Etsi

Laki

GDPR-tietosuojalaki on yrityksille tuttu, mutta keinot epäselviä – EU:ssa on jaettu jo miljoonasakkoja

EU:n yleisen GDPR tietosuoja-asetuksen tuomat velvoitteet ovat puolessatoista vuodessa sisäistetty Suomessa kohtuullisesti.

Tietoturva- ja tietosuojaratkaisuihin erikoistuneen D-Fence Oy:n teettämän kyselyn mukaan 80 prosenttia suomalaisista PK-yrityksistä kertoo kartoittaneensa käytössään ja hallussaan olevat henkilörekisterit ja yhteystietolistat. Kuitenkin vain noin puolet kyselyyn osallistuneista yrityksistä kertoo osaavansa huolehtia rekistereistään ja lähes 90 prosenttia vastanneista myös tiedostaa, että heillä on tietosuojassaan joitain puutteita.

Tutkimuksen toteutti Katrium OÜ ja siihen vastasi 200 suomalaisen pk-yrityksen edustajaa.

Yleisen tietosuojauudistuksen tarkoitus on muun muassa varmistaa, että ihmisten henkilötiedot pysyvät tallessa ja niitä käsitellään asiaankuuluvalla tavalla. GDPR-sääntely edellyttää, että henkilötietoja käsittelevä yritys pystyy osoittamaan noudattavansa tietosuoja-asetuksen sääntelyä.

D-Fencen teettämien haastattelujen mukaan henkilötietojen käsittelyä sääntelevä laki vaikuttaa useiden pienten ja keskisuurten suomalaisyritysten näkökulmasta edelleen monimutkaiselta ja puutteita esiintyy erityisesti tietovirtakuvauksissa, joita tulee laatia jokaisesta rekisteristä erikseen.

Yritykset ymmärtävät, että henkilötietojen käsittelyä koskeva dokumentointi ja sisäinen ohjeistus on tärkeätä varmistaa, mutta keinot sen toteuttamiseksi ovat edelleen epäselviä. Vain puolet haastatteluun osallistuneista yrityksistä kertoi järjestäneensä henkilöstölleen tietosuojakoulutuksen.

– Yritysten pitää pystyä käytännössä osoittamaan, että oikeasti noudattavat tietosuojalakeja – pelkkä ilmoitus kotisivulla ei riitä. Tämä tapahtuu laatimalla tietosuojasta selkeät sisäiset omavalvontasuunnitelmat ja raportoimalla tietotilinpäätökset säännöllisesti. Erityisesti PK-yrityksille tulee usein yllätyksenä erityisesti se, että erilaisia rekistereitä on niin useita sähköisestä asiakas- tai henkilöstörekisteristä verkkovierailijalistaan ja fyysiseen käyntikorttikokoelmaan, kertoo D-Fencen perustaja Juha Oravala.

Hän muistuttaa, että henkilötietojen päätyminen vääriin käsiin voi tuhota sekä yksityishenkilöitä että yrityksiä.

Jo 400 miljoonan euron edestä sakkoja EU:ssa

Lähes 60 prosenttia vastanneista yrityksistä on tehnyt selosteen tietojenkäsittelytoimistaan ja 81 prosenttia on kartoittanut kaikki henkilörekisterinsä. 75 prosenttia kuitenkin kertoo, että rekistereihin ei ole tehty tietovirtakuvauksia.

– Henkilötiedot ovat maksuväline, joten niistä tulee pitää huolta samalla tavalla kuin rahasta. Identiteettivarkaudet ovat jatkuva riesa ja jopa roskikseen heitetty vanha lasku voi sisältää tietoja, joita joku voi halutessaan käyttää hyväksi. Tietovuotoja havaitaan jatkuvasti ja viranomaiset myös puuttuvat niihin hanakasti. EU:ssa on viime vuoden toukokuusta lähtien määrätty yli 400 miljoonan edestä GDPR-sakkoja ja lienee vain ajan kysymys, milloin Suomessa lätkäistään ensimmäiset suuret sakot tietosuojan laiminlyönnistä, Oravala sanoo.

Vaikka henkilötietojen ja -rekisterien dokumentaatio on helppo hankkia ulkoistettuna, helposti ylläpidettävänä palveluna, ei se kuitenkaan poista tärkeintä, eli yrityksen oman osaamisen tarvetta ja huolellisuutta.

– Huolellisesti tehty ja säilytetty tietosuojadokumentaatio on helppo kääntää myös PK-yrityksen kilpailueduksi. Julkisissa ja yksityisissäkin kilpailutuksissa kysytään yhä useammin palveluntarjoajan tietosuojavalmiuksia. Luottamus on yritysten arvokkain omaisuus, Oravala muistuttaa.

 

Toimitus

toimitus (at) yrittajat.fi