Vuosi sitten toukokuussa voimaan astui GDPR eli yleinen tietosuoja-asetus, joka on kaikissa EU-maissa sovellettava henkilötietojen käsittelyä sääntelevä laki.

Tietosuojavaltuutettu Reijo Aarnio, miten tietosuoja-asetus on toiminut käytännössä ensimmäisten 12 kuukauden aikana?

– Yleisesti ottaen yritysten tietoisuus asetuksen vastuista ja velvoitteista on parantunut ja myös kansalaisten aktiivisuus omien tietosuojaoikeuksiensa suhteen on lisääntynyt.

Epäselvyyttä on saattanut aiheuttaa esimerkiksi rekisterinpitäjän tai tietojen käsittelijän rooli niissä tapauksissa, kun yritykset tuottavat palveluja pitkien alihankintaketjujen kautta. Myös pilvipalveluihin tallennettujen tietojen suojaus ja vastuut puhuttavat nyt yrityksiä erityisen paljon.

Vuoden ensimmäisen neljänneksen aikana tietosuojavaltuutetun toimistoon on tullut vireille runsaat 3 100 asiaa. Se on 20 prosenttia enemmän kuin edellisenä vuonna.

– Jos tahti jatkuu samanlaisena, vuoden aikana vireille tulleiden asioiden määrä ylittää 11 000 asian rajan, mikä on enemmän kuin koskaan aikaisemmin.

Näin Aarnio vastaa yrittäjiä mietityttäviin kysymyksiin:

Millaisista asioista tietosuojavaltuutetun toimistoon on tehty ilmoituksia?

Rekisteröidyn oikeuksia koskevia asioita on tullut selvästi enemmän kuin vuosi sitten. Tavallisimmin on kyse rekisteröidyn oikeudesta saada pääsy omiin tietoihinsa tai oikeus tulla unohdetuksi. Noin kolmasosa alkuvuonna vireille tulleista asioista liittyy henkilöiden tietoturvaloukkauksiin.

Suurin osa korkean riskin aiheuttavista tietoturvaloukkauksista perustuu tietojen kalasteluun. Pääosa niistä koskee Office 365 -tunnuksen ja salasanan joutumista hyökkääjän haltuun.

Miten nopeasti tietosuojavaltuutetun toimisto pystyy käsittelemään näin valtavan määrän asioita?

Käytännössä asioiden käsittelyyn päästään myöhemmin tänä vuonna. Tietosuojavaltuutetun toimistolle tietosuoja-asetus on tarkoittanut töiden tuplaantumista, sillä GDPR on tuonut käsittelyprosesseihimme kahdeksan uutta prosessia.

Toimistoon on hiljattain palkattu kaksi uutta apulaistietosuojavaltuutettua, ja pääsemme kolmikkona käsittelemään tehokkaammin asioita tapauskohtaisesti, antamaan yrityksille ja organisaatioille ohjausta ja neuvoja, miten niiden kannattaa toimia, jos tietosuojaloukkaus on tapahtunut.

Mitä hyötyjä tietosuoja-asetus on tuonut käytännön tasolla?

Esimerkiksi rajat ylittävissä tapauksissa GDPR on tuonut mukanaan tarkasti säännellyt mekanismit, miten kiistatilanteissa toimitaan. Jos esimerkiksi Suomen kansalainen haluaa tietoja vaikkapa Espanjassa sijaitsevalta rekisterinpitäjältä, voimme nyt auttaa kansalaistamme kiistatilanteessa asian edistämisessä.

Monet yritykset ja organisaatiot, joiden tiedot on tallennettu pilvipalveluihin, ovat myös tietosuoja-asetuksen myötä kiinnostuneet entistä tarkemmin siitä, miten tietojen suojaus ja vastuut on hoidettu.

Pitkien alihankintaketjujen kautta tuotetuissa palveluissa organisaatioita pohdituttaa ketjun roolitus, kuka on tietojen rekisterinpitäjä ja kuka tietojen käsittelijä.

Onko tietosuoja-asetus lunastanut lupauksensa?

Kyllä, mutta se tarjoaisi myös mahdollisuuksia, joita ei ole käytetty. Aika harva yritys tai organisaatio hyödyntää GDPR:ää positiivisessa mielessä omassa viestinnässään, vaikka se voisi olla kilpailutekijä ja osoittaa, että yritys tai organisaatio toimii vastuullisesti ja huolehtii tietosuoja-asetuksen velvoitteista.

Parhaimmassa tapauksessa GDPR voisi tarjota EU:n 510 miljoonan kansalaisen sisämarkkinoilla yrityksille uusia mahdollisuuksia tuotteiden ja palveluiden markkinointiin. Tietysti tämä toimii myös toisinpäin.

Lainsäädännön harmonisointi tarkoittaa, että myös kansainvälisten kilpailijoiden on helpompi tulla meidän markkinoillemme.

OP:n kybervakuutus auttaa yritystäsi varautumaan kyberriskeihin ja muuttuvaan sääntelyyn. Tutustu kybervakuutukseen.