Muistatko, koska käytit ensimmäisen kerran internetiä ja sait ensimmäisen kännykkäsi? Samoihin aikoihin säädettiin nykyinen henkilötietolaki. Nyt pilvipalvelut, some ja globaali tietojensiirto ovat arkipäivää. Teknologian kehitys on myös taustalla uudelle lainsäädännölle, jolla halutaan varmistaa, että ihmisten oikeus henkilötietojen suojaan pysyy voimassa myös digiaikana ja samalla annetaan digitaloudelle mahdollisuudet kehittyä.

EU:n tietosuoja-asetus tulee voimaan 25.5.2018, jolloin se korvaa henkilötietolaissa olevan sääntelyn. Asetus aiheuttaa uusia velvoitteita yrityksille ja myös sanktiot kovenevat merkittävästi nykyisestä. Siirtymäajasta jäljellä oleva noin puolitoista vuotta on lyhyt aika yrityksissä tehdä tarvittavat muutokset toimintatapoihin ja IT-järjestelmiin, joten valmistautuminen on syytä aloittaa viimeistään nyt.

1. Nimeä tietosuojavastaava 
Jatkossa tietyntyyppisiin yrityksiin tulee nimetä tietosuojavastaava. Velvollisuus koskee muun muassa julkista sektoria ja sellaisia yrityksiä, jotka käsittelevät suuria määriä arkaluonteisia henkilötietoja tai niiden ydintehtäviin kuuluu rekisteröityjen henkilöiden laajamittainen seuranta. Vaikkei tietosuojavastaavan nimeämisvelvoitetta asetuksen perusteella olisikaan, on järkevää miettiä, miten tietoturva-asiat olisi tarkoituksenmukaista organisoida ja vastuuttaa yrityksissä, jotta asetuksen velvoitteet täytetään.

2. Päivitä prosessit
Asetuksen myötä tietojenkäsittelyn läpinäkyvyyttä lisätään ja rekisteröidyn oikeudet vahvistuvat. Henkilötietojen käsittelystä informoiminen ja tarpeettomien tietojen poistaminen rekistereistä tulee saattaa vastaamaan asetuksen vaatimuksia. Onhan tiedoille määritelty yrityksessäsi käsittelyajat ja saadaanhan vanhentuneet ja tarpeettomat tiedot pois järjestelmistä niiden mukaisesti? Huomiota on kiinnitettävä myös rekisteröidyn tarkastusoikeutta koskevaan prosessiin – määräaika lyhenee nykyisestä ja hänellä on oikeus saada tietonsa sähköisesti.

3. Käy läpi ulkoistamissopimukset
Tietojen käsittelijät tulevat rekisterinpitäjien ohella sääntelyn piiriin, ja asetuksesta tulee minimivaatimukset ulkoistamissopimusten sisällöille. Jos siis yrityksesi henkilötietoja on esim. pilvipalveluissa, rekrytointifirmoilla tai ulkoistetulla palkkahallinnolla, on sopimukset käytävä läpi ja päivitettävä vastaamaan asetuksen vaatimuksia.

4. Varaudu ilmoittamaan tietoturvaloukkauksista
Jos tietoturvaa loukataan, eli henkilötietoja esimerkiksi luovutetaan luvatta tai joku pääsee tietoihin oikeudettomasti, tulee näistä tietoturvaloukkauksista jatkossa ilmoittaa – aikaa on 72 tuntia. Tätä varten on varmasti tarpeen luoda prosessit yhteistyössä lakiasioiden, tietohallinnon, liiketoiminnan ja viestinnän kanssa.

Asetuksen rikkomisesta voidaan määrätä erilaisia sanktiota. Sakot ulottuvat jopa 20 miljoonaan euroon tai 4 prosenttiin yrityksen globaalista liikevaihdosta. Mikä merkitys rikkomuksella voi lisäksi olla maineeseen – asiakkaisiin, yhteistyökumppaneihin ja kiinnostavuuteen työnantajana?

Yritysjohdon ymmärrys asian tärkeydestä, tuki ja riittävien resurssien varmistaminen ovat avainasemassa, jotta tietosuoja-asetuksen vaatimukset saadaan onnistuneesti toteutettua. Hyvin hoidettu tietoturva on paitsi lainsäädännön velvoitteiden täyttämistä, toivottavasti myös kilpailuetu.