MyFondia VirtuaaliLakimies
12. marraskuuta, 2013

EU:n tietosuoja-asetus tulee, vai tuleeko? Kannattaako valmistautua?

EU-tasolla on vireillä merkittävä tietosuojaa koskeva lainsäädäntöhanke , jonka tavoitteena on yhtenäistää henkilötietojen käsittelyä koskeva lainsäädäntö koko yhteisön alueella. Tämä on tarkoitus toteuttaa uudella tietosuoja-asetuksella, joka olisi sellaisenaan voimassa kaikissa jäsenmaissa. Uudistus toisi mukanaan yrityksille merkittäviä velvollisuuksia, joista keskeisimpiä ovat mm. (1.) velvollisuus nimittää tietyissä tilanteissa yritykseen tietosuojavastaava, (2.) väärinkäytöksiin liittyvät kovat sakkomaksut, (3.) ilmoitusvelvollisuus tietomurtotilanteissa, (4.) rekisteröidyn oikeus saada itseään koskevat tiedot poistetuksi (right to be forgotten / right of erasure) sekä (5.) toimintaa ohjaavat periaatteet, joiden mukaan tietosuoja on otettava huomioon jo palveluiden suunnitteluvaiheessa (privacy by design) ja tietosuoja-asioiden oletusarvoinen huomioiminen (privacy by default).

Uudistuksen sisällöstä ja aikataulusta käydään parhaillaan kovaa poliittista kädenvääntöä. Tiivistetysti voidaan sanoa, että on epävarmaa, toteutuuko uudistus ylipäätään, minkä sisältöisenä se mahdollisesti toteutuu ja koska. Komissio ja Euroopan parlamentti pyrkivät siihen, että uudistuksesta voitaisiin päättää vielä ennen toukokuun 2014 EU-parlamenttivaaleja . Toisaalta liikkeellä on voimia, jotka mielellään näkisivät uudistuksen siirtyvän vuodelle 2015 tai jopa kaatuvan kokonaan . Epävarmuuden vallitessa on tietysti helppoa perustella itselleen, ettei tähän asiaan kannata panostaa juuri nyt.

Väitän kuitenkin, että uudistuksen toteutumisesta riippumatta kannattaa henkilötietoasioiden osalta ottaa pää pois pensaasta saman tien (jos et ole tätä vielä tehnyt). Jos uudistus toteutuu, yritykset tulevat laittamaan henkilötietoasiat kuntoon, koska uudistus tuo todennäköisesti mukanaan varsin kovat sakkomaksut luvattomasta henkilötietojen käsittelystä. Vai miltä kuulostaisi 2 %:n tai jopa 5 %:n sakko laskettuna yrityksesi globaalista liikevaihdosta? Esivallan pelko on jo itsessään syy laittaa asiat kuntoon.

Merkittävin syy panostaa henkilötietoasioihin on kuitenkin se, että yleinen tietoisuus ja kiinnostus näihin asioihin ovat lisääntyneet vauhdilla. Toisin sanoen tietosuoja-asioiden laiminlyömiseen liittyy merkittävä maineriski . Tämän vuoksi asiaan kannattaa tarttua nyt eikä myöhemmin. Oman yrityksen toimintatapojen tarkastaminen ja kenties korjaaminen on helpompi toteuttaa nykyisen oikeustilan vallitessa, kun vääriin toimintatapoihin ei vielä liity kovia sakkomaksuja. Näin menettelemällä et oikeastaan voi hävitä! Jos uudistus toteutuu, sinulla on jo käsitys yrityksesi tilanteesta ja voit vaivattomammin tehdä tarvittavan hienosäädön. Jos uudistus ei toteudu, olet joka tapauksessa laittanut kuntoon tärkeän osa-alueen, jonka painoarvo ei tule tulevaisuudessa ainakaan vähentymään.

Lopuksi vielä lohdutuksen sana! Henkilötietoasioissa ei ole kyse rakettitieteestä, vaan pohjimmiltaan siitä, että mietitään miten ja mitä henkilötietoja yrityksessä käsitellään (ja kyllä, kaikissa yrityksissä käsitellään jotain henkilötietoja, tai sitten sinulla ei ole lainkaan työntekijöitä eikä asiakkaita). Kun tämä on tehty, siitä kerrotaan avoimesti niille, joiden tietoja on aikomus käsitellä.