Harha 1

”GDPR ei koske meitä, koska olemme xxx (sellainen, pieni tms. yritys) /emme ole xxx...”

GDPR koskee kaikkia henkilötietoja käsitteleviä organisaatioita sekä yksityisellä että julkisella sektorilla, järjestöissä ja säätiöissä sekä joissain tapauksissa myös yksityishenkilöitä.

Asetus ei poissulje organisaatioita sen koon, toiminta-alueen, liikevaihdon tai muun vastaavan määritteen kautta, vaan asetus on asetus, se ei ole mielipideasia ja se koskettaa kaikkia.

Tietosuoja-asetusta sovelletaan kaikkien henkilötietojen käsittelyyn: asiakkaat, työntekijät, toimittajat, alihankkijat, ulkoistuskumppanit, kulunvalvonta muutamina yleisimpinä esimerkkeinä.

Kieltämisen sijaan johto kasvavassa määrin keskittyykin valitsemaan sellaisen toimintamallin, jolla asetuksen vaatimukset saadaan hallintaan vaivattomasti ja ylläpidettyä kustannustehokkaasti.

Harha 2

”Ulkoistimme GDPR-työn ja vastuun kirjanpitäjälle/jonnekin muualle...”

Missä kohtaa taloushallinnon osaajasta tuli tietosuojaosaaja? Koska kyseessä on alkuun laajahko dokumentaatio, saitteko hyvässä lykyssä kymmenien sivujen pituisen tietosuojadokumentaation? Lähettivätkö he siitä jo laskun?

Miten usein jatkossa kirjanpitäjä/muu taho tulee kouluttamaan henkilöstöänne tietosuoja-asioissa ja miten se on todennettavissa? Asetus vaatii jatkuvaa tietosuojaosaamisen ylläpitoa ja sen kehittämistä (organisatorinen osoitusvelvollisuus).

Kannattaa muistaa, että vastuuta ei voi koskaan ulkoistaa, vastuu on aina organisaatiolla ja sen johdolla itsellään. Tehtäviä ja työtä voi toki tilata kolmannelta osapuolelta, yleensä erillistä korvausta vastaan.

Heiluttaako häntä koiraa?

Kirjanpitäjä käsittelee yleisesti henkilötietoja asiakkaan, rekisterinpitäjän eli sinun lukuusi. Asetuksen mukaan rekisterinpitäjä vastaa henkilötietojen käsittelijän toimista. Eli kirjanpitäjän tulee todentaa teille se, että heillä on riittävät valmiudet tietosuoja-vaatimuksen mukaiseen toimintaan.

Harha 3

”Kaikilta asiakkailta ja yhteistyökumppaneilta pitää saada suostumus, että saamme kontaktoida heitä...”

Ei pidä paikkaansa yritysten välisessä markkinoinnissa: Uusi tietosuoja-asetus ei estä B2B-markkinointia ja saat kontaktoida heitä jatkossakin kunhan tarjoamasi palvelu/tuote liittyy heidän tehtävänkuvaansa.

Käytettävien markkinointirekisterien (esim. sähköpostimarkkinointi) tietoja saa käsitellä vain siinä nimenomaisessa tarkoituksessa, johon ne on alun perin kerätty/ostettu.

Rekisterinpitäjän on dokumentoitava henkilötietojen käsittely sekä toteutettava tarvittavat hallinnolliset ja tekniset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että asetusta noudatetaan (tietovirtakuvaus ja tietosuojaseloste).

Harha 4

”GDPR:n myötä rekisteröityjen yhteydenottopyynnöt räjähtävät käsiin...”

Viimeisten parin vuosikymmenen aikana me rekisteröidyt olemme luovuttaneet yhä kasvavan määrän tietoa itsestämme eri palveluntarjoajille aika vähät välittäen siitä, kuka tietoja käyttää ja mihin.

Hyvinkin tarkkaa profilointia mahdollistavaa tietoa itsestämme ja ostokäyttäytymisestämme tallentuu esimerkiksi kauppojen kanta-asiakaskorttien välityksellä kauppiasketjun järjestelmiin.

Kuinka moni tunnustaa pyytäneensä tietonsa kauppiaalta? Tai mistään muualtakaan? Montako tietopyyntöä olette itse vastaanottaneet? Onko hiljaista? Tähän perustuen emme usko että, rekisteröityjen tietopyynnöt merkittävästi kasvaisivat.

Se, mitä tapahtuu ja on jo tapahtunut, on että tietyt tahot tulevat varmasti testaamaan eri toimijoiden GDPR-valmiutta. Jo pelkästään heitä varten tulee luoda toimintaohjeet ja viedä tietosuojaselosteet helposti rekisteröityjen saataville, vaikka yrityksenne verkkosivuille.

Harha 5

”Asetuksen rikkominen aiheuttaa välittömät sakot...”

Kuulostaa ”maailmanloppujuristien” julistukselta. Pahimmillaan tietosuoja-asetuksen rikkominen voi toki aiheuttaa yritykselle sakot, joka vastaa neljää prosenttia konsernin viimeisestä vahvistetusta globaalista liikevaihdosta tai 20 miljoonaa euroa, kumpi vain on isompi.

Käytännössä sakko ei kuitenkaan välttämättä ole ensimmäinen tai myöskään ainoa sanktio.

Tietosuoja-asiamiehen huomautus, korjauspyyntö tai tietojen käsittelykielto ainakin lievemmissä tapauksissa lienevät ensimmäisiä korjauskeinoja.

Maineen menetys on ensimmäinen konkreettinen riski. On hyvä kuitenkin myös muistaa, että maksimisanktio voi kertaantua tai että rekisteröidyt voivat vaatia ja saada erilliskorvauksia tietojensa väärinkäytöstä.

Kun toimit asetuksen mukaisesti, otat vaatimukset haltuun ja pystyt sen osoittamaan, olet helposti ketterämpi kuin kilpailijasi samalla, kun parannat omaa riskiensietokykyäsi.

Easy GDPR -palvelu vastaa vaatimuksiin:

• Valmiit, muokattavat pohjat
• Kattava kokonaiskehys
• Asiantunteva tuki