen henkilörekisterin muodostaa aina tiettyä käyttötarkoitusta varten kerätty ja tietyllä tavalla jäsennelty ihmisten tietojoukko, esimerkiksi potentiaalisten ja nykyisten asiakkaiden henkilörekisterit sekä yrityksen omien työntekijöiden henkilörekisteri. Kaikki kolme ovat juridisesti erillisiä henkilörekistereitä. Ne ovat kukin oma, erillinen tietojoukkonsa, johon kerätään erityyppisiä tietoja erilaista käyttötarkoitusta varten, Koivumäki sanoo.

Erillisten henkilörekisterien tiedot voivat sijaita samassa tietokoneohjelmassa, mutta ohjelmasta pitää pystyä tunnistamaan, mihin rekisteriin yksittäisen ihmisen tiedot kuuluvat.

Analysoimalla lisää liiketoimintaa

Tietosuoja-asetus ei ole projekti, joka päättyy sillä kellonlyömällä, kun laki tulee voimaan. Kyse on pysyvästä toimintatapojen muutoksesta, joka nostaa henkilötietojen keräämisen ja käsittelyn vahvemmin osaksi yritysten arkea.

– Arjen tietoturvaan kannattaa kiinnittää paljon huomiota. Riskit toteutuvat useimmiten inhimillisten virheiden myötä. Esimerkiksi asiakaslistan lähettäminen väärään sähköpostiosoitteeseen tulkitaan henkilörekisterin oikeudettomaksi luovuttamiseksi väärälle vastaanottajalle. Yritysten kannattaa kiinnittää erityistä huomiota uusien työntekijöiden perehdyttämiseen myös tietosuojalainsäädännön osalta, Koivumäki toteaa.

Vaikka tietosuojalainsäädännön muutokset saattavat aiheuttaa lisätyötä ja ehkä epävarmuuttakin, on niissä yritysten kannalta myös paljon hyvää. Liiketoiminnan kannalta hyödyllisen datan kerääminen on nykyisin helppoa myös pk-yrityksille, ja Koivumäen mukaan tällä datalla itsessään on arvo. Yrityksen keräämää dataa voi verrata esimerkiksi yrityksen omistamiin tietokoneisiin, liiketiloihin ja tavaroihin joita se myy.

– GDPR:n myötä myös pk-yritykset varmasti huomaavat, että heillä on arvokasta aineetonta pääomaa, jota analysoimalla voi saada hyödyllistä tietoa esimerkiksi asiakkaan ostokäyttäytymisestä, frekvenssistä ja syistä, jotka saavat aikaan lisäostoja.

Uudesta lainsäädännöstä voi olla yrityksille paljonkin hyötyä, kunhan ne hoitavat informaatiovelvoitteet hyvin eli kertovat tietosuojaselosteessaan selkeästi, miten ne dataa käsittelevät. Lisäksi tietosuoja-asetus synnyttää täysin uutta liiketoimintaa.

– Markkinoille varmasti tulee niin sanottuja data brokereita eli palveluntarjoajia, jotka auttavat yrityksiä möyhentämällä ja analysoimalla niiden asiakasdataa palkkiota vastaan, Koivumäki sanoo.

Euroopan komission julkaiseman Tietosuoja-asetuksen vaikutukset pk-yrityksille -oppaan mukaan ”EU:ssa toimivien yritysten kustannukset tiedottamisesta 28:lle eri tietosuojaviranomaiselle ovat olleet 130 miljoonaa euroa.” Komission arvion mukaan uuden lain tuoma taloudellinen hyöty on kokonaisuudessaan 2,3 miljardia euroa.

Tietosuojalainsäädännön minimiperiaatteet

  • Kerää ihmisistä mahdollisimman vähän ja vain liiketoimintasi kannalta oleellista tietoa.
  • Säilytä tietoa mahdollisimman lyhyen aikaa tunnistettavassa muodossa.
  • Älä puhu tai paljasta tarpeettomasti henkilörekisterin tietoja kenellekään ulkopuoliselle edes oman organisaatiosi sisällä.

Fennia-lehti 1/2018

Teksti: Jani Kohtanen
Kuva: Shutterstock

23.3.2018

 Tulosta