GDPR-deadline lähestyy – ovatko organisaatiot valmiina?
EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) siirtymäaika päättyy 25.5.2018. Tietosuoja-asetus koskee käytännössä kaikkia organisaatioita, niinpä se on luultavasti yksi tarkimmin tutkituista ja uutisoiduista EU:n antamista asetuksista koko maailmassa.
Tämä on näkynyt kiitettävällä tavalla tiedotusvälineissä ja yritysten markkinointiviestinnässä. Jokainen itseään kunnioittava organisaatio on julkaissut oman GDPR-oppaansa, kirjoittanut lukuisia blogeja ja lanseerannut oman konseptinsa tietosuoja-asetuksen taklaamiseksi.
Tiedotusvälineitä ovat kiinnostaneet erityisesti tietosuoja-asetuksen valvontaviranomaisille antamat valtuudet määrätä jopa 20 MEUR hallinnolliset sakot tietosuoja-asetuksen vastaisesta toiminnasta. Harvoin näin tylsästä asiasta on saatu näin paljon keskustelua aikaiseksi.
Kaikesta tästä huolimatta merkittävä osa suomalaisista organisaatioista kokee tietosuoja-asetukseen valmistautumisen vaikeaksi. Tietoa on tarjolla ehkä liikaakin ja liikkeellä on poikkeuksellisen paljon vääriä tulkintoja tietosuoja-asetuksen vaatimuksista. Monet GDPR-oppaat ovat tyhjää täynnä ja toistelevat asioita, jotka ovat luettavissa suoraan asetuksesta itsestään.
”Tietoa on tarjolla ehkä liikaakin ja liikkeellä on poikkeuksellisen paljon vääriä tulkintoja tietosuoja-asetuksen vaatimuksista.”
Osa yrityksistä kokee tietosuoja-asetuksen pelkkänä hallinnollisena taakkana, jonka hyödyt ovat jääneet monelle erinomaisen epäselväksi. Toiset ovat huolissaan siitä, pitääkö tässä jo sopimuksetkin hävittää. Kovin moni on huolissaan dokumentointivaatimuksista ja aivan liian harvat ovat huolissaan henkilötietojen käytännön suojaamisen tilasta.
Tietosuoja-asetuksen tarkoitus on kuitenkin paitsi parantaa henkilötietojen suojaa myös yhdenmukaistaa niiden käsittelyä eri EU-maissa ja edesauttaa henkilötietojen vapaata liikkuvuutta.
”Kovin moni on huolissaan dokumentointivaatimuksista ja aivan liian harvat ovat huolissaan henkilötietojen käytännön suojaamisen tilasta.”
Tällä hetkellä näyttääkin siltä, että useimmat organisaatiot ovat vasta aloittamassa valmistautumista tietosuoja-asetuksen vaatimuksiin. Siirtymäajan päättymistä ei kannata murehtia, mutta työhön on syytä nyt tarttua.
Työ tietosuoja-asetuksen vaatimusten täyttämiseksi jatkuu tiiviinä useimmissa organisaatioissa vielä toukokuun lopunkin jälkeen. Myös viranomaissektorilla valmistautuminen on kesken, eikä viranomaisten valvontaiskuista, saati hallinnollisista sakoista kannata olla huolissaan.
”Siirtymäajan päättymistä ei kannata murehtia, mutta työhön on syytä nyt tarttua.”
Kirjoittaja Tero Anttila työskentelee TietoAkselissa operatiivisena johtajana.