Lueskelin Euroopan komission teettämän raportin GDPR soveltamisesta Euroopassa. Tämä raportti on toinen laatuaan ja antaa varsin hyvän kuvan GDPR soveltamisen todellisuudesta. Vaikka raportti tarjoaa yleiskuvan, sieltä voi poimia esimerkkejä myös Suomen tilanteesta.
Esimerkiksi raportin keskeisiin löydöksiin kuuluu huomio, että maiden tietosuojaviranomaisten pitäisi tukea pk-yrityksiä enemmän niiden pyrkimyksissä noudattaa tietosuoja-asetusta. Suomessa tietosuojavaltuutetun ja hänen toimistonsa pitäisi siis tarjota enemmän tukea pk-yrityksille. Voit lukea koko raportin tästä!
Yrityksissä tehdään bisnestä – lainsäädäntöä sekä siihen liittyvää ohjeistusta noudatetaan, koska se on edellytys bisneksen tekemiselle tässä yhteiskunnassa.
GDPR:ää koskevan ohjeistuksen tulisi olla helposti ymmärrettävää
Euroopan tietosuojaviranomaisten yhteistyöelin on julkaissut aiheesta peräti 35 ohjeistusta. Raportin mukaan nämä ohjeistukset ovat olleet hyödyllisiä, mutta sidosryhmien mielestä liian teoreettisia. Ohjeet ovat liian pitkiä eivätkä ota riittävästi huomioon GDPR keskeistä periaatetta, eli riskiperustaista tarkastelua.
Tämä kuulostaa aivan minun ajatuksiltani. Noin 40-sivuiset juridiset selostukset, joissa on monimutkaisia kiertelyjä, eivät tue yritysten ja organisaatioiden tietosuojatyötä. Ne eivät lisää ymmärrystä vaan aiheuttavat ahdistusta ja herättävät kysymyksiä. Mitä siis oikeasti pitää tehdä ja mitä ei?
Kaiken GDPR-ohjeistuksen tulee olla ymmärrettävää ilman lainopillista koulutusta
Raportissa huomautetaan, että ohjeistusten pitäisi olla ymmärrettäviä ilman lainopillista koulutusta, erityisesti kun ne on tarkoitettu pk-yrityksissä ja vapaaehtoisorganisaatioissa työskenteleville.
Lisäksi ehdotetaan, että tietosuojaviranomaisten kannattaisi tuottaa pk-yrityksille käytännöllisiä työkaluja DPIA-työskentelyyn, tukipalveluita, tarkistuslistoja sekä selkeitä ohjeistuksia käytännön toimiin, kuten laskutukseen ja uutiskirjeiden lähettämiseen.
Ja vielä: näiden ohjeistusten pitäisi olla ymmärrettäviä aivan tavallisella arkijärjellä ilman juristin koulutusta. Siinäpä haastetta meille kaikille.
Jaanaliisa Kuoppa
Tietosuojakonsultti, GDPR Tech