Tietosuoja on eurooppalainen oikeus, ja se näkyy sakkojen suuruudessa
Tietosuojasta säädetään EU:n tasolla yleisellä tietosuoja-asetuksella (englanniksi lyhennettynä GDPR), mikä tarkoittaa, että lakia sovelletaan sellaisenaan kaikissa EU-maissa. Toisin kuin direktiivien tapauksessa, yksittäisellä jäsenvaltiolla ei ole kuin muutamissa pienissä asioissa omaa lainsäädäntövaltaa. Laki tulee suoraan EU:lta, ja niin tulee myös lain tulkinta. Tämä tarkoittaa, että Suomessa, jossa viranomaisten lähestymistapa lainvastaisuuksiin on yleensä ensin ohjaava, sitten varoittava ja vasta lopuksi rankaiseva, on noudatettava eurooppalaista valvontamallia. Myös Suomessa viranomaisen on määrättävä vähäistä vakavammista lainvastaisuuksista seuraamusmaksuja, jotka ovat suuruudeltaan ”tehokkaita, oikeasuhtaisia ja varoittavia”. Laki määrää melko tarkasti, miten sakon suuruus määritellään. Käytäntö osoittaa, että sakot voivat olla valtavia.
Jopa Suomessa tietosuojavaltuutettu on pelkästään viimeisen kahden vuoden aikana määrännyt yleisen tietosuoja-asetuksen mukaisia seuraamusmaksuja yli 2,3 miljoonan euron edestä. Sakotettavat ovat olleet niin isoja kuin pieniäkin yrityksiä. Seuraamusmaksun määrässä huomioidaan toki yleensä yrityksen liikevaihto, joten pienet firmat tuskin joutuvat maksamaan miljoonien suuruisia sakkoja, vaikka se lain mukaan onkin mahdollista.
Tietosuojalainsäädännön rikkominen on huonoa riskienhallintaa
Harmillisen monet suomalaiset yritykset yhä jättävät noudattamatta tietosuojalainsäädännön perusvaatimuksia. Ilmeiset laiminlyönnit, kuten tietosuojaselosteen julkaisematta jättäminen verkkosivustolla, antaa valvontaviranomaiselle selvän merkin siitä, että yrityksessä tietosuoja-asiat eivät ole kunnossa. Ihmiset puolestaan ovat oppineet oikeutensa, ja viranomaiskantelut ovat yleistyneet. Tietosuojalainsäädännön noudattaminen on yrityksen täysin hallittavissa oleva sisäinen riski. Laiminlyöty tietosuoja tarkoittaa sisäisen riskienhallinnan epäonnistumista.
Yritystoiminnassa yrityksen ylin johto vastaa siitä, että toiminnassa noudatetaan lakia. Vakavimmissa tapauksissa johto vastaa laiminlyönneistä rikosoikeudellisesti. Tietosuojalainsäädännön noudattaminen onnistuu suhteellisella panostuksella. Henkilötietojen käsittelysuunnitelman ja tietosuojaselosteen laatiminen sekä tietosuojatoiminnan valvominen eivät vaadi ihmeitä. Yleisen riskienhallintateorian näkökulmasta lainsäädännön laiminlyöntiä ei voi perustella oikein millään. Vaakakuppi kallistuu kaikissa skenaarioissa selvästi lain noudattamisen puolelle.
Tietosuojan kunnioittaminen on osa yritysvastuullisuutta
Kun puhutaan tietosuojalainsäädännön laiminlyönnin riskeistä, yleisin keskustelunaihe on edellä kuvattu keppi. Mietitään, mitä tapahtuu, jos lakia ei noudateta. Usein pohdinnasta unohtuu asian porkkana, siis se, mitä tapahtuu, jos yritys ottaa tietosuojan kunnioittamisen osaksi vastuullisuusohjelmaa ja hoitaa asian kunniakkaasti.
Kuluttajat ja markkinat arvostavat nykyään suuresti elinkeinonharjoittajia, jotka ovat yhteiskunnan vastuullisia jäseniä. Vastuullisuus vahvistaa yrityksen brändiä ja mainetta. Vastuullisuudesta on todettu olevan selvää liiketaloudellista hyötyä. (Lue lisää: ”Näin vastuullisuus voi auttaa yritystäsi vahvistamaan kasvua ja tuloksia”)
Asiakkaiden, työntekijöiden, tuottajien, rahoittajien ja muiden sidosryhmien tietosuojasta huolehtiminen on merkittävä positiivinen arvoteko. Sen kunnioittaminen antaa selvää näkyvyyttä yrityksen yleiselle vastuullisuudelle. Tietosuoja kannattaa määritellä yhdeksi ydinarvoksi ympäristöystävällisyyden, työntekijöiden hyvinvoinnin ja muiden keskeisten arvojen parissa.
Viisi vinkkiä tietosuojariskien hallitsemiseen
Jos yrityksenne tietosuoja on tällä haavaa aivan retuperällä, kannattaa jo toimia nopeasti. On aivan tuurista kiinni, tekeekö joku kantelun viranomaiselle. Kyseessä on tällöin ulkoinen riski, joka ei ole yrityksen hallittavissa. Mitä pidemmällä olette kasvupolulla, sitä suurempia riskit ovat. Aloita tilanteen korjaaminen seuraavilla vinkeillä.
1. Selvitä, mitä henkilötietoja yrityksessänne käsitellään ja miten. Tehokas tapa on lähestyä asiaa sidosryhmäajattelun kautta: asiakkaat, työntekijät, johto, sijoittajat jne. Jokaista ryhmää kannattaa tarkastella todenmukaisesti, silmät auki ja luova ajattelu täysillä mukana. Eri henkilötietoryhmiä ja niiden käsittelyn skenaarioita voi löytyä yllättävistäkin paikoista.
2. Kun tietojen käsittelyn raamit ovat selvät, laadi selkeä mutta kattava tietosuojaseloste ja julkaise se helposti saatavalla tavalla yrityksenne verkkosivustolla. Paras tapa on laittaa linkki jokaisen sivun alareunaan ja linkittää se erikseen vielä aina tilanteisiin, joissa tietoja erityisesti käsitellään (esimerkiksi yhteydenottolomakkeen yhteyteen). Jos käytätte sivustolla evästeitä, analytiikkatyökaluja tai muita seurantateknologioita, älä unohda kattavaa ja todenmukaista evästekäytäntöä.
3. Laita kaikki lain vaatimat sisäiset prosessit kuntoon, jotta tietosuoja oikeasti toimii. Tietosuojalainsäädäntö asettaa tiettyjä teknisiä vaatimuksia sujuvalle tietosuojatoiminnalle. Esimerkiksi käyttäessänne ulkopuolisia henkilötietojen käsittelijöitä teidän tulee huolehtia siitä, että käsittelijöiden kanssa on olemassa ajantasaiset käsittelysopimukset. Erityisesti silloin, kun henkilötietoja siirretään EU:n ja Euroopan talousalueen ulkopuolelle, kannattaa sopimukset katsoa kuntoon (ellette käytä muita lain sallimia järjestelyitä siirroissa). Myös tietosuojapyyntöihin vastaaminen määräajassa edellyttää sitä, että järjestelmät ovat kunnossa ja oikein käytettyjä.
Muita prosesseja ovat säännölliset henkilöstökoulutukset ja sisäiset tietosuojatarkastukset, jotta voitte varmistua siitä, että lakia todella noudatetaan firmassa. Näin pysytte aina kartalla siitä, mitä ihmisten henkilötiedoilla tehdään, onko käsittely lainmukaista ja miten toimia, jos esimerkiksi asiakas lähettää tietosuojapyynnön.
4. Päivitä henkilötietojen käsittelysuunnitelmaa ja tietosuojaselostetta säännöllisesti. Päivitys on syytä tehdä aina, kun tietosuojassa tapahtuu muutoksia, mutta vähintään kerran vuodessa. Tämä osoittaa, että tietosuoja on teille tärkeä aihe ja valvotte sitä säännöllisesti.
5. Varaudu vaikeuksiin. Kaikesta valmistautumisesta huolimatta virheitä ja vahinkoja voi sattua. Henkilötietoja saatetaan varastaa tai muuten vuotaa asiattomille osapuolille. Jos näin käy, on hyvä, jos olet valmistanut henkilöstösi oikeisiin toimenpiteisiin. Säännöllinen tietosuojakoulutus ja harjoittelu ovat elintärkeitä, jos jokin menee pieleen.
Mikäli tarvitset apua yrityksenne tietosuojatoiminnan suunnittelussa ja oikeiden prosessien toteutuksessa, autamme mielellämme. Lue lisää Yrityksen tietosuoja (GDPR) -palvelupaketistamme tai varaa aika maksuttomaan ja riskittömään alkutapaamiseen.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.