Blogi

EU:n uusi tietosuoja-asetus ei estä henkilötietojen käyttöä

Suomessa heräillään vähitellen pohtimaan, mitä EU:n uusi, toukokuussa 2018 sovellettavaksi tuleva tietosuoja-asetus merkitsee käytännön tasolla. Keskustelu on usein ollut negatiivissävytteistä ja mm. pelottelu hallinnollisilla sakoilla on usein nostettu korostetusti esille. On kuitenkin hyvä muistaa, että uusi asetus ei merkitse loppua henkilötietojen hyötykäytölle yritysten liiketoiminnassa, vaan kysymys on ennen kaikkea henkilötietojen käsittelyn ja niihin liittyvien oikeuksien paremmasta hallinnasta.

Monissa yhteyksissä on tunnistettu uuden asetuksen henkilötietoja käsitteleville tahoille tuomat merkittävät velvollisuudet ja niistä aiheutuvat kustannukset. Kaikkia jäsenmaita yhtäläisesti velvoittavilla säännöksillä pyritään kuitenkin edistämään digitaloutta, jonka edellytys on kuluttajan luottamuksen säilyttäminen esimerkiksi rajat ylittävässä verkkokaupassa. Viedessään EU:n tietosuojan uudelle tasolle asetus pyrkii varmistamaan erityisesti kansalaisten oikeudet tietoihinsa. Tavoitteena on, että voidessaan luottaa henkilötietojen asialliseen käsittelyyn kansalaiset uskaltautuvat helpommin antamaan tietonsa käytettäviksi koko EU:n alueella. Tämän nähdään helpottavan myös mm. pk-yrityksien markkinoille tuloa isompien pelurien joukkoon.

Tulkintoja ja lisäohjeita edellyttävä asetus antaa henkilötietoja käsitteleville yhteisöille velvollisuuksien ohella mahdollisuuksia kehittää tietojen hyödyntämistä liiketoiminnan tarpeisiin. Tietojen käsittelyyn mahdollisesti liittyvät riskit ja vaatimukset on kuitenkin hallittava. Informointivelvollisuudet voi täyttää omaan toimintaan soveltuvasti, kunhan kertoo ymmärrettävästi asetuksen edellyttämät tiedot henkilötiedon luovuttajalle. Esimerkiksi asiakkaan profilointi, jota nykylaissa ei ole mainittu on nyt nostettu selvästi esille lainsäädännössä mahdollisuutena hyödyntää tietoa ja palvella asiakasta entistä paremmin.

Tavoitteellinen henkilötietojen kerääminen ja hyödyntäminen yhdessä hyvin hoidetun tietosuojan kanssa kasvattaa liiketoiminnan arvoa. Viimeistään nyt on oikea aika tutustua EU:n tietosuoja-asetukseen ja muodostaa käsitys siitä, mitä muutos merkitsee omalle liiketoiminnalle ja sen kehitykselle. Jos tietosuoja-asiat on hoidettu nykyisen henkilötietolain edellyttämällä tavalla, uudet vaatimukset eivät välttämättä vaadi suuria toimintamuutoksia. Useille yrityksille EU:n asetus merkitsee kuitenkin uutta asentoa tietosuoja-asioissa. Omat prosessit tietovirtoineen on käytävä läpi, peilattava asetuksen määräyksiin ja samalla pohdittava uusia liiketoimintamahdollisuuksia.

Hyvä lähtökohta on tähdätä tietosuojatoiminnan jatkuvuuteen. Siirtyminen uuden asetuksen täyttävään toimintamalliin ei missään tapauksessa ole kertarypistys, vaan jatkossa osa henkilötietoja käsittelevän yrityksen vakiotoimintaa.