Kolme pointtia tietosuojasta
Kolme pointtia tietosuojasta
Viime perjantaina toimistollamme vieraili oikeustieteen opiskelijoita Israelista. Kertoessani heille työtehtävistäni totesin tavanomaisesti, että ”well I’m sure you have all heard about the new GDPR”. Vastaukseksi sain kummastuneita katseita ja tulvan lisäkysymyksiä tästä kummallisesta geedeepeeäärrästä.
Oman tietosuojakuplan sisällä eläessä on välillä vaikea ajatella sitä, ettei koko maailma pyöri tietosuoja-asetuksen ympärillä. Suuri osa juristeista, oikeustieteen opiskelijoista, oikeustieteilijöistä, niin pienistä kuin suuremmistakin yrityksistä aina oikeutensa tiedostaviin yksityishenkilöihin asti tuntuu olevan harvinaisen hyvin perillä tästä viikon päästä voimaan astuvasta asetuksesta. Tietosuoja-asetus vihastuttaa ja ihastuttaa mutta on syytä muistaa, että elämä jatkuu perjantain 25.5 jälkeenkin. Olitpa sitten tietosuoja-asetuksen suurin fani tai kironnut koko asetuksen sinne minne aurinko ei paista, muista ottaa huomioon seuraavat asiat:
1. 20 miljoonan euron sakot kaikille, jotka eivät noudata asetusta
On totta, että eräs tietosuoja-asetuksen merkittävistä muutoksista on viranomaisten valtuudet määrätä merkittäviä sanktioita tietosuoja-asetusta rikkoville toimijoille. Tällaisten hallinnollisten sakkojen enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Hallinnollisten sakkojen määräämiseen ja sakon määrään vaikuttaa kuitenkin moni asia. Valvontaviranomaisen on otettava huomioon muun muassa rikottu velvollisuus, rikkomisen luonne, vakavuus ja kesto, onko rikkomisen tahallisuus, toimet rikkomisen korjaamiseksi ja haitallisten vaikutusten estämiseksi sekä yhteistyö valvontaviranomaisen kanssa.
Joten ei, 20 miljoonan euron hallinnollinen sakko ei ole se todennäköisin seuraus asetuksen rikkomisesta. Asetuksen mukaisia velvollisuuksia kannattaa toki pyrkiä noudattamaan, sillä mainekustannukset monesti ovat sakkoja suuremmat (muistetaan miten kävi esimerkiksi Cambridge Analyticalle).
2. Tietosuojavaltuutettu valvoo
Tietosuojalakiluonnoksen mukaan tarkoituksena on muuttaa tietosuojavaltuutetun toimisto tietosuojavirastoksi, joka toimisi tietosuoja-asetuksen mukaisena valvontaviranomaisena Suomessa. Valvontaviranomaisella on valtuudet antaa erilaisia varoituksia, huomautuksia ja määräyksiä sen varmistamiseksi, että yritykset noudattavat tietosuoja-asetusta.
Tietosuoja-asetus on hyvin yleisluonteinen, eivätkä sen artiklat ole erityisen helposti tulkittavissa ja sovellettavissa eri tilanteisiin. EU:n tietosuojatyöryhmä WP29 ja tietosuojavaltuutettu ovat toki antaneet tulkintaohjeita ja suosituksia, mutta tietosuoja-asetuksen soveltaminen tulee täsmentymään ajan myötä. Siihen asti voimme yrittää parhaamme mukaan turvata käsittelemämme henkilötiedot ja aktiivisesti pyrkiä toimimaan asetuksen mukaan. On hyvin epätodennäköistä, että tietosuojavaltuutettu lähtee heti asetuksen soveltamisen alettua ratsaamaan yrityksiä ja etsimällä etsimään rikkomuksia.
Sitä paitsi, kysyvä ei tieltä eksy, joten suositeltavaa on ottaa yhteyttä asiantuntijaan, mikäli tietosuoja-asetuksen mukaiset velvollisuudet huolettavat. Toimistomme asiantuntijat auttavat mielellään erilaisissa tietosuojaa koskevissa kysymyksissä myös ensi perjantain jälkeen.
3. Tietosuoja-asetus on hyvä juttu
Oltiinpa mitä mieltä tahansa tietosuoja-asetuksen sisällön onnistuneisuudesta, kirjoitusasun tarkkuudesta tai viranomaisten tulkintaohjeista, on hyvä muistaa että tietosuoja-asetuksen tarkoituksena on turvata meidän kaikkien henkilötiedot.
Sofia Lindqvist