Ensi vuonna voimaan astuva uusi EU-tietosuoja-asetus vaikuttaa yrityksiin sekä juridisella että teknisellä tasolla. Klarigon Jukka Saralehto ja Marketta Iivari kertovat, mikä uudistuksessa on olennaista ja miten siihen tulisi varautua.
Mitä yhteistä on Kansaneläkelaitoksella, kukkakaupalla, it-firmalla ja keskisuomalaisella ammattikoululla? Toukokuusta 2018 lähtien ainakin yksi asia: kun yrityksessä tai organisaatiossa käsitellään henkilötietoja, on sen alasta riippumatta toimittava EU:n uuden tietosuoja-asetuksen mukaisesti. Huhtikuussa 2016 hyväksytty päätös vahvistaa kansalaisten perusoikeuksia digiaikana, mutta helpottaa myös eri organisaatioiden liiketoimintaa, kun yrityksiä koskevat säännöt yksinkertaistuvat ja EU-maiden tietosuojalainsäädäntö yhtenäistyy. Uudistus korvaa vuoden 1995 henkilötietodirektiivin sisältäen suuria periaatteellisia muutoksia. Klarigossa tämä nähdään myönteisenä asiana. Johtavan konsultin Jukka Saralehdon mukaan uusi tietosuoja-asetus sisältää yritysten kannalta suuren määrän hyötymismahdollisuuksia.
”Asetus voi tuntua byrokraattiselta säädöskimpulta, joka vaikeuttaa yritysten ja yhteiskunnan toimintaa, mutta tarkoitus on päinvastainen. Se harmonisoi kuluttajansuojaa ja lisää kilpailua, kun kuluttajien luottamus kasvaa. Klarigon lähtökohta on, että asiakas ja bisnes eivät saa uudistuksesta kärsiä vaan siitä on hyödyttävä. Nyt on hyvä hetki tarkistaa henkilötietorekistereiden ajantasaisuus sekä päivittää tietosuojakäytänteet”.
Saralehto perehtyi aiheeseen työnsä ohella tänä keväänä Hämeen ammatillisessa opettajakorkeakoulussa.
Aivan kaikkialla lakiuudistukseen ei ole suhtauduttu myönteisesti. Esimerkiksi Facebookille, Googlelle, Yahoolle ja useille muille internetyrityksille asetus on toiminut punaisena vaatteena, jota vastaan nämä lobbasivat voimalla jo suunnitteluvaiheessa. Syy oli taloudellinen: uudet vaatimukset lisäävät suuryritysten tietojen käsittelyn kustannuksia ja vaikeuttavat kuluttajille suunnattua markkinointia. Lakia rikkovia tahoja uhkaakin jopa 20 miljoonan euron sakko. Jukka Saralehto muistuttaa, ettei sanktio kohdistu vain massiivisiin suuryrityksiin. ”Lain voimaantulon jälkeen kaikilla henkilötietorekistereitä ylläpitävillä tahoilla on velvollisuus osoittaa, miten se noudattaa lakeja. Enää ei riitä, että kertoo tekevänsä niin.”
Monissa yrityksissä lakiuudistuksen laajuutta ei ole vielä täysin sisäistetty. Klarigon kehitysjohtajan Marketta Iivarin mukaan yleinen käsitys on, että kyse olisi pelkästä henkilöstöhallinnon uudistuksesta.
”Todellisuudessa HR-puoli on vain murto-osa kaikesta siitä, mihin asetuksella on vaikutuksia. Käytännössä lakimuutos koskee aivan kaikkea yrityksen liiketoimintaa, jossa liikkuu henkilötietoja, siis esimerkiksi ostoja, tilauksia ja laskuja”, Iivari sanoo.
Uudistuksella on vaikutuksia kahdella eri tasolla: juridisesti ja teknisesti. Juridiikasta vastaavat juristit, mutta pelkkä lainmukaisuuden varmistaminen ei riitä. Uusista vaatimuksista selviäminen vaatii monipuolista yhteistyötä esimerkiksi lakiasiantuntijoiden, henkilöstöosaston, myynnin ja markkinoinnin välillä. Teknisen toteutuksen osalta apua tarjoaa Klarigo. Jukka Saralehdon mukaan Klarigolla keskitytään erityisesti validoimaan asiakasyritysten liiketoimintaprosesseja uusien vaatimusten mukaisiksi.
”Teemme nykytila-analyyseja, joilla arvioimme, vastaako yrityksen tietosuoja sitä tasoa, minkä lakiuudistus vaatii. Emme tee pelkkää tietosuoja-analyysia, sillä kyse ei ole vain henkilöstöhallinnon hankkeesta. SAP-maailmassa prosessit on käytävä läpi liittymiin saakka, sillä niidenkin kautta saatetaan siirtää tietoa. Tärkeää on selvittää, miten tieto kulkee, kuka sen voi nähdä ja missä kaikissa järjestelmissä dataa on.”
Arvioiden ja analyysien jälkeen on toimenpiteiden aika. Henkilötietorekisteriä ylläpitävien tahojen on saatettava tietosuojansa kansallisen lainsäädännön ja EU-tietosuoja-asetusten vaatimusten mukaiseksi toukokuuhun 2018 mennessä. Data, jonka perusteella ihminen voidaan tunnistaa yksilöllisesti, on käsiteltävä uudella tavalla. Marketta Iivari muistuttaa, ettei yksikään yritys liiku globaalissa maailmassa yksin. ”Siksi meidän on vaadittava uudistuksen noudattamista myös alihankkijoiltamme. Ja siinä uudistuksessa ei riitä konseptitaso – muutos on vietävä tietojärjestelmiin saakka. Vaikka asia voi äkkiseltään vaikuttaa ylätason kysymykseltä, on kyse todellisuudessa ruohonjuuritason asiasta.”
Aikaa lain voimaantuloon on alle vuosi. Se tarkoittaa kovaa kiirettä niille toimijoille, jotka eivät ole aiheeseen vielä paneutuneet. Saralehto patistaa yrityksiä tarttumaan aiheeseen viimeistään nyt. ”Moni on auttamattomasti myöhässä asian kanssa. Mitä syvemmälle mennään, sitä enemmän vastaan tulee käytännön kysymyksiä siitä, miten asiat pitäisi hoitaa. Vielä tilanteeseen on mahdollista reagoida.”