GDPR-lain soveltamatta jättäminen johtaa seuraamusmaksuihin
Euroopan unionin tietosuoja-asetus GDPR astui voimaan keväällä 2018.
Kolme vuotta myöhemmin, keväällä 2021, oltiin tilanteessa, jossa yli 80 % suurten yritysten edustajista kokee tietosuoja-asetuksen edelleen asettavan haasteita. Pienten yritysten osalta vastaava osuus oli yli 60 %.
Yllä mainitut luvut ovat Tietosuojavaltuutetun toimiston ja tietoyhteiskunnan kehittämiskeskus Tieke ry:n alkuvuodesta 2021 toteuttaman kyselyn vastauksia noin 350 erikokoiselta yritykseltä. Tietosuojavaltuutettu ja Tieke ry selvittivät GDPR2DSM-yhteystyöhankkeessaan pk-yritysten tietosuojaan liittyviä tarpeita ja koettuja haasteita.
Tietosuojalain noudattaminen on kilpailuetu
Samasta kyselystä kävi ilmi, että mitä suurempi yritys, sitä paremmin tietosuoja-asetuksen vaatimuksista oltiin tietoisia. Suurissa yrityksissä oli myös tehty eniten töitä vaatimusten täyttämiseksi. Pienempien yritysten vastauksista puolestaan ilmeni, että vaatimusten täyttämiseksi oli tehty vähemmän töitä.
Olen huomannut, että ilmassa on tietynlaista välinpitämättömyyttä. Väittäisin, että välinpitämättömyys johtuu tietämättömyydestä – ajatuksesta, että tämä ei koske meitä”, kertoo Petteri Salokangas, Citruksen asiakkuuspäällikkö.
GDPR ja sen vaatimuksia täsmentävä ja täydentävä tietosuojalaki (1050/2018) muodostavat laajan kokonaisuuden, jonka velvollisuuksien täyttäminen vaatii sekä henkilö- että taloudellisia resursseja. Se on ajallisesti suuri voimainponnistus.
Yrityksille ja organisaatioille, jotka eivät ole ottaneet käyttöön lain vaatimia toimintatapoja henkilötietojen käsittelyn osalta, uhkana ovat seuraamusmaksut. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.
”GDPR:n ja sitä täydentävän tietosuojalain soveltaminen on yritykselle kilpailuetu. Asiakas pystyy luottamaan siihen, että hänen henkilötietonsa ovat turvassa.”
Yleisimmät haasteet ja tapaus Vastaamo
GDPR2DSM-hankkeen kyselyyn tulleiden vastausten perusteella haasteellisimmiksi osa-alueiksi koettiin osoitusvelvollisuus ja käsittelyn turvallisuus eli tietoturvaan liittyvät vaatimukset. Myös tietosuojaa koskevat vaikutustenarvioinnit, rekisteröityjen informointi ja rekisteröityjen oikeudet olivat osa-alueita, joihin liittyen yritykset toivovat saavansa apua.
Soveltamatta jättämisen riski ei kohdistu vain yrityksen maineeseen, vaan myös sen liiketoiminnan tulevaisuuteen. Suurta mediahuomiota omakseen saaneena esimerkkinä tästä toimii ympäri Suomen toiminut psykoterapiakeskus Vastaamo, joka jätti raportoimatta jo puolitoista vuotta aiemmin havaitsemansa tietomurron. Rikkeen vakavuutta lainsäätäjän silmissä lisäsi tietoinen salailu.
”Jos Vastaamo ei olisi mennyt nurin jo tietomurron ja henkilötietoihin kohdistuneen hakkeroinnin tultua ilmi, olisi se todennäköisesti viimeistään kaatunut seuraamusmaksun suuruuteen”, Salokangas toteaa.
Ratkaisuja GDPR:n soveltamiseen
Monet yritykset ovat ratkaisseet GDPR:n soveltamiseen liittyvät henkilö- ja aikaresurssit palkkaamalla konsultin tai lakiasiaintoimiston tekemään tarvittavat järjestelyt. Pienille yrityksille konsulttipalvelun ostaminen voi kuitenkin olla taloudellinen kynnyskysymys.
Kaikenkokoisten yritysten on hyvä muistaa, että Tietosuojavaltuutetun toimisto – viranomainen itse – auttaa yrityksiä ja organisaatioita soveltamiseen liittyvissä kysymyksissä sekä pulmatilanteissa.
Miten sitten ottaa suuri lakikokonaisuus ja sen käytännön vaatimukset helpoiten haltuun?
Citruksen tarjoama ratkaisu on myGDPR-työkalu, joilla pienetkin yritykset voivat saattaa toimintansa hyvälle tasolle tietosuojan osalta. Sen kehitystyöt alkoivat jo hyvissä ajoin ennen GDPR:n voimaan tulemista. myGDPR-työkalu käsittää kaikki lain vaatimat osa-alueet ja tekee niistä helpommin ymmärrettävät.
”Citruksen myGDPR-työkalu on saanut hyvää palautetta niin asiakkailta kuin alan arvioijiltakin”, Salokangas kertoo.
Citruksella on myös kokemusta omien asiantuntijoidensa osa-aikaisesta ulkoistamisesta tietosuojavastaaviksi asiakasyrityksiin.
Haluatko kuulla näistä mahdollisuuksista lisää?
Petteri Salokangas