Tietosuojan Top 5

Tietosuoja-asetus (GDPR) on herättänyt tulollaan monenlaisia mielipiteitä – osa näkee sen liiketoiminnan uhkana, kun taas osa mieltää sen merkittävänä mahdollistajana.

1. Uusi liiketoiminnan vauhdittaja

Tietosuoja-asetus (GDPR) luo mahdollisuuden kehittää toimintaa ja sen laatua. Kyseessä on mitä merkittävin liiketoiminnan mahdollistaja, ei uhka, pysäyttäjä tai vihollinen.

Tietosuojauudistuksen myötä organisaatio tulee entistä parem­min tietoiseksi siitä, mitä tietoja se kerää, käsittelee ja säilyttää sekä varmistaa hen­kilötietojen käsittelyn lainmukaisuuden.

 

2. Lisää ennakoitavuutta

Sisäänrakennetun ja oletusarvoisen tietosuojan (privacy by design and default) merkitys kasvaa tietosuoja-asetuksen myötä. Tietosuojan tulee olla sisään­rakennettu osaksi toimintaprosesseja, tietojärjestelmiä ja kehityshankkeita.

Tietosuojan ja tietotur­van hallinnasta tulee ennakoivaa, proaktiivis­ta ja riskilähtöistä.

 

3. Toimitusjohtaja ilmoittaa tietosuojaloukkauksista

”Kun yritys joutuu verkkohyökkäyksen kohteeksi, toimitus­johtajien tulisi tehdä päätös tietovuodosta ilmoittamisesta, ei tietohallintojohta­jien”, neuvoo Kana­dan tietosuojavaltuu­tettuna työskennellyt Chantal Bernier.

Yrityksen maineen sekä taloudellisen aseman kannalta päätös on liian merkittävä ollakseen jonkun muun kuin yri­tyksen toimitusjohtajan ratkaisu.

 

4. Vaikuttaa profilointiin

Tietosuojavaatimuk­set pitää sovittaa yhteen markkinoin­nin automaation, profiloinnin ja data-analytiikan kanssa.

Tietosuojatyöryhmän (WP29) julkaise­mien päivitettyjen ohjeiden mukaisesti rekisterinpitäjän ei tule toteuttaa suunniteltuja toimenpiteitä, mikäli ”malli” tekee yksin­omaan automatisoituja päätöksiä luonnollisista henkilöistä tehtyjen profiilien perusteella, ja päätöksillä on merkittä­vä vaikutus heihin, eikä käsittely perustu yksi­lön antamaan suostu­mukseen, sopimukseen tai muuhun lailliseen perusteeseen.

 

5. Euroopassa tarvitaan vähintään 28 000 tietosuojavastaavaa

Kansainvälisen tietosuoja-asiantunti­joiden järjestö IAPP:n tutkimuksen mukaan tietosuojavastaavien ja -asiantuntijoiden tarve tulee väistä­mättä kasvamaan lähitulevaisuudessa.

Organisaation pitää selvittää, velvoittaako asetus sitä nimittä­mään tietosuojavas­taavan. Suositus on, että tietosuojavastaava nimitetään myös epä­selvissä tapauksissa.