• Google Ranskassa, Sairaala Portugalissa, Vedonlyöntikahvila Itävallassa - Mikä näitä yhdistää?

Google Ranskassa, Sairaala Portugalissa, Vedonlyöntikahvila Itävallassa - Mikä näitä yhdistää?

Nopeasti ajatellen näitä kolmea ei yhdistä moni asia. Yksi on maailmanlaajuinen hakukonejätti, toinen terveydenhuollon organisaatio, ja kolmas paikallinen yritys. Kuitenkin nämä kolme törmäsivät samankaltaisiin ongelmiin kuluneen vuoden aikana, kun kansalliset tietosuojaviranomaiset havaitsivat näiden toiminnassa uuden henkilötietoja suojaamista varten luodun tietosuoja-asetuksen, GDPR:n, vastaisuuksia...
Googlelle annettiin 50 miljoonan euron sakot muun muassa läpinäkyvyyden ja suostumusta koskevien käytäntöjen puutteesta. Portugalilaiselle sairaalalle tuli 400 000 euron sakot puutteellisesta lokitietojärjestelmästä ja liian rajoittamattomasta potilastietojärjestelmään pääsystä. Vedonlyöntikahvilalle seurasi 4 800 euron sakot, kun kahvilan valvontakamerat kuvasivat kahvilan sisäänkäynnin lisäksi laajasti läheistä kävelykatua ja parkkipaikkaa.

Suomessa sakkoja GDPR:n loukkauksesta ei ole vielä annettu, mutta on vain ajan kysymys, että näin tapahtuu. Suomessa tietosuojavaltuutetun käsiteltäväksi tulleiden asioiden määrä on 2,5-kertaistunut GDPR:ää edeltävään aikaan verrattuna, mutta asioiden selvittely vie oman aikansa ennen kuin mahdollisia sanktioita voidaan antaa. Tuoreessa selvityksessä selvisikin, että yritysten tietosuojakäytännöissä ja GDPR:n mukaisuudessa on merkittäviä puutteita.

MIKÄ VIALLA SUOMALAISESSA TIETOSUOJATILANTEESSA?

Selvityksessään Turun yliopiston valtio-opin professori Matti Wiberg ja tämän tutkimusavustaja Valtteri Sankari kävivät yhdessätoista organisaatiossa. He ottivat lisäksi yhteyttä kahdeksaan suomalaiseen ja kansainväliseen yritykseen. Tutkimuksessaan he pyrkivät selvittämään kohteiden suostumuskäytäntöjä, ja lisäksi he tiedustelivat myös yleisesti tietosuojasta ja henkilötietojen käsittelystä.

Selvitys osoitti, että GDPR ei vielä käytännön tasolla toimi, ja että toimijat eivät ole tietoisia GDPR:n määräyksistä. Tutkijat havaitsivat käytännön puutteita läpinäkyvyydessä, käyttötarkoitussidonnaisuudessa, tietojen minimoinnissa ja säilytyksen rajoittamisessa. Lisäksi huomattiin suostumukseen liittyviä ongelmia. Tutkimuksessa todettiin, että havaittavin muutos GDPR:ää edeltäneeseen aikaan oli tietosuojaselosteiden ilmestyminen yritysten internet-sivuille, eikä tämä riitä täyttämään kaikkia GDPR:n vaatimuksia. Havaittiin, että käytännössä GDPR:n toimeenpano toimipisteissä on vielä kesken.

MIKÄ IHMEEN EU:N YLEINEN TIETOSUOJA-ASETUS?

Nyky-yhteiskunnassa tiedosta on tullut entistä merkittävämpi kauppatavara ja yksityishenkilö on melko voimaton rajoittamaan omien tietojensa levitystä ja käyttöä. Näennäisesti ilmaiset internet-palvelut, joita käytämme päivittäin eivät todellisuudessa ole ilmaisia, vaan maksamme niiden käytöstä itseämme koskevalla tiedolla, yksityisyyttämme rajoittaen. Tätä ongelmaa ratkomaan EU-alueella luotiin yleinen tietosuoja-asetus, GDPR, joka on viime vuosina nostattanut paljon meteliä niin hyvässä kuin pahassa. Se pyrkii velvoittamaan yrityksiä entistä huolellisempaan ja läpinäkyvämpään tietojen käsittelyyn, sekä lisäämään yksityishenkilöiden kontrollia itseään koskevaan tietoon. Tämä uusi asetus tuli kansallisesti sovellettavaksi hieman reilu vuosi sitten. Kun GDPR:n nostattama alkuhuuma on hiljalleen laskussa, pääsemme käytännössä näkemään uudistuksen vaikutukset yhteiskunnassamme.

MIKÄ AVUKSI?

GDPR:n loukkauksista on mahdollista saada huomattavat sanktiot, mutta näiden välttäminen on helppoa, kunhan yrityksen toiminta on tietosuoja-asetuksen mukaista ja työntekijät ovat koulutettu GDPR:ään liittyvissä asioissa. Markkinoilta löytyy erilaisia GDPR-vakuutuksia, mutta tulee muistaa, että ne eivät korvaa sakkoja eivätkä viranomaisten määräämiä hallinnollisia maksuja. Ainoa tehokas keino suojata itsensä ja yritystoimintansa GDPR-sanktioilta on varmistaa, että yrityksen toiminnassa noudatetaan asetuksen vaatimuksia.

Jotta yrityksen toiminta olisi GDPR:n mukaista, tulee yrityksellä olla tietosuoja-asetuksen vaatimukset täyttävä tietosuojaseloste, josta selviävät henkilötietojen käsittelyä koskevat seikat. Lisäksi yrityksen tulee laatia tietotilinpäätös, jolla osoitetaan, että yrityksen kaikessa toiminnassa noudatetaan GDPR:n asettamia velvoitteita. Lisäksi yrityksen henkilökunta tulee kouluttaa tietosuojan käytänteistä.

Copyright Serenum Oy  /  Tietosuojaseloste  /  Palvelun toteutus: JPmedia