GDPR-asetuksen siirtymäajan aloitus vuonna 2016 nosti tietosuojan tapetille. Kuluneiden 8 vuoden aikana on tapahtunut merkittävää edistystä yrityksissä, niin tiedon käsittelyssä kuin käytännön toimenpiteissäkin. “Muutos on oikeasti ollut valtava”, toteaa GDPR-asiantuntija Jaanaliisa Kuoppa. Samaan hengenvetoon hän kuitenkin painottaa, että työtä on paljon ja sitä riittää kaikille.
On merkillepantavaa, että organisaatioiden tietosuojatyön tekemisen taso vaihtelee huomattavasti. Jotkut ovat jo pitkällä matkalla kohti parempaa tasoa, toiset ovat vasta aloittelemassa, mutta lukuisat organisaatiot ovat edelleen tilanteessa, jossa tietosuoja on jäänyt kokonaan huomiotta. Näitä tahoja haluammekin herätellä näin uuden vuoden kynnyksellä.
Kuulemme valitettavan usein edelleen väitteitä, että GDPR ei koske tiettyjä organisaatioita. Tämä ajatus on kuitenkin virheellinen. GDPR-asetus velvoittaa käytännössä kaikkia yrityksiä ja organisaatioita, riippumatta niiden koosta tai toimialasta. Tosin, esimerkiksi torilla omia leivonnaisia käteisellä myyvä yritys, joka toimii ALV-rajan ulkopuolella, voisi olla poikkeus GDPR:n suhteen, asiantuntijamme toteavat.
Henkilötiedot, kuten nimet, puhelinnumerot ja sähköpostiosoitteet sekä vaikkapa terveyteen liittyvät tiedot, ovat Suomessa sekä GDPR:n että Tietosuojalain alaisia tietoja. Näiden tietojen käsittely tuo mukanaan lakisääteisiä velvoitteita kaikille organisaatioille, jotka niitä käsittelevät, muistuttaa GDPR Techin yrittäjä Juha Sallinen.
Tilanne ei rajoitu vain GDPR:ään. Myös EU:n uusi kyberturvallisuusdirektiivi, NIS2, joka astui voimaan kuluvana vuonna, asettaa organisaatioille vaatimuksia tietoturvan ja kyberturvallisuuden saralla. Monet organisaatiot eivät ole vielä täysin valmistautuneet näihinkään uusiin säädöksiin. NIS2-direktiivin osalta voidaankin yrityksiltä odottaa samanlaista kehityssuuntaa kuin GDPR osalta, Sallinen huomauttaa.
Miten sitten saamme uinuvat organisaatiot hereille tietosuojan osalta – edes polun alkupäähän? Tämä on keskeinen kysymys.
Aloittaminen voi tuntua vaikealta, jos tavoitteena on tehdä kaikki kerralla täydellisesti. “Ratkaisu on keskittyä olennaiseen ja hyväksyä, että kaikkea ei voi tehdä heti”, toteaa GDPR Techin asiantuntija Jaanaliisa Kuoppa.
Tässä muutama kysymys GDPR Techin asiantuntijoilta, joiden avulla pääsee tietosuojan selvittämisen alkuun:
Tämä yksinkertainen kysymyspatteristo auttaa organisaatiota määrittämään, missä ja miten tietoa käsitellään, ja se on hyvä ensimmäinen askel tietosuojapolun alkuun.
Jos selvityksen yhteydessä huomataan, että tietoa tallennetaan eri paikkoihin, on tärkeää määritellä sen omistaja ja virallinen tallennuspaikka. Tämä ehkäisee päällekkäisyyksiä, parantaa löydettävyyttä ja pitää tiedot ajantasaisina.
Juha Sallinen huomauttaa, että kolikon toinen kääntöpuoli on se, että tietoa ei voi myöskään säilöä loputtomiin. Tietosuojan näkökulmasta on tärkeää noudattaa säilytysaikoja ja varmistaa, että tieto poistetaan tai anonymisoidaan, kun sitä ei enää tarvita.
Isommissa organisaatioissa järjestelmiä on toki enemmän ja silloin järeämmät keinot ovat tarpeen. Siihen on apuna järjestelmäsalkku, eli organisaation tietojärjestelmien kokonaisuus, joka tarjoaa konkreettisen pohjan tiedonhallinnan haltuun ottamiseen. Sen avulla voidaan tunnistaa tiedonkulut, käyttötapaukset ja prosessit. Järjestelmäsalkku toimii kivijalkana, josta on mahdollista rakentaa hallittua ja selkeää kokonaisuutta eteenpäin. Tietenkin hyvin kuvatut prosessit auttavat myös tilanteen osalta.
Mervi Hongisto, GDPR Techin projektipäällikkö, toteaa suoraan: “Pitäisi huolestua, jos organisaatiossa ei tiedetä, mitä tietoja on ja miten niitä käsitellään.” Järjestelmäsalkku tarjoaa ratkaisun tähän ongelmaan. “Epämääräisyys aiheuttaa turhaa ahdistusta. Hyvin dokumentoitu ja hallittu järjestelmäsalkku minimoi epämääräisyyksiä tai tuo ainakin näkyväksi, missä niitä vielä on”, Hongisto jatkaa.
Yrityksillä on osoitusvelvollisuus tietosuojassa, eli niiden on pystyttävä todistamaan, että GDPR:n mukaiset toimenpiteet on toteutettu ja dokumentoitu. Vanhemmilla organisaatioilla voi olla tietosuojavelkaa, eli asioita, joita ei ole vielä saatu ajan tasalle. Jos yritys joutuu auditoinnin, oston tai asiakkaan tarkempaan syyniin, puutteet voivat paljastua liiketoimintariskeinä.
Tietosuojan kypsyysasteen voi kuitenkin nostaa nopeasti, kunhan tunnistetaan nykytila ja paikataan kriittisimmät puutteet. Tietosuojan kuntoon laittaminen ei ole vain lakisääteinen velvoite, vaan myös tapa hallita riskejä ja parantaa organisaation uskottavuutta.
Vuosi 2024 on ollut yksi etappi monille organisaatioille tietoturvan ja tietosuojan saralla, mutta matka jatkuu. Kun suuntaamme kohti vuotta 2025, on aika varmistaa, että tietosuoja-asiat ovat hallinnassa, ja organisaatiot ovat valmiita vastaamaan tulevaisuuden haasteisiin. Tietosuoja ei ole enää valinta, vaan elintärkeä osa liiketoiminnan jatkuvuutta ja luottamuksen rakentamista – varmistetaan, että astumme uuteen vuoteen vahvalla ja turvallisella pohjalla.
Kohti tietosuojalain mukaista vuotta 2025!
Vielä ehdit osallistua tietosuojakyselyyn, jolla kartoitamme miten GDPR on vaikuttanut suomalaisten organisaatioiden, yritysten ja kuntien toimintaan. Kyselyyn vastaaminen vie vain muutaman minuutin. Vastanneiden kesken arvomme 3kpl 50€ Finnkinon lahjakortteja. Voittajat arvomme tammikuussa 2025. Osallistu tästä!
Blogista löydät ajankohtaista tietoa, kiinnostavia artikkeleita sekä paljon yksityiskohtaista infoa liittyen tietosuojaan.
Laitepilates-studio Kunnonkoutsi Laitepilates-studio Kunnonkoutsin perustaja Sanna Harolin on kokenut liikunta-alan ammattilainen, joka halusi luoda oman pilates studionsa vastatakseen paikalliseen kysyntään.
Lueskelin Euroopan komission teettämän raportin GDPR soveltamisesta Euroopassa. Tämä raportti on toinen laatuaan ja antaa varsin hyvän kuvan GDPR soveltamisen
Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle
