9. heinäkuuta 2019 | Max Atallah
Mietteitä tietosuojasta noin vuosi GDPR:n voimaantulon jälkeen
Nyt kun vähän yli vuosi on ehtinyt vierähtää GDPR:n voimaantulosta, on mielenkiintoista luoda yleiskatsaus henkilötietojen suojan nykytilaan. Alla siis käsitellään lyhyesti GDPR:n nykytilaa ja tulevaisuuden näkymiä.
Kuinka GDPR on vaikuttanut henkilötietojen suojaan?
GDPR on voimassaolevaa lainsäädäntöä, jonka nojalla rekisterinpitäjien ja käsittelijöiden tulee asianmukaisesti suojata henkilötietoja. GDPR:n noudattamatta jättäminen tarkoittaa siten lain vastaista toimintaa, joka voi johtaa niihin kuuluisiin mainehaittoihin, hallinnollisiin sakkoihin, toiminnan keskeyttämisiin, vahingonkorvauksiin tai jopa rikosvastuisiin.
Moni rekisterinpitäjä ja käsittelijä on asianmukaisesti huolehtinut GDPR:stä rakentamalla heille henkilötietojen suojasta jatkuvan prosessin. Täten GDPR on jo itsessään tehostanut henkilötietojen suojaa. Tietosuojan osalta on kuitenkin ollut myös havaittavissa suhteellisen paljon laiminlyöntejä, vaikka niistä ei julkisuudessa olekaan ollut Suomessa puhetta. Siten GDPR ei ole Suomessa ainakaan vielä täysin täyttänyt sille asetettuja tavoitteita.
Koska GDPR:n laiminlyönteihin ei ole juurikaan puututtu Suomessa, lain soveltamisen nykytila on saattanut luoda mielikuvan siitä, ettei GDPR:ää tarvitsisi täysin noudattaa. Yksi syy laiminlyönteihin puuttumattomuudelle löytynee Tietosuojavaltuutetun toimiston tämän hetkisestä resurssivajeesta. Huomattakoon kuitenkin, että resurssivaje ei tule jatkumaan loputtomiin, joten Tietosuojavaltuutetun toimiston resurssien kasvaessa myös GDPR:n tehokkuuden sopii odottaa kasvavan.
Nähdäksemme on vain ajan kysymys, milloin GDPR:ää aletaan soveltamaan aktiivisesti myös Suomessa. Tämä johtuu ensinnäkin siitä, että GDPR on yllä todetun mukaisesti voimassaolevaa lainsäädäntöä. Toiseksi, GDPR:n nykyisestä tehottomuudesta huolimatta viranomaisilla on (edelleen) GDPR:n nojalla keinoja, joilla rekisterinpitäjät ja käsittelijät voidaan viime kädessä pakottaa noudattamaan GDPR:ää. Kolmanneksi, Tietosuojavaltuutetun toimiston saadessa lisäresursseja myös GDPR:n tehokkuus kasvaa.
GDPR tulee siis näkemyksemme mukaan lähitulevaisuudessa muuttumaan paljon tehokkaammaksi kuin, mitä se oli sen ensimmäisen vuoden aikana.
Mitä GDPR:stä tulisi erityisesti huomioida?
Tietosuojaviranomaisten määräämien hallinnollisten sakkojen perusteella saadaan selville ne tietosuojatoimet, joita tietosuojaviranomaiset ovat pitäneet erityisen tärkeänä GDPR:n ensimmäisenä elinvuotena.
Täten (muiden kuin Suomen) EU:n tietosuojaviranomaisten asettamien hallinnollisten sakkojen perusteella voidaan vetää seuraavia johtopäätöksiä siitä, mitä rekisterinpitäjien ja käsittelijöiden tulisi erityisesti huomioida henkilötietojen suojaamisessa:
- tietoturva (GDPR artikla 32);
- tietosuojaperiaatteet (GDPR artikla 5);
- rekisteröityjen oikeudet (GDPR artiklat 15 – 22);
- rekisteröityjen informoiminen (GDPR artiklat 13 – 14); ja
- henkilötietojen käsittelyn lainmukaiset perusteet (GDPR artikla 6).
Selvyyden vuoksi todetaan, että (muiden kuin Suomen) EU:n tietosuojaviranomaisten langettamat hallinnolliset sakot ovat pääosin liittyneet yllä listattuihin aiheisiin. Tämä ei kuitenkaan tarkoita, etteikö myös muista aiheista olisi langetettu hallinnollisia sakkoja, vaan ainoastaan sitä, että hallinnolliset sakot ovat pääosin liittyneet kyseisiin aiheisiin. Täten GDPR tulisi luonnollisesti huomioida jatkossakin kokonaisuudessaan.
Kuinka tietosuojaan tulisi tästä eteenpäin suhtautua?
Kuten yllä on selostettu, GDPR:ää tulisi noudattaa myös jatkossa. Henkilötietojen suojaa koskeva valvonta tulee vain kasvamaan, minkä johdosta siihen tulisi alkaa kiinnittää entistä enemmän huomiota. Yritysten tulisi myös nähdä henkilötietojen suoja tapana erottautua muista. Asiakkaiden näkökulmasta yritys, jolla on tietosuoja-asiat kunnossa, tulee näyttäytymään entistä houkuttelevammalta vaihtoehdolta.
Mikäli siis organisaatiosi tarvitsee apua tietosuojan ja GDPR:n koukeroissa, avustamme teitä mielellämme kaikissa tietosuojaan liittyvissä kysymyksissä. Pyrimme tekemään tietosuojaa koskevan kokonaisuuden teille mahdollisimman ymmärrettäväksi, jotta voisitte toteuttaa tietosuojaa asianmukaisella tavalla jatkuvasti.
09.07.2019 MAX