On varmasti viime aikoina ollut vaikea välttyä kuulemasta sanaa tietosuoja, tietosuoja-asetus tai GDPR. Useimmat meistä ovatkin jo kuulleet, että Suomessa on tulossa voimaan EU:n uusi tietosuoja-asetus (General Data Protection Regulation), joka tulee muuttamaan henkilötietojen käsittelyä yrityksissä. Yrityksissä mietitäänkin nyt, mitä toimenpiteitä tietosuoja-asetuksen johdosta tulee toteuttaa.
Tarvittavien toimenpiteiden luonteeseen ja laajuuteen vaikuttavat yrityksen koko ja toimiala sekä tietosuojan nykytila. Pienimmillään kyse voi olla nykyisten toimintamallien päivittämisestä. Joillekin yrityksille se voi tarkoittaa merkittäviäkin muutoksia toimintatapoihin.
Yrityksen valmistautumisessa on olennaista selvittää henkilötietojen käsittelyn laajuus ja nykyiset toimintamallit. Nykytilan kokonaisvaltainen kartoittaminen toimii pohjana tietosuoja-asetuksen tuomien uusien velvoitteiden ymmärtämiselle ja nykykäytäntöjen muutoksille.
Ensimmäisenä yrityksen tulisikin selvittää tietosuojan nykytila suhteessa tietosuoja-asetuksen vaatimuksiin. Lähtökohtana on selvittää, mitä kaikkia henkilötietoja yrityksessä kerätään ja käsitellään. Käytäntö on osoittanut, että yritykset eivät läheskään aina tiedä, mitä kaikkia henkilötietoja yrityksessä käsitellään tai missä henkilötiedot todellisuudessa sijaitsevat.
Yrityksen on tarkistettava myös sopimustensa tietosuojaa koskevat ehdot, vaadittavien rekisteriselosteiden tarve ja laajuus sekä arvioitava tietojen suojaamista koskevat nykyiset tietoturvakäytännöt.
On myös syytä miettiä kuka yrityksessä vastaa tietosuoja-asioista. Yksi yleisimmistä kysymyksistä onkin ollut se, missä tilanteissa yrityksen on nimitettävä tietosuojavastaava? Tietosuoja-asetuksen mukaan tietosuojavastaava tulee nimittää aina julkisella sektorilla sekä yrityksissä, joiden ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Tietosuojavastaavan nimittäminen ei siis ole pakollista, mutta toki on suositeltavaa, että joku henkilö yrityksessä vastaa näistä asioista.
Kun yrityksellä on ymmärrys tietosuojan nykytilasta, voidaan selvittää, mitä muutoksia ja toimenpiteitä tarvitaan. Nykytila-arvion pohjalta voidaan laatia selkeä suunnitelma, miten henkilötietojen käsittely saatetaan tietosuoja-asetuksen vaatimalle tasolle.
Yrityksessä tarvittavat kehitystoimenpiteet voivat sisältää esimerkiksi tietosuojakäytänteiden ja -prosessien laatimista (yrityksen tietosuojapolitiikka), sopimusten ja muiden dokumenttien, kuten rekisteriselosteiden laatimista ja päivittämistä tai henkilöstönkouluttamista. Joissakin tapauksissa voidaan tarvita muutoksia myös yrityksen IT-järjestelmiin.
Toimenpiteet vaihtelevat siis yrityksittäin. Yksi asia on kuitenkin varma – on syytä varata tarpeeksi aikaa ja resursseja tietosuoja-asioiden läpikäymisen. EU:n uutta tietosuoja-asetusta aletaan soveltamaan kaikissa jäsenvaltioissa – myös Suomessa – 25. toukokuuta 2018. Lisäksi samaan aikaan rinnakkain Suomessa aletaan soveltamaan myös ehdotettua uutta tietosuojalakia, jolloin nykyinen henkilötietolaki tullaan kumoamaan.
Tärkeintä tässä vaiheessa onkin lähteä liikkeelle, eikä jäädä enää odottamaan.