GDPR Tech täytti joulukuussa 2019 kolme vuotta. Nyt onkin hyvä hetki tarkastella, mitä on saatu aikaan. Aina jää jotakin tekemättä – niin myös meillä.
Meillä GDPR Techissä on kantavana teemana ”GDPR-asioissa järjen käyttö on sallittua”. Sillä tarkoitamme, että tietosuojatyö koostuu monesta elementistä, mutta olennaisin on se, että toimitaan järkevästi henkilötietojen suojaamisessa.
GDPR:ää pidetään monimutkaisena ja hankalana toteuttaa. Kyse on kuitenkin riskien hallinnasta ja elävien ihmisten tietojen käsittelystä. GDPR määrittää puitteita, mitä saa tehdä. Tarkoitus on yhtenäistää tietojen käsittelyyn liittyviä säännöksiä Euroopan alueella ja vähän ylikin – ei estää normaalia liiketoimintaa tai hankaloittaa arkipäivää.
Kaikkihan tietenkin toimivat lakien mukaan ja tiedoistamme pidetään huolta, miksi tätä sitten tarvitaan?
Syy tähän on se, että viime vuosien aikana tietojamme käytetään laajemmin ja laajemmin eri tarkoituksiin – ja monet yhtiöt todella luulevat omistavansa juuri SINUN tietosi. Niin, uskoakseni ne sinunkin mielestäsi kuuluvat sinulle, eivät naamakirjalle tai kuukkelille.
Euroopassa GDPR on täyttä totta
Muutamia esimerkkejä Euroopasta: mitä mieltä olet, onko näissä järki ollut mukana?
- Englantilainen lentoyhtiö jätti web-sivunsa teknisen ylläpidon tekemättä ja noin 500 000:n ihmisen tiedot kopioitiin vääriin käsiin. Olisiko sinusta mukava olla yksi näistä, joiden tiedot ovat jossain hyödynnettävissä väärinkäytöksille?
- Norjalainen kunta ja sen koulu tallensivat oppilastietoja mukaan lukien käyttäjätunnus ja salasana paikkaan, josta opiskelijat pääsivät toistensa tietoihin käsiksi. Haluaisitko sinä, että lastesi opiskeluun liittyviä tietoja pääsee tutkimaan koko koulu?
- Saksalainen sairaala ei pysynyt asiakkaiden osalta laskuissa mukana, vaan laskutti tehdyistä asioista vääriä henkilöitä. Olisiko sinusta mukavaa, että Saksassa vaihto-opiskelijana olevan lapsesi terveystietoja onkin annettu jollekulle Jörgenille?
Ei ollut näiden maiden tietosuojavaltuutetun toimistonkaan mielestä järkeä ja jokaisesta ylläolevasta on määrätty korjauskehotuksia, ja lopulta kun muu ei auttanut, myös sanktioita. Kymmenistä tuhansista satoihin miljooniin euroihin, riippuen tapauksesta.
Mitä sitten pitäisi tehdä, että toiminta täyttää GDPR:n vaatimukset vuonna 2020? Riittääkö kerran tehtävä harjoitus?
GDPR-työmme jakautuu neljään osaan, josta piirakkakaaviona oheinen:
- Regulaatioon eli asetukseen ja säädöksiin perustuvat vastuut: tyypillisesti sopimukset ja vastuuasiat
Pelkillä lainopillisilla neuvoilla ei kuitenkaan pärjätä ja tarvitaankin kolmea muuta:
- Ohjeistukset, koulutukset ja sovellukset
- Tietoturva: tekninen ja hallinnollinen
- Tiedonhallinta: rakenteellinen ja rakenteeton tieto
Kertaponnistus on hyvä alku. Tietosuojan tason pitäminen hyvänä edellyttää jatkuvaa työtä.
Hyvää alkanutta vuotta 2020! Tehdään tästäkin vuodesta turvallisempi kuin menneestä vuodesta.
Juha Sallinen