EU:n yleisen GDPR tietosuoja-asetuksen tuomat velvoitteet ovat puolessatoista vuodessa sisäistetty Suomessa kohtuullisesti. Tietoturva- ja tietosuojaratkaisuihin erikoistuneen D-Fence Oy:n teettämän kyselyn mukaan valtaosa suomalaisista pk-yrityksistä (80 %) kertoo kartoittaneensa käytössään ja hallussaan olevat henkilörekisterit ja yhteystietolistat.

Kuitenkin vain noin puolet (54 %) kyselyyn osallistuneista yrityksistä kertoo osaavansa huolehtia rekistereistään ja valtaosa (88 %) vastanneista myös tiedostaa, että heillä on tietosuojassaan joitain puutteita.

Yleisen tietosuojauudistuksen tarkoitus on muun muassa varmistaa, että ihmisten henkilötiedot pysyvät tallessa ja niitä käsitellään asiaankuuluvalla tavalla. GDPR-sääntely edellyttää, että henkilötietoja käsittelevä yritys pystyy osoittamaan noudattavansa tietosuoja-asetuksen sääntelyä.

D-Fencen teettämien haastattelujen mukaan henkilötietojen käsittelyä sääntelevä laki vaikuttaa useiden pienten ja keskisuurten suomalaisyritysten näkökulmasta edelleen monimutkaiselta ja puutteita esiintyy erityisesti tietovirtakuvauksissa, joita tulee laatia jokaisesta rekisteristä erikseen.

Yritykset ymmärtävät, että henkilötietojen käsittelyä koskeva dokumentointi ja sisäinen ohjeistus on tärkeätä varmistaa, mutta keinot sen toteuttamiseksi ovat edelleen epäselviä. Vain puolet haastatteluun osallistuneista yrityksistä kertoi järjestäneensä henkilöstölleen tietosuojakoulutuksen.

– Yritysten pitää pystyä käytännössä osoittamaan, että oikeasti noudattavat tietosuojalakeja – pelkkä ilmoitus kotisivulla ei riitä. Tämä tapahtuu laatimalla tietosuojasta selkeät sisäiset omavalvontasuunnitelmat ja raportoimalla tietotilinpäätökset säännöllisesti. Erityisesti pk-yrityksille tulee usein yllätyksenä erityisesti se, että erilaisia rekistereitä on niin useita sähköisestä asiakas- tai henkilöstörekisteristä verkkovierailijalistaan ja fyysiseen käyntikorttikokoelmaan, kertoo D-Fence Oy:n perustaja Juha Oravala.

– Lain noudattamisen lisäksi keskeistä on myös se, että yritykset aidosti ymmärtävät kuinka tärkeää on pitää omista, asiakkaiden ja yhteistyökumppaneiden tiedoista huolta. Henkilötietojen päätyminen vääriin käsiin voi tuhota sekä yksityishenkilöitä että yrityksiä.

D-Fencen teettämään Tietosuojan valmiustila -haastattelututkimukseen osallistui 200 suomalaista pk-yritystä. Tutkimuksen mukaan yli puolet (59 %) yrityksistä on tehnyt selosteen tietojenkäsittelytoimistaan ja neljä viidesosaa (81 %) on kartoittanut kaikki henkilörekisterinsä. Kolme neljäsosaa (75 %) kuitenkin kertoo, että rekistereihin ei ole tehty tietovirtakuvauksia.

– Henkilötiedot ovat maksuväline, joten niistä tulee pitää huolta samalla tavalla kuin rahasta. Identiteettivarkaudet ovat jatkuva riesa ja jopa roskikseen heitetty vanha lasku voi sisältää tietoja, joita joku voi halutessaan käyttää hyväksi. Tietovuotoja havaitaan jatkuvasti ja viranomaiset myös puuttuvat niihin hanakasti. EU:ssa on viime vuoden toukokuusta lähtien määrätty yli 400 miljoonan edestä GDPR-sakkoja ja lienee vain ajan kysymys, milloin Suomessa lätkäistään ensimmäiset suuret sakot tietosuojan laiminlyönnistä, jatkaa Oravala.

Vaikka henkilötietojen ja -rekisterien dokumentaatio on helppo hankkia ulkoistettuna, helposti ylläpidettävänä palveluna, ei se kuitenkaan poista tärkeintä, eli yrityksen oman osaamisen tarvetta ja huolellisuutta.

– Huolellisesti tehty ja säilytetty tietosuojadokumentaatio on helppo kääntää myös pk-yrityksen kilpailueduksi. Julkisissa ja yksityisissäkin kilpailutuksissa kysytään yhä useammin palveluntarjoajan tietosuojavalmiuksia. Luottamus on yritysten arvokkain omaisuus, muistuttaa Oravala.

Tietosuojan valmiustila -haastattelututkimus toteutettiin henkilökohtaisin puhelinhaastatteluin D-Fence Oy:n toimeksiannosta. Haastattelut toteutti Katrium OÜ ja siihen osallistui 200 suomalaisten pk-yritysten edustajaa.

Aamuset-kaupunkimedia (AKM)