Tietosuoja-asetus tulee, so what?

Julkisuudessa käyty vilkas keskustelu yksityisyydensuojasta ja siihen kohdistuneista loukkauksista on saanut lainsäätäjät ja henkilötietojen käsittelyä valvovat viranomaiset liikkeelle.

Erityisesti eurooppalaiset valtiot ja Euroopan Unioni ovat profiloituneet yksilön oikeuksien puolustajina. Tästä hyvänä esimerkkinä toimii EU:n yleinen tietosuoja-asetus , joka on antanut uutta nostetta tietosuojaohjelmille ja -hankkeille myös Suomessa. Horisontissa siintävät miljoonasakot ja negatiivinen julkisuus ovat saaneet yritykset joukolla pohtimaan henkilötietojen käsittelyä.

Tietosuoja-asetuksen tavoitteena on yhdenmukaistaa henkilötietojen käsittelyä ja antaa kansalaisille paremmat edellytykset hallita omia henkilötietojaan. Uudet velvoitteet ovat erityinen haaste yrityksille, joille henkilötietojen prosessointi tai kaupallinen hyödyntäminen eivät ole ydinbisnestä. Nekin kuitenkin keräävät asiakkaistaan yhä enemmän tietoja, pyrkien näin kehittämään omia tuotteitaan ja toimintaansa. Big data, analytiikka ja asiakkaiden profilointi ovat löytäneet tiensä myös perinteisten tiiliseinien sisälle.

Henkilötietojen kerääminen ja hyödyntäminen eivät saa tulla rekisteröidyille yllätyksenä.

Rekisterinpitäjä – kerro mitä iloa sinusta on asiakkaalle

Miten tietosuoja-asetukseen sitten pitäisi varautua? Asetus sisältää yli 200 sivua tulkinnanvaraista lakitekstiä, joten näkemyksiä riittää moneen lähtöön. Yksi pitää suurimpana muutoksena rekisterinpitäjän näyttövelvollisuutta, toinen ”Privacy by Design” -periaatetta, kolmas rekisteröityjen uusia oikeuksia. Kaikki ovat omalla tavallaan oikeassa. Suurimmat muutokset ja murheenkryynit vaihtelevat tapauskohtaisesti. Itse olen pitänyt ohjenuorana yksinkertaista sääntöä:

Henkilötietojen kerääminen ja hyödyntäminen eivät saa tulla rekisteröidyille yllätyksenä. Heidän on ymmärrettävä miksi henkilötietoja kerätään ja miten he siitä itse hyötyvät.

Erityisesti viimeksi mainittu unohtuu helposti muuttuvan lainsäädännön perässä juostessa. On toki tärkeää, että rekisterinpitäjän toiminta täyttää lain kirjaimen – mutta on yhtälailla tärkeää, että asiakkaat ja kansalaiset kokevat saavansa aitoa vastinetta katoavalle yksityisyydelleen. Tämä edellyttää uusia ja innovatiivisia tapoja viestiä ja lähestyä kohdeyleisöä. Perinteiset tietosuojaselosteet ja sähköisten palveluiden tietosuoja-asetukset palvelevat huonosti tätä tarkoitusta.

Kilpailuetua tarjolla

Henkilötietojen käsittely on, paitsi tarkoin säänneltyä, myös tunteita herättävää toimintaa. Yritysten kannattaa hyödyntää lisääntynyttä tietoisuutta ja ottaa tietosuojaa reippaasti sarvista kiinni. Asialle omistautunut yritys voi rakentaa tietosuojasta itselleen kilpailuvaltin. Lainsäädännön vaatimusten täyttäminen on askel oikeaan suuntaan, mutta se ei yksin riitä. Riman asettaminen lainlaatijan asettamalle minimitasolle ei nosta sinua kilpailijoittesi yläpuolelle – ei vaikka kyse olisi tietosuoja-asetuksesta.

 

Kirjoitus on alunperin julkaistu Deloitten blogissa.