Muutoksen ammattilaiset   |   Kirjoittajat  |  Opiskelijablogi  |  www.markinst.fi

 

 

9.9.2016 Markus Myhrberg, vierasbloggaaja

Tieto on valtaa – ja uusi tietosuoja-asetus lisää vastuuta

 

 

Tiedon hyödyntäminen yrityksessä kokonaisvaltaisesti on edellytys menestyvälle liiketoiminnalle. Jos yrityksen käsittelemät tiedot koskevat luonnollisia henkilöitä, tulevat sovellettavaksi henkilötietoja koskevat säännökset. EU:n uusi, jokaista yritystä koskeva yleinen tietosuoja-asetus, on tulossa sovellettavaksi 2018 ja tuo muutoksia aiempaan sääntelyyn.

Tietosuoja-asetus sisältää samoja elementtejä kuin nykyinen tietosuojalainsäädäntö. Samalla se kuitenkin tuo olennaisia uudistuksia rekisterinpitäjiltä (data controller) vaadittaviin menettelyihin ja asettaa tarkennettuja velvollisuuksia myös muille henkilötietoja käsitteleville tahoille (data processor).

Tietosuojamyönteinen liiketoimintasuunnittelu

Tietosuoja-asetus perustuu paljolti tilivelvollisuus-ajatteluun, joka vaatii yrityksiltä ennakoivaa tietosuojan suunnittelua ja riskeihin varautumista sekä valmiutta todistaa tehdyt toimenpiteet. Selkeästi kuvatut vastuut ja ennalta määrätyt henkilötietojen käsittelyn prosessit auttavat tilivelvollisuuden noudattamisessa.

Tietosuojakysymyksiä ei perinteisesti ole hahmotettu kokonaisuutena, vaan tietosuojaan liittyvät tehtävät ovat jakaantuneet esimerkiksi markkinoinnille, tietohallinnolle, lakiosastolle, tuotekehitykselle, henkilöstöhallinnolle ja tietoturvayksiköille. Jotta yrityksen toiminta vastaa kaikilta osin tietosuoja-asetuksen vaatimuksia, kannattaa tietosuoja-asioiden käytännön toimintatapoja käsitellä organisaatiossa kokonaisuutena.

Tietojen kontrollointi

Asetuksessa pyritään kerätyn tiedon ja sen säilyttämisajan minimoimiseen sekä käsittelyn perusteiden tarkentamiseen. Tämä tuo lisähaasteita asiakkuudenhallintaan, markkinointiin ja profilointiin. Automaattisen profiloinnin osalta erillisen suostumuksen hankkiminen tulee monessa tilanteessa tarpeelliseksi. Olennaista on edelleenkin informointi kerättävistä tiedoista, tietojen käyttökohteista ja luovutuksista. Henkilötietojen käsittelyn tulee olla mahdollisimman läpinäkyvää rekisteröidyille.

Yksityishenkilöillä on aiempaa paremmat mahdollisuudet kontrolloida luovuttamiaan ja yritysten keräämiä henkilötietoja. Rekisteröidyillä on jo aiemmin ollut esimerkiksi tarkastus- ja korjausoikeus tietoihinsa, mutta jatkossa laajennetaan mahdollisuutta vaatia tietojen hävittämistä (right to be forgotten). Lisäksi tietojen säilytysaikoja tulee määritellä tarkemmin. Jo nyt monella yrityksellä on haasteita tietojen hävittämisen suhteen – tietojen kerääminen kun on usein paljon helpompaa. Uutena vaatimuksena on myös henkilötietojen siirrettävyys järjestelmästä toiseen.

Haasteita tuo mukaan myös ikärajojen hallinta. Asetus asettaa 16 vuoden ikärajan tietojen rekisteröinnille ilman huoltajan erillistä suostumusta, mutta kansallisesti voidaan päättää alhaisemmastakin ikärajasta, joka on kuitenkin vähintään 13 vuotta.

Tuumasta toimeen

Valmistautuminen uusiin velvoitteisiin on syytä tehdä ajoissa, jotta tietosuoja-asiat voidaan huomioida kokonaisvaltaisesti käytännön tasolla esimerkiksi IT-järjestelmissä. Tietosuoja-asetus edellyttää investointeja tietosuojaprosesseihin ja asettaa muun muassa sopimuksellisia lisävaatimuksia palveluntarjoajille ja yhteistyökumppaneille. Markkinoinnin rekisterien ylläpito on haastavaa, jos tietojärjestelmät ja prosessit eivät tue lainsäädännönvaatimuksia. Monien CRM-järjestelmien toiminnallisuudet eivät taivu edes nykyisen henkilötietolain vaatimuksiin.

Uusien hallinnollisten sanktioiden (jopa 20 miljoona euroa tai 4 % globaalista liikevaihdosta) lisäksi henkilötietojen käsittelyyn liittyy myös entistä suurempi maineriski. Puutteellinen toiminta voi vahingoittaa yrityksen brändiä ja liiketoimintaa muutoinkin. Asiakkaiden ja käyttäjien tietoisuus siitä, miten heidän henkilötietojansa käsitellään, saattaa vaikuttaa aiempaa enemmän heidän ostopäätöksiinsä. Valintamahdollisuudet ja toiminnan läpinäkyvyys luovat edellytykset myös menestyksekkäälle henkilötietojen käsittelylle.

Jos kaipaat alan koulutusta, uutta tietosuoja-asetusta käsitellään Markkinointi-instituutin Markkinoinnin ja viestinnän juridiikka -kurssilla.

 

***

Haluatko pysyä ajan tasalla omasta alastasi? Jätä yhteystietosi, niin saat tietoa aikuiskoulutuksesta ja ajankohtaisista työelämän ilmiöistä sekä annat Markkinointi-instituutille luvan markkinoida sinulle palveluitaan. Lisäksi kuulet ensimmäisenä eduistamme ja kampanjoistamme.

 

 


 

 

 

 

 

Markus Myhrberg

Partner, asianajaja, VT
Lexia Asianajotoimisto
Muutoksen ammattilaiset -vierasbloggaaja

Myhrberg vastaa Lexiassa IPR-, tietosuoja- ja markkinointijuridiikasta. Hän on erikoistunut mm. digitaaliseen liiketoimintaan, markkinointiin, tietosuojaan, immateriaalioikeuksiin, yhtiöoikeuteen ja kaupallisiin sopimuksiin.

Myhrberg on pitkäaikainen Markkinointi-instituutin kouluttaja ja kouluttaa Markkinoinnin ja viestinnän juridiikka -kurssilla.

 

Uutta EU:n tietosuoja-asetusta käsitellään Markkinoinnin ja viestinnän juridiikka -kurssilla

                                      
Lue lisää >

"Nämä asiat laitan kuntoon työpaikalla asap."

"Paljon infoa jaettavaksi koko tiimille ja vähän muillekin."

"Sain paljon hyviä neuvoja työ- ja asiakassopimuksiin. Sekä ihan perustietoa omaan työhön liittyvistä juridisista kysymyksistä."

"Yhdet parhaimmista koulutuspäivistä. Paljon uutta tietoa ja vahvistusta omille tiedoille. Kaksi päivää juristeja kuulosti etukäteen todella kuivalta, mutta oli kaikkea muuta. Paljon tuli tarkistettavaa tietoa ja huomioitavaa omassa työssä. Helppo oli kysyä kaikilta lisäkysymyksiä ja sai myös selkeitä vastauksia."

 

 

Tieto on valtaa – ja uusi tietosuoja-asetus lisää vastuuta