GDPR – aika tietosuoja-asetuksen voimaantulon jälkeen
H-hetki lähestyy. Toukokuun 25. päivästä (2018) lähtien GDPR:n tuomista muutoksista on tulossa osa yritysten ja yhteisöjen jokapäiväistä arkea. EU:n yleiseen tietosuoja-asetukseen on valmistauduttu organisaatioissa pitkään, ja katseet kääntyvät jo asetuksen jälkeiseen aikaan ja uusien toimintatapojen ylläpitoon. Tiedustelimme Asianajotoimisto Bird & Birdin tietosuoja-asiantuntijaryhmää vetävän Tobias Bräutigamin käytännön ohjeita sille, mitä yritysten kannattaa pitää mielessään GDPR:n astuttua voimaan.
Tobias, millaisia tiimisi tyypilliset GDPR-projektit ovat?
Avustamme niin suomalaisia kuin kansainvälisiä yrityksiä erilaisissa tietosuojaprojekteissa. Noin puolet asiakkaista toimivat Suomen markkinoilla ja ne ovat kooltaan keskisuuria tai suuria yrityksiä. Toinen puolisko pitää sisällään suuret kansainväliset yritykset, joilla on toimintaa useissa eri maissa, ja joilla on tarve huomioida GDPR:n erilaiset paikalliset vaikutukset useassa maassa. Projektit vaihtelevat laajasti pienemmistä kertaluonteisista projekteista aina globaaleihin ja useita sidosryhmiä kattaviin laajempiin toimeksiantoihin. Yhteistä näille projekteille on se, että tavoitteenamme on auttaa asiakkaita onnistumaan tietosuojaohjelmien läpiviemisessä.
Miten tietosuojaprojekteja kannattaa kokemuksesi mukaan johtaa organisaatioissa?
”Pull rather than push” -ajattelutapa on tärkeä, kun sitoutetaan ihmisiä mukaan tietosuojaprojektiin. Oman kokemukseni mukaan tietosuojaprojekteissa ovat menestyneet sellaiset organisaatiot, jotka ovat pystyneet tuomaan esille tietosuojaprojektiin enemmän puoleensa vetäviä syitä kuin siihen pakottavia syitä – toisin sanoen ihmiset ovat projektissa mukana yhdessä, ja he haluavat apua sen sijaan että kokisivat sen välttämättömänä pahana. Tämän asennoitumisen luomisessa avainroolissa on yritysjohto, jonka on osattava viestiä projektin välttämättömyys tietosuojaprojektin kautta saatavien hyötyjen kautta.
Mitkä ovat avaintekijöitä onnistuneiden tietosuojaprojektien läpiviemisessä?
Itse kiteyttäisin avaintekijät kolmeen. Ensimmäinen kuulostaa yksinkertaiselta, mutta on yllättävän vaikea ottaa käytäntöön: kannattaa aloittaa kirjaamalla ylös kaikki löydetyt ongelmat sen sijaan, että yksittäisiä samoja ongelmia ratkotaan aina vain uudestaan projektin edetessä. Toinen avaintekijä on se, että yrityksellä on selkeä kuva siitä, mitä henkilötietoihin liittyviä käytäntöjä ja prosesseja sillä on käytössään, jotta näiden tietosuoja-asetuksen mukaisuus voidaan tarkistaa. Kolmas merkittävä asia on se, että prosesseille on oltava nimetyt omistajat. Organisaatiossa on tunnistettava henkilöt, jotka voivat tehdä päätöksiä tietosuojakäytännöistä.
Miten tietosuojan tasoa voidaan ylläpitää organisaatioissa pitkällä tähtäimellä?
Tietosuojan riskienhallinnalla! Lisäksi organisaatiot tarvitsevat ohjelman, joka jatkaa pyörimistään tietosuoja-asetuksen voimaanastumisen jälkeen. GDPR:ssä kyse ei ole yhden kerran huomioitavasta menettelytavasta, vaan käytäntöjen jalkauttamisesta ja päätöksestä siitä, kuinka vaatimuksia noudatetaan systemaattisesti myös jatkossa.
Mitkä ovat organisaatioiden suurimmat riskit GDPR:n suhteen?
Riskiksi muodostuu helposti se, että organisaatiolla saattaa olla sinänsä hyvä systeemi riskienhallintaan, mutta puutteellinen lähestymistapa siihen. Tietosuojaohjelmissa korostuu kysymys siitä, kuinka siirrytään laista käytännön tasolle rakentamaan organisaatiossa toimivat prosessit. Kolmas riski on tietämättömyys ja kommunikaation puute: tietosuojaan liittyvistä asioista ei keskustella tarpeeksi ja ei tiedon puutteesta johtuen osata toimia vaateiden mukaisesti.
Mitkä yksilöiden oikeuksista tulevat olemaan haasteellisimpia organisaatioille?
Kaikkiin yksilöiden oikeuksiin liittyy yhteinen haaste: mikä tieto on organisaation toiminnan kannalta välttämätöntä versus minkä tiedon osalta yksilö voi itse päättää sen säilyttämisestä. Yritys tekisi virheen ja rikkoisi lakia jos se vastustaisi esimerkiksi yksilön oikeutta poistaa henkilötietoja sillä perusteella, että kyseiset tiedot olisi tarpeen säilyttää strategisista syistä. Näitä asioita tullaan puntaroimaan enenevissä määrin jatkossa.
Teknologia ja GDPR: mitkä ovat suurimmat teknologiaan liittyvät muutokset nyt ja tulevaisuudessa?
Tekoälyn ja koneoppimisen kehittyminen on iso kenttä myös GDPR:n soveltamiselle. Yrityksissä tullaan näkemään yhä enemmän tekoälyyn pohjautuvia prosesseja, jotka keräävät suuren määrän tietoa yksilöistä ja luovat profiileja kerätyn tiedon pohjalta. Tyypilliset kysymykset tässä tulevat liittymään siihen, käsitelläänkö henkilötietoja näissä yhteyksissä asianmukaisesti ja yksilön kannalta läpinäkyvästi. Monelle tulee yllätyksenä, kuinka paljon tietoa erilaiset sovellukset älylaitteissa ja esimerkiksi automatisoidut itseohjautuvat autot keräävätkään.
Mitä pitää ottaa huomioon liiketoiminnassa, kun lähdetään rakentamaan uutta digitaalista liiketoimintaa tai palvelua (privacy by design)?
Kun uuden digitaalisen palvelun suunnittelu aloitetaan, tietosuojavastaava tulee ottaa mukaan projektiin mahdollisimman varhaisessa vaiheessa. Tämä ei tarkoita sitä, että tietosuojavastaavan tulisi olla kokopäiväisesti kiinni projektissa, mutta hänen tulee olla kartalla siitä, mitä projektin aikana tapahtuu.
Miten tietosuojasta voidaan saada kilpailuetua?
Oma näkemykseni on, että kilpailuetu korostuu ihmisten sitouttamisessa mukaan tietosuojaprosesseihin – näin saadaan rakennettua organisaation sisäistä luottamusta. On tärkeää, että yritysten toimintamallit rakennetaan luottamuksen pohjalta. Tämä näkyy myös positiivisesti ulospäin muille organisaation sidosryhmille.
Millaista muistilistaa ehdottaisit organisaatioille: mitä 25.5. eteenpäin kannattaa pitää mielessä?
-
1
Panosta riskien hallintaan ja sitä kautta organisaation tietosuojaprosessien rakentamiseen.
-
2
GDPR on paljon enemmän kuin vain projekti – se jatkuu ja se pitää sisäistää kaikkeen toimintaan vaikuttavana ajattelutapana.
-
3
GDPR:n lisäksi EU:ssa (ja myös kansallisesti) on valmisteilla muita tietosuojaan vaikuttavia lakeja, joita kannattaa pitää silmällä. Esimerkiksi sähköisen viestinnän tietosuoja-asetus tuo pian muutoksia sähköistä markkinointia ja evästeitä koskevaan sääntelyyn.
Yli vuoden jatkuneen yhteistyön aikana Exove ja Bird & Bird ovat auttaneet useita yrityksiä tietosuoja-asioissa ja valmistautumaan GDPR:n vaatimuksiin. Tietosuoja-asioissa olemme auttaneet esimerkiksi Espoon Asunnot Oy:tä ja Oulun Energiaa.