Suomen ja Euroopan unionin tietosuoja-asetus uudistuu 25.5.2018. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn Euroopan Union alueella, sekä käsittelyyn, joka koskee Euroopan Unionin kansalaisia.
GDPR näkyy mediassa sekä kuuluu konsulttien myyntipuheissa, mutta mistä on kyse näin maallikon silmin?
GDPR nousee lähes joka palvelun kanssa esille: yleensä sovellusten käyttäjät ovat henkilöitä, joten henkilötietojen käsittelyä on vaikea välttää. Suomessa asiat ovat olleet jo aikaisemmin suhteellisen hyvällä tasolla EU:n yleiseen tasoon nähden, joten aivan älyttömiä ponnisteluja GDPR ei meiltä suomalaisilta toimijoilta vaadi.
Haastavinta ovat integraatiot. Luovutatteko käyttäjien henkilötietoja eteenpäin muille toimijoille? GDPR:n mukaan te olette silloin vastuussa, että toimijat joille olette tietoja luovuttaneet, toimivat myös GDPR:n piirissä. Kaikista henkilötietojen muutoksista, poistoista ja henkilötietojen käsittelyn rajauksista ei riitä, että tiedot päivitetään tai poistetaan teidän järjestelmästä, vaan sama koskee kaikkien muiden toimijoiden järjestelmiä, joille te olette tiedot luovuttanut. Muista myös, että paperilla oleva data on yhtälailla GDPR:n piirissä.
Sitten on myös päällekkäin meneminen lainsäädännön kanssa. Luonnollisestikin teillä on vaatimuksia datan arkistoinnista, joten kaikkia tietoja ei niin vain voida poistaa. Tässä tulee mahdollisuutena pseudonymisointi, eli tehdään vaikeammaksi henkilötiedon yhdistäminen pseudonyymi-identiteettiin, mutta kuitenkin niin että henkilöllisyys voidaan tarpeen mukaan selvittää. Esimerkkinä toimii hyvin laskut. Asiakassuhteen jälkeen voi tulla pyyntö tietojen poistamisesta, mutta kirjanpitolaki ei sitä laskujen osalta mahdollista, joten asiakkaan tiedot jäävät kirjanpitoon.
Emme kuitenkaan Kiskolla ole lakimiehiä ja suosittelemme toki käyttämään heidän palvelujaan jos siltä tuntuu. Meidän näkökanta kuitenkin on, että asiakkaille päin näkyvät asiat kuntoon: selkeä ja totuudenmukainen viestintä siitä, että mitä kerätään ja mihin käyttötarkoitukseen. Järjestelmiin voi tietysti rakennella noita poistamis- ja export -ominaisuuksia mutta ne voi tämän hetkisen käsityksen mukaan tehdä myös manuaalisesti just-in-time-hengessä.
Tällä hetkellä kommunikaatio säädännön vaatimuksista on vielä ristiriitaista, eikä kukaan voi sanoa ennen ennakkotapauksia, miten lopulta GDPR:ää tulkitaan. Uskomme, että alkuvaiheessa kiikarissa ovat enimmäkseen isot tekijät ja tekijät, jotka laiminlyövät räikeästi (ei minkäänlaisia rekisteriselosteita, tietoja käytetään epäeettisesti jne.) säädännön henkeä.