Vastaus ei ole yksiselitteinen. Verkossa kaikki palvelut ja sivustot ovat yhteydessä toisiinsa ja niiden ristikkäiset vaikutussuhteet on haastava havaita ja ymmärtää. Mitä tietoa verkkopalvelu oikeastaan tallentaa kävijöistä ja miten tietoa käsitellään?

Tietosuojavaltuutettu on jo aiemmin ottanut asiaan kantaa ja suosittanut niin sanotun rekisteriselosteen lisäämistä verkkopalveluun. Jos rekisteriseloste on ollut laadittuna, käytännössä sen päivitys muutamin lisäyksin, on riittävä myös uuden EU:n tietosuoja-asetuksen puitteissa. Suositeltavaa kuitenkin on tarkastella yrityksen toimintoja digitaalisessa maailmassa hieman laajemmin tietosuojaselosteen laadinnan yhteydessä.

Haastavin tilanne tulee olemaan yrityksillä ja yhteisöillä, joilla on laaja valikoima erilaisia henkilötietoja tallentavia ohjelmistokomponentteja käytössään. Jokaisen ohjelmistokomponentin tai palvelun tulee vastata EU:n tietosuoja-asetuksen vaatimuksia. Yrityksen tulee selvittää mitä tietoa henkilöistä tallennetaan, miten tietoa hallinnoidaan ja missä tieto sijaitsee.

Asetuksen voimaantulo ei tarkoita pelkästään lakisääteisen lomakkeen laadintaa vaan se kytkeytyy yrityksen muihinkin toimintoihin. Isommissa yrityksissä tämä saattaa tarkoittaa laajamittaisia muutoksia tietojärjestelmien rakenteisiin tai liiketoiminnan prosesseihin.

Tällä uudistuksella EU pyrkii saattamaan kuluttajan tietoisemmaksi siitä, mitä tietoa kävijästä tallennetaan eri palveluihin, mitkä ovat hänen oikeudet poistaa tietoa tai millä tavalla yritys voi jatkohyödyntää tietoa esimerkiksi digitaalisen markkinointiviestinnän toimissa.

Tieto on nykyään kultaa. Yrityksen onkin otettava entistä suurempi moraalinen vastuu toimistaan. Jos tallennat tietoja ja hyödynnät niitä, ole myös valmis avoimesti kertomaan siitä asiakkaillesi.

Yritys joutuu miettimään omia prosessejaan ja miettimään valmiiksi ratkaisut tilanteisiin, joissa tieto ajautuu mahdollisesti vääriin käsiin ja kuinka silloin toimitaan. Tietojen päätyminen vääriin käsiin tulee estää harkitusti tietoturvaan liittyvin toimenpitein, jotka liittyvät olennaisesti myös henkilökunnan työtehtäviin ja työtapoihin.

Uuden asetuksen myötä kuluttaja tulee entistä tietoisemmaksi hänen oikeuksistaan. Tämä lisää haasteita muun muassa tietyissä digitaalisen markkinointiviestinnän toimenpiteissä. Kukaan ei osaa ennustaa kuinka laajasti asiakkaat tulevat oikeuksiaan penäämään. Yrityksen on osattava vastata asiakkaiden toiveisiin ja kysymyksiin sekä oltava valmis asiakkaan pyytäessä muuttamaan tai poistamaan kaikki tallennetut tiedot.

Tietoturvaan kannattaa panostaa, sillä tietosuojaselosteen yksityiskohtaisuus tallennettavista tiedoista saattaa aiheuttaa uudenlaisia riskejä. Tietosuojaselosteesta on helppo tarkistaa mitä kaikkea tietoa järjestelmän takaa löytyy ja mahdollinen murtautuja voi sen pohjalta miettiä hyökkäyksen kannattavuutta.

Asiaan vihkiytyneet asianajotoimistot ovat saaneet viime aikoina vinon pinon toimeksiantoja liittyen tietosuojaselosteeseen. Osittain tämä on myös lisännyt yrityksen IT-osaston tai ohjelmistokehityksestä vastaavan kumppanin työtaakkaa, sillä tietosuojaselosteen laadintaan tarvitaan myös teknistä ja sisällöllistä tietoa sekä ymmärrystä.

Vaikka tietoselosteen voi aivan hyvin tehdä omatoimisesti Tietosuojavaltuutetun ohjeistuksen mukaisesti, on kuitenkin suositeltavaa pysähtyä hetkeksi ja miettiä asiaa juurta jaksain. Mihin kaikkiin yrityksen prosesseihin asetus lopulta tulee vaikuttamaan ja kuinka GDPR:ää on tarkoitus soveltaa yrityksessäsi.

Kannattaa pistää omaan kalenteriin ylös päivämäärä 25.5.2017, jolloin asiat pitää olla kunnossa. Sen jälkeen tietosuojaselosteen uupuminen voi pahimmillaan aiheuttaa 2-4% sanktion laskettuna edellisen tilikauden liikevaihdosta.

Siinä pientä porkkanaa kerrakseen meille kaikille.

Suosittelemme ottamaan yhteyttä asiaan perehtyneeseen lakitoimistoon sekä ohjelmistojesi toimittajiin ja aloittamaan tietosuojaselosteen laadinnan hyvissä ajoin!