Kun GDPR-laki astui voimaan vuonna 2018 alkoi todellinen GDPR-pöhinä. Informaation tulva oli valtava ja monella toimialalla tietosuoja aiheutti laajoja toimenpiteitä vanhojen prosessien ja teknologioiden uudistamiseksi. Siitä huolimatta GDPR-tiedottamisessa on tavalla tai toisella epäonnistuttu. Se tuntuu lähinnä pakolliselta pahalta ja on jättänyt ilmoille monenlaisia harhaluuloja, joita me Tietosuojakeskus.fi:n sisältöjen avulla pyrimme aktiivisesti kumoamaan. Tässä blogissa käymme läpi viisi tyypillistä tietosuojaharhaa, joita kuulemme arjen keskellä viikoittain.
”Joku muu hoitaa tietosuojan”
Yrityksen johdolla saattaa olla muodostunut käsitys siitä, että jokin ulkopuolinen kumppani hoitaa yrityksen tietosuoja-asioita, kuten tilitoimisto tai vaikka markkinointitoimisto. Vaikka tilitoimisto varmasti toimii tietosuojalain puitteissa ja markkinointitoimisto on vienyt nettisivuille tietosuojalomakkeen, se ei missään tapauksessa tarkoita sitä, että heillä olisi toisen yrityksen tietosuoja hallussaan.
Vaikka tietosuojaselosteiden laatimiseen voidaan käyttää esimerkiksi Easy GDPR-palvelua, josta markkinointitoimisto hakee suorat linkit tietosuojaselosteisiin ja lisää ne yrityksesi nettisivuille, ei tarkoita sitä, että tietosuoja olisi ulkoistettu näille toimijoille. Vastuuta tietosuojasta ei voi ulkoistaa. Yrityksen johto vastaa dokumentaation sisältöjen ajantasaisuudesta ja ennen kaikkea niiden toteutumisesta organisaatiossa.
Tietosuoja ei ole yhtä kuin tietosuojaseloste. Tietosuojaseloste on vain se meren pinnalla näkyvä jäävuoren huippu, jolla viestit sidosryhmillesi, mitä pinnan alla konkreettisesti tapahtuu ja kuinka organisaatiossa tietoja käsitellään. Itse tietosuojan haltuunottoa yrityksessä voi ajatella saman tapaisena toimintana kuin kirjanpitoa. Arjessa taloushallinto tekee päätöksiä ja toimenpiteitä kirjanpitolain puitteissa ja siitä jäävuoren huippuna viestitään sidosryhmille vuosittaisessa tilinpäätöksessä. Tietosuoja on modernin ja digitaalisen maailman kirjanpito siitä, mitä tietoja kerätään, mihin niitä käytetään sekä kuinka ja miten niitä säilytetään. Vuosittaisen kirjanpidon raporttina laaditaan tilinpäätös kuin taas tietosuojasta raportoidaan sidosryhmille tietosuojaselosteissa.
”Meillä on kaikki tietosuoja-asiat kunnossa”
Henkilölle, joka ei työskentele tietosuojan parissa GDPR asiat saattavat tuntua oman arjen askareiden keskellä ylimääräiseltä ja turhauttavalta pölötykseltä. Tämä johtuu usein siitä, että tietosuoja ei ole erottamaton osa yrityksen funktioiden prosesseja ja sen läsnäoloa jopa yksinkertaisissa päätöksissä ei täysin hahmoteta.
Tietosuoja tulisi nähdä läsnä olevana näkökulmana kaikessa toiminnassa, ei yksittäisenä möykkynä, jonka oletetaan olevan kunnossa ilman, että edes vilkaistaan sen todellista tilaa. Usein tämän möykyn uskotaan olevan se yrityksen nettisivuilla oleva tietosuojaseloste, joka sekään on vain harvalla yrityksellä Suomessa oikeasti ”kunnossa”.
”Ei ole tarvetta tietosuojalle”
Ensinnäkin, tietosuoja on lakisääteinen vaatimus jokaiselle yritykselle ja organisaatiolle kokoon katsomatta. Toisekseen, yritysmaailmassa harvoin on tarvetta millekään, jos ei tiedetä, mitä konkreettista hyötyä siitä on yrityksen toiminnalle ja johdolle. Sen lisäksi, että ihmisten kiinnostus tietojaan kohtaan on kasvanut, myös monet organisaatiot tekevät ostopäätöksiään voimakkaasti tietosuojan näkökulmasta. Oikein käytettynä tietosuoja on tehokas kasvun kiihdyttäjä ja kauppojen mahdollistaja, kun taas väärin hyödynnettynä raskas painolasti ja riskien kasvattaja.
”Tietosuoja ei ole ajankohtainen asia”
Sen sijaan, että tietosuojakokous istutaan väkinäisesti kerran vuodessa, sen pitäisi olla erottamaton osa kaikkia yrityksen päätöksiä ja prosesseja. Usein päätösten puntaroinnissa pohditaan brändin kehitystä, katteita sekä raha-, aika- ja henkilöresurrseja, mutta kuinka usein voit myöntää, että asiaa pohditaan myös GDPR:n näkökulmasta? Tietosuoja on aina ajankohtainen asia.
”Emme käsittele henkilötietoja”
Usein tähän väittämään törmätessä ollaan tilanteessa, jossa käsitteen määritelmä on itsessään harhaluulo. Henkilötiedolla ei tarkoiteta pelkästään henkilötunnuksia, vaan mitä tahansa tietoa, josta henkilö voidaan suorasti tai epäsuorasti tunnistaa ja monelle tulee yllätyksenä se, mitä nämä kaikki tiedot ovat. Jos yritykselläsi on asiakkaita ja työntekijöitä, voidaan jo sanoa, että yrityksesi käsittelee henkilötietoja.
Luettuasi nämä harhaluulot, saatat tunnistaa itsesi jonkin uskomuksen keskeltä. Jos mieleesi nousi ajatus, olemmekohan sittenkään GDPR-ystävällinen organisaatio, kannattaa varata muutama minuutti aikaa ja käydä tekemässä täysin maksuton GDPR-testi ja ottaa asiasta selvää.