12.6.2018

Pitkät päivät pakerretaan, tällä lailla tietosuojaa rakennetaan

Pitkät päivät pakerretaan, tällä lailla tietosuojaa rakennetaan

Tietosuoja-asetuksen voimaantulon määräpäivä oli ja meni. Ja hyvä niin. Fataljit ovat toki tarpeellisia, jotta asioita oikeasti tehdään, mutta nyt päästään vapaammin liiketoiminnan normaalissa rytmissä miettimään tietosuojan soveltamista arjessa. Karkeasti voidaan todeta, että elämä on jakautunut aikaan ennen tietosuoja-asetusta ja aikaan sen jälkeen. Ajalla ennen tietosuoja-asetusta yritykset keskittivät voimavarojaan enemmän ulkoisten prosessien kartoitukseen ja dokumentointiin. Ajalla jälkeen tietosuoja-asetuksen painopiste tulee todennäköisesti muuttumaan ja yritykset pyrkivät laittamaan sisäiset prosessinsa kuntoon. Toivottavasti.

Tietosuoja on paljon muutakin kuin asetuksen edellyttämiä selosteita ja sopimuksia. Tietosuoja-asetuksen jälkeisellä ajalla yrityksiltä tullaan edellyttämään jatkuvaa asetuksen velvoitteiden noudattamista ja noudattamisen toteutumisen osoittamista. Tietosuoja tulee olemaan osa yrityskulttuuria, jonka vuoksi on aiheellista keskittyä tulevaisuudessa siihen, miten yrityksen sisäiset käytännöt pidetään jatkuvasti kehittyvien tietosuojavaatimusten mukaisina, esimerkiksi miten arvioidaan toimenpiteiden riittävyys ja henkilökunnan toimintaohjeiden noudattaminen. Muutoksia voi todella tapahtua ja on mm. esitetty, että Facebook tulee ennen pitkää olemaan tietosuojan mallioppilas. Viime aikojen tietojen valossa tätä ei uskoisi.

Tietosuoja-asetus on saanut meidät miettimään omaa toimintaamme. Samalla on huomattu, kuinka osin mahdottomia ja osin käytännölle vieraita jotkin asetuksen velvoitteet ovat – kun poikkeuksia ei ole säädetty. Toisaalta, jo asetuksen nimi, EU:n yleinen tietosuoja-asetus, on paljon puhuva, sillä sitä se todella on. Yleinen. Saattaa tuntua kohtuuttomalta, että yrityksiltä odotetaan asetuksen noudattamista tilanteissa, joissa toimiminen asetuksen velvoitteet huomioiden on lähestulkoon mahdotonta. Oikeuskäytäntö on vasta muodostumassa, samoin kuin markkinakäytäntö. Euroopan komissio ei ole julkaissut tietosuoja-asetuksen jälkeisiä vakiosopimuslausekkeita eikä tietosuojaviranomaisilta heru ohjeistuksia. Mitä muuta tässä kohtaa voi tehdä, kuin huokaista syvään ja keskittyä nauttimaan (tietosuojatusta) Suomen kesästä.

Syksyllä voidaan jatkaa pohdiskelua. Kesälomakautta vasten projekteilla on taipumus edetä hitaanlaisesti. Tietosuojatyö yritysten osalta ei tule loppumaan. Tärkeintä onkin pitkäjänteinen työ meidän kaikkien henkilötietojen suojaamiseksi, sillä loppujen lopuksi tietosuoja-asetuksen tavoitteet ovat vilpittömän hyvät.

Tatu Kulmala