MyFondia VirtuaaliLakimies
13. marraskuuta, 2012

Tarkkuutta tietosuojaan!

Kuinka yhdysvaltalainen kauppaketju Target tiesi, että teinityttö oli raskaana ennen kuin tytön isä?

Yritykset ja erityisesti kauppaketjut keräävät meistä ja ostostavoistamme enemmän ja enemmän tietoa. On hengästyttävän hämmästyttävää, mihin nykyaikaisilla analysointimetodeilla päästään, kuten New York Timesin artikkelista käy ilmi.

Yritysten tietokannat sisältävät huikean määrän tietoa meistä, ja nämä tietokannat ovat myös alttiina tietoturvaloukkauksille. Yksityisyytemme ei turhaan kaipaa suojaa ja yrityksillä on vielä rutkasti parantamisen varaa tietosuoja-asioissa, kuten Tietosuojavaltuutetun toimiston kesällä 2012 tekemä tarkastus osoittaa.

Allepuolet yrityksistä tietää, miten henkilötietoja tulisi suojata

On huolestuttavaa, että vain alle puolet mainitun tarkastuksen kohteena olleista yrityksistä tietää miten henkilötietoja tulisi suojata. Vielä huolestuttavampaa on, että vain noin 30 prosentissa tarkastuksen kohteissa olleista yrityksistä tietoturvaloukkaus tai – uhka ei vastausten perusteella ollut johtanut lainkaan toimenpiteisiin.

Paitsi, että yksityisyyden suoja nauttii Suomen perustuslain suojaa, tietosuojakysymyksiä säännellään monessa eri laissa, kuten henkilötietolaissa, laissa yksityisyyden suojasta työelämässä ja sähköisen viestinnän tietosuojalaissa.

Globaalisti liiketoimintaa harjoittavalla yrityksellä säädöshaaste on moninkertainen. Tällä hetkellä jopa EU:n jäsenmaissa säädösten sisältö vaihtelee. Lainsäädäntö laahaa ässäkin tapauksessa teknisen kehityksen perässä.

Melkoinen säädösviidakko siis, eikä mikään ihme, että yritykset ovat tässä viidakossa vähän eksyksissä.

Sakon uhalla aktiiviseksi?

Yksityisyytemme on kyllä kotimaassa ja EU:ssa säädöstasolla hyvin suojattua ja EU:n tuleva tietosuojaa koskeva asetus tulee asettamaan vieläkin tiukempia vaatimuksia yrityksille. Asetus tuo mukanaan myös mahdollisuuden sakottaa yritystä mm. mikäli yritys käsittelee henkilötietoja ilman mitään tai ilman riittävää oikeusperustaa, ei hanki asianmukaisia suostumuksia rekisteröidyltä, profiloi laittomasti tai ei anna hälytystä henkilötietojen tietoturvaloukkauksen vuoksi tai ei ilmoita siitä oikea-aikaisesti valvontaviranomaiselle tai rekisteröidylle.

Sakon suuruus on jopa 2 % yrityksen globaalista liikevaihdosta. Sakkoakin suurempi haitta yritykselle on usein kielteisen julkisuuden aiheuttama asiakkaiden ja liiketoiminnan menetys.

Viranomaiset ovat aktivoituneet ja aktivoituvat edelleen tietosuoja-asioissa. Aihealue on mediaseksikäs – antavatko sinun yrityksesi tietosuojakäytänteet aihetta lööppiin? Myös asiakkaat ovat erittäin valveutuneita.

Fiksulle yritykselle tietosuoja-asioiden asianmukainen hoitaminen ei ole vain välttämätön paha vaan osa normaaleja liiketoimintaprosesseja.

Fiksussa yrityksessä ymmärretään viimeistään nyt

  • nimetä vastuuhenkilön tietosuoja-asioille
  • tutustua asiaa koskevaan sääntelyyn ja seurata sääntelyn kehitystä
  • tehdä tai teettää sisäinen tarkastus yrityksen nykyisistä käytänteistä ja toteuttaa tarvittavat parannustoimenpiteet
  • laatia ns. compliance-ohjelma ja kouluttaa henkilöstö
  • varautua tietoturvaloukkauksien varalta.

Hyvin suunniteltu on puoliksi tehty. Kun tietosuoja-asiat sisällytetään liiketoimintaprosessin järjestelmälliseksi osaksi, asiat hoituvat melkeinpä itsestään osana liiketoimintaa. Näin yritys voi jopa kehittää itselleen kilpailuetua, säästää rahaa, eikä kukaan saa ennenaikaisia harmaita hiuksia.