Petteri Järvinen, tietoturva-asiantuntija, data, henkilötieto, markkinointi, myynti, rekisteri, ajantasalla Ajankohtaista, Yritykset

EU:n tietosuoja-asetus pakottaa yritykset datatalkoisiin

EU:n aiempaa tiukempi tietosuoja-asetus astuu lopullisesti voimaan toukokuussa 2018. Sen myötä yritysten vastuu henkilö- ja asiakastietojen käsittelystä ja säilytyksestä kasvaa entisestään. Henkilödataan kannattaa suhtautua samalla asenteella kuin tietoturvaan, sillä laiminlyönnit voivat käydä kalliiksi.
Timo Sormunen
Meeri Utti
FacebookTwitterLinkedIn

Euroopan Unionin uutta tietosuoja-asetusta (GDPR) on rummutettu Suomessa jo vuoden päivät. Kahden vuoden siirtymäajan jälkeen toukokuussa 2018 voimaan astuva asetus kasvattaa eri organisaatioiden vastuuta etenkin henkilötietojen säilyttämisestä ja käsittelystä.

Pähkinänkuoressa uusi asetus tarkoittaa sitä, että yrityksillä on oltava tarkasti tiedossa ja dokumentoituna, millaista tietoa he asiakkaistaan ja palvelujen käyttäjistä keräävät ja mihin näitä tietoja käytetään. Sekin on selvitettävä, missä ja miten näitä henkilötietoja säilytetään.

Palvelun käyttäjille on puolestaan tarjottava helppo pääsy omiin tietoihin. Lisäksi tiedot on vaadittaessa poistettava.

Myös ikäraja on huomioitava: alaikäisten tietojen tallentamiseen on oltava vanhempien lupa. Tämä alaikäraja voi vaihdella jäsenmaasta riippuen 13-16 vuoden välillä.

Yrityksissä riittää turhan datan perkaustyötä

Tiukentuva henkilötietojen suoja on alkanut jo näkyä verkkosivuilla erilaisina lupapyyntö-bokseina ja teksteinä. Niitä klikkaamalla kävijä antaa luvan antamiensa henkilötietojen hyödyntämiseen myös markkinoinnissa.

Tietokirjailija ja tietotekniikka-asiantuntijan Petteri Järvisen mukaan Suomessa on oltu uudistuksen suhteen hereillä. Keulilla ovat isot yritykset, joita pienemmät seuraavat omaan tahtiinsa.

– Kokonaisuudessaan nämä asiat ovat meillä moneen muuhun maahan jo kohtuullisen hyvällä tolalla. Tekemistä riittää toki edelleen, sillä jatkossa rekisterit on pidettävä entistä paremmin ajan tasalla, Järvinen toteaa.

Hän arvioikin, että nimenomaan rekisterien perkaaminen turhasta datasta on koko uudistuksen työläin urakka.

Erilaista asiakas- ja henkilötietoa on voinut kertyä vuosien mittaan monesta lähteestä ja moneen paikkaan.

Osa tästä datasta voi olla myynnille ja markkinoinnille hyvinkin arvokasta, osa puolestaan tyhjän panttina ja odottelemassa sopivaa käyttöä. Tuota hetkeä ei välttämättä edes tule, jos liiketoiminta on kääntynyt vuosien mittaan aivan uusille urille. Petteri Järvinen, tietoturva-asiantuntija, data, tietosuoja-asetus, henkilötiedot, markkinointi, rekisteri, turha data

Yksi haaste voi olla myös siinä, että osataan ylipäätään tunnistaa henkilötiedot muusta datasta.

– Nämäkin tiedot on nyt perattava, turhat poistettava ja loput pantava varmaan talteen, Järvinen tiivistää.

Samalla hän muistuttaa, että asetuksen peruskivenä on lopulta kuninkaaksi kehutun asiakkaan itsemääräämisoikeus ja valinnan vapaus.

– Henkilötietojen merkitys korostuu, sillä ne ovat tämän ajan öljyä. Monet uudet palvelut perustuvat ihmisistä kerättyjen tiedostojen hyödyntämiseen.

Suhtaudu henkilödataan kuin tietoturvaan

Tietosuoja-asetuksen laiminlyönnistä on asetettu myös sanktio, joka on maksimissaan 4,0 prosenttia liikevaihdosta.

Järvisen mukaan sakkosanktiot jäänevät harvinaisiksi, mutta huomautus saattaa osua myös suomalaisyritysten kohdalle. Sekin voi tuoda mukanaan kohtalokkaan mainekolhun.

Yksi haaste voi olla jo siinä, että osataan ylipäätään tunnistaa, millainen data on luokiteltavissa henkilötiedoksi.

– Minusta tallennettuihin henkilötietoihin pitää suhtautua kuten yrityksen tietoturvaan. Arvokkaita sopimuksia ja asiakastietoja ei tänä päivänä enää säilytetä muistikuilla tai yksittäisillä tietokoneilla. Ja jos jostain syystä säilytetään, niin ei tällainen yritys kovin kauan pyöri, vaikka olisikin pk-kokoluokkaa, asiantuntija huomauttaa.

Kommentoi