GDPR (General Data Protection Regulation) eli EU:n tietosuoja-asetus tulee voimaan toukokuussa 2018. Henkilötieto-rikkomukset voivat aiheuttaa enimmillään 20 miljoonan euron sakon tai sakon, joka on 4 %:ia yhtiön edellisen vuoden kokonaisliikevaihdosta tai vaikkapa keskeyttämismääräys. Tietosuojavirasto päättä sakon sen mukaan, kumpi näistä on suurempi, jotta keppi viuhuu mahdollisimman lujaa.
Yleisviesti lienee silti, ettei kannata pelästyä, vaan suhtautua tietosuoja-asioihin mahdollisuutena. Sellaisena asiana, jonka pitää olla kunnossa ihan vain siksi, että henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus Euroopan Unionissa. Tietosuojavaltuutetun toimistosta Reijo Aarnio kertoi kirjoituksessaan jo viime vuoden maaliskuussa, että käytössä ovat myös varoitukset ja huomautukset eikä kaikki suinkaan automaattisesti aiheuta vakavimpia sanktioita.
Tässä kohtaa vuotta sakot ja sanktiot eivät ole kustannus, joka näkyy yhtiön menoissa.
Tietosuoja-asetus aiheuttaa paljon hommia yrityksissä. Meillä se näkyy mm. niin, että uusimme kaikkien asiakkaiden sopimukset, päivitämme tietosuojaselosteet. Lopetin jo yhden liian pieneksi jääneen vanhan palvelun kokonaan, jotta saimme sen asianmukaisesti tyhjennettyä henkilötiedoista ja poistettua kaikki nämä elinkaarensa päässä olevat tiedot. Se oli halvempaa lopettaa kuin pitää yllä ja liiketoimintastrategian mukaista, koska palvelemme b2b-markkinoilla, emme kuluttajapuolta.
GDPR:n vuoksi tulee henkilökunnan koulutuksista lisäkustannuksia. Ohjelmistoihin tehtävän kehitystyön näen investointina, jolla pystymme helpottamaan omien asiakkaidemme arkea.
Yhtiön pitää pystyä osoittamaan, että nämä asiat ovat kunnossa. Osoitusvelvollisuus on melkoinen urakka pienemmässäkin yrityksessä. Jos ajattelet, ettei tämä koske yhtiötänne, voin varmuudella todeta, että kyllä koskee.
Omakohtainen kokemukseni sekä omasta että asiakkaitteni toimintaympäristöistä on, että tietosuoja-asioiden läpikäyminen on terveellistä prosessien ja toimintatapojen arviointia.
Tietosuoja-asetus avasi ammattinimikkeen rekrymarkkinoilla nimeltä "Tietosuojavastaava". Jos sellaisen aikoo valita, mutta ei omasta henkilökunnasta löydy sopivaa henkilöä tuohon työhön, on yksi lisäkustannuksista uuden ihmisen palkkaus.
Laki on muutenkin luonut uutta markkinaa, sillä GDPR-asioissa asiantuntijapalveluille on nyt kysyntää. Tulojakin voi saada.