GDPR Techin asiantuntijat vaihtoivat ajatuksia viime vuodesta ja myös nykyisestä. Kävimme keskustelua tiimin kanssa viime vuodesta, viestinnästä sekä tietosuojatyön nykytilasta. Mukana keskustelussa oli tiimistämme Jaanaliisa, Mervi ja Juha.
JUHA: Minulla on sellainen tunne, kun on viime aikoina puhuttu mm. evästeistä ja markkinoinnista ja markkinoinnin seurannasta, että se jakaa laajasti yrityksiä. Osa käsittelee tietoja vähän törkeästi ja osa edes yrittää miettiä, miten markkinoida lainmukaisesti. Pääosa ei edes tiedä mitään jostain ePrivacystä, mutta evästeisiin kuulemma pitää olla joku hyväksyntä. Kuulemma lain mukaan pitää myös sivulla olla joku rekisteriseloste.
Näitä on sitten nettisivut täynnä, mutta teknisesti evästebannereista noin 99 % ei toimi. Kysymys kuuluu, onko tehty riittäviä ”teknisiä ja organisatorisia toimia” laittamalla joku cookie-popup sivustolle. Sehän vain ärsyttää. ”Rekisteriseloste” ja sen pakollisuuskin on ymmärretty väärin – kysehän on informointivelvoitteesta, jossa verkkosivu on näppärä paikka. Nimenä voisi olla ”lupaus tietojen käsittelystä” tai ”Tietosuojalupaus”.
JAANALIISA: Traficomin lepsu ohjeistus antaa luvan painaa löysää kaasua. Tässä siis teille automiehille!
Mietin, tuleeko tänä vuonna asenteeseen jokin muutos: viime vuosi ainakin jätti kovan perinnön Vastaamo-keisin takia. Kaipa yritykset vain käpertyivät tilanteessa eivätkä halua lähteä penkomaan ja kyseenalaistamaan tekemiään ratkaisuja.
MERVI: Mieleen tulee lähinnä maturiteetin kasvun GDPR:n voimassaoloajan funktiona. Eli selkokielellä se, että alun yli- ja alilyönneistä (uhkakuvien maalailu, GDPR-ylitulkinnat ja misinterpretaatiot vs. se, että ollaan niin kuin GDPR:ää ei olisikaan) ollaan toivon mukaan päästy tasaisemmalle maaperälle. Uhkakuvat ja kiusanteonomaiset GDPR-tulkinnat eivät toteutuneetkaan, vaikka GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.
JUHA: Tuo Traficom-ohjeistus on todella erikoinen. Nyt ollaan taas tilanteessa, jossa yritys toimiessaan Suomessa tai kansainvälisesti, ei ihan tiedä mitä ohjeita pitää noudattaa. Traficom-ohjeilla voi päätyä sanktioille esim. Belgiassa tai Espanjassa.
Mervin huomioon lisänä, että nyt on yritysten kauppojen yhteydessä alettu Due Diligence -prosessissa kiinnittää huomiota siihen, ovatko asiat kunnossa. Syksyn psykoterapiakeskuksen case näyttää alustavasti siltä, ettei ole. Tästä on noussut nostoja myös muuhun toimintaan liittyen.
JAANALIISA: Yrityksissä ja myös organisaatioissa ovat pohdinta- ja päätöksentekoprosessit usein hitaita. Tämä monelle tuttu kokemus tuli mieleeni Mervin maturiteetti-maininnasta. Haluan ajatella, että erityisesti Vastaamon tapauksen jälkeen muissakin kuin sote-yrityksissä on alettu epäillä oman organisaation tietojen tilaa ja siksi suunnitella tarpeellisia GDPR-aktiviteetteja.
Näin ajattelen, ja toivon myös.
JUHA: Niinpä – organisaation valmiuteen tai maturiteettiin liittyvää on myös GDPR-koulutus ja usein sen räikeä puute.
Jostain syystä edelleen GDPR nähdään pakkona, uhkana ja työnteon estäjänä. Sen sijaan pitäisi miettiä, miten suojataan ihan tavallisten ihmisten tietoja ja siinä samalla liiketoimintaa. Valitettavasti näyttää siltä, että Suomessa Vastaamosta yhtiönä tulee ensimmäinen GDPR:n ”uhri” vaikka todelliset uhrit ovat asiakkaat, joiden tietoja on julkisten tietojen mukaan käsitelty leväperäisesti.
Asia on sama, mistä on puhuttu aiemmin: joku yksittäinen paperidokumentti ei todellakaan riitä, vaan tämä on jatkuvaa työtä samaan tapaan kuin osakeyhtiön kirjanpito.
JAANALIISA, MERVI ja JUHA: Tietosuojatyö ei siis hävinnyt minnekään, GDPR on täällä pysyäkseen tietoyhteiskunnan ja yksilön oikeuksien peruspilarina.
Tietosuojatyössä on varmasti kaikilla kehitettävää, tärkeää on havaita ja aikatauluttaa tärkeimmät.