Mitä kaikkien maailmanlaajuisesti toimivien yritysten tulee tietää GDPR:sta
Joitakin ajatuksia tulevasta EU:n yleisestä tietosuoja-asetuksesta (GDPR).
Mikko Viitaila
Teknologiajohtaja
Haluan osaltani ottaa kantaa ja edistää suomalaisten yritysten ja organisaatioiden valmiutta kohdata yleisen tietosuoja-asetuksen mukanaan tuomat vaatimukset. Samalla toivon vaikuttavani asenteisiin, joilla asetus kohdataan.
EU:n yleisen tietosuoja-asetuksen perimmäinen tarkoitus on tukea EU:n digitaalisen sisämarkkinan kehitystä ja vahvistaa luottamusta yritysten ja asiakkaiden välille lisäämällä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä. Samalla asetus vahvistaa rekisteröityjen, kuten asiakasrekistereissä olevien asiakkaiden tai esimerkiksi uutiskirjetilaajien, oikeuksia valvoa henkilötietojensa käsittelyä.
Tavoite on varsin ritarillinen eikä sen tulisi aiheuttaa mielipahaa ääneen sanottaessa. Tavoite ei myöskään ole niin monimutkainen, miltä se aluksi saattaa kuulostaa. Siksi ihmettelen sitä, miksi GDPR nähdään isona peikkona, joka tuo mukanaan “turhia” kulueriä, sanktioita ja harmaita hiuksia. Tärkeintähän on varmasti kaikille osapuolille yksityisyydensuojan mahdollisimman tehokas varmistaminen.
Haluan, että GDPR nähtäisiin mahdollisuutena palvella asiakasta paremmin. GPDR tarjoaa oivan mahdollisuuden pysähtyä pohtimaan, mitä tietoja oikeasti tarvitsemme ja miten tietoja käsitellään siten että asiakas siitä parhaiten hyötyy. Samalla yritykset ja organisaatiot saavat hyvän tilaisuuden siivota järjestelmät ylimääräisistä ja vanhentuneista tiedoista, jonka lopputuloksena ne parantavat oman toimintansa kehittämistä ja kehittymistä.
Pakko on pakko, vai onko se sittenkin mahdollisuus? Uudet, yhteiset pelisäännöt tuovat markkinalle positiivisen kehityssuunnan.
Ennen kuin GPDR muuttuu kilpailueduksi, on yritysten käytävä läpi nykyiset prosessit ja järjestelmät, joissa se henkilötietoja käsittelee. On listattava, mitä henkilötietoja yritys käsittelee? Miksi ja miten yritys käsittelee henkilötietoja? Kuka niitä käsittelee? Miten henkilötiedot poistetaan? Onko yritys asetuksen näkökulmasta rekisterinpitäjä vai henkilötiedon käsittelijä? Vai onko yritys kenties molempia ja niin edelleen.
Lopputulokset voidaan edelleen hyödyntää yrityksen oman toiminnan kehittämiseen.
Kysymykset pohjautuvat yleisen tietosuoja-asetuksen kuuteen periaatteeseen, joita voisi kuvailla seuraavalla tavalla:
Tämä blogi oli vasta lämmittelyä, ja seuraavissa blogeissani sukelletaan suoraan syvään päätyyn. Annan vinkit siihen, miten yrityksissä ja organisaatioissa nostetaan valmius kohdata tuntematon ja kasvatetaan liikevaihtoa modernein keinoin. GDPR on tullut jäädäkseen ja on siten pitkä prosessi ja toimintatapojen muutos, joka tulee vaatimaan useita pohdintoja ja istuntoja kera asiantuntijatiimin. Yrityksiltä ja organisaatioilta vaaditaan pitkäjänteisyyttä ja kärsivällisyyttä eteenpäin mentäessä.
Ps. Seuraavassa blogissa käyn läpi muun muassa sitä, miten tekoäly tulee mullistamaan tiedonhallinnan ja -käsittelyn. Kannattaa siis pysyä kuulolla.