Vuosi aikaa varautua: Tietosuoja-asetus tuo mukanaan jättisakot
EU:n tietosuoja-asetuksen soveltaminen alkaa ensi vuoden toukokuussa. Henkilötietojen käsittelyvaatimukset tiukentuvat, avoimuus lisääntyy ja tietojen väärinkäytöstä voidaan määrätä sakko.
Asiantuntijan mukaan vasta harva yritys on valmistautunut asetuksen vaatimiin muutoksiin.
– Oma näkemykseni on, että yrityksissä on vielä paljon tehtävää. Ei ole vielä ymmärretty sääntelyn vaatimuksia. Valmiustaso uudelle asetukselle on vielä todella alhainen, asianajotoimisto Castrén & Snellmanin tietosuoja-asioihin erikoistunut asianajaja Eija Warma sanoo.
Jatkossa asetuksen vaatimusten laiminlyönnistä voidaan lätkäistä sakko, joka on enintään 4 prosenttia yrityksen tai konsernin maailmanlaajuisesta liikevaihdosta. Summa voi siis nousta jopa miljooniin euroihin.
– Rahalliset sanktiot muuttavat pelin henkeä, Warma myöntää.
”Kaikki on dokumentoitava”
Warman mukaan asetuksen keskeinen muutos on yrityksen toiminnan altistuminen ulkopuoliselle tarkastelulle.
– Kaikki on tiedot on dokumentoitava ja viestittävä tarpeen tullen viranomaisille, liikekumppaneille ja asiakkaille. Jos henkilötietoja ei käsitellä asianmukaisella tavalla, se voi aiheuttaa nopeasti negatiivisia vaikutuksia asiakaskunnassa.
Nykyisin tietosuojaa säädellään henkilötietolaissa, mutta kaikki yritykset eivät täytä lain vaatimuksia.
Suomen Yrittäjien lainopillinen asiamies Petri Holopainen myöntää, että uuden asetuksen vaatimukset ovat tiukat.
– Yrittäjän täytyy nyt selvittää, millaisia henkilötietoja hän liiketoiminnassa kerää, miten niitä käsitellään ja missä tietoja säilytetään. Konsulttiapua on mahdollisuus hakea, mutta käytännössä yrittäjän pitäisi pystyä selviytymään itse.
Yrittäjä voi kysyä lisätietoja ja neuvoja tietosuojavaltuutetulta. Netissä asiaan voi perehtyä tarkemmin täällä.
Asiakkaalta lupa heti kättelyssä
Holopaisen mukaan etenkin pienissä yrityksissä on keskitytty liian vähän henkilötietojen turvaamiseen.
– Pienissä yrityksissä yrittäjä on usein yksin eikä aika välttämättä riitä edes markkinointiin.
Holopainen korostaa, että jatkossa kaikkien henkilötietojen käsittelylle pitää olla lupa.
– Tietojen käsittelyn pitää perustua asiakkaan suulliseen tai sähköiseen suostumukseen. Käytännössä lupa pitää kysyä heti kun uutta asiakassuhdetta ollaan perustamassa.
Pauli Reinikainen
