Mitä ja milloin – tietosuoja-asetus pähkinänkuoressa
Euroopan parlamentti ja neuvosto teki tietosuoja-asetuksen huhtikuussa 2016 henkilötietojen käsittelystä sekä tietojen vapaasta liikkuvuudesta. Asetus tuli voimaan 24. toukokuuta 2016 ja sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen eli 25.5.2018 alkaen.
Taustalla on EU:n tahto turvata myös digitaalinen yksityisyyden suoja henkilötietojen osalta. Tätä pidetään perusoikeutena jo aiemmin määriteltyjen perusoikeuksien rinnalla. Ihmisellä itsellään tulee olla oikeus käyttää ja päättää häneen yksilöityvästä, hänestä kerättävästä ja hänen tuottamastaan digitaalisesta tiedosta. Asetus suojaa siis erityisesti meitä luonnollisia henkilöitä, mutta samalla se avaa uusia mahdollisuuksia niin viranomaisille kuin yrityksillekin. Koko henkilökohtaiseen dataan liittyvä pelikenttä muuttuu voimakkaasti ja uudet säännöt luovat tähän pelikenttään juuri oikeansuuntaisen vipuvarren.
Mitä nämä ns. uudet säännöt sitten ovat? Niitä on mahdoton kuvata lyhyesti, mutta viestin voi kiteyttää periaatteisiin, jotka ovat listattu alla. Lisää tietoa löytyy EUR-Lex sivulta:
- Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- Käyttötarkoitussidonnaisuus
- Tietojen minimointi
- Tietojen täsmällisyys
- Tietojen säilytyksen rajoittaminen
- Tietojen eheys ja luottamuksellisuus
- Rekisterinpitäjän osoitusvelvollisuus edellä mainittujen noudattamisesta.
Byrokraattinen ja työtä lisäävä, vai jotain muuta?
Asetus nostaa aivan uudelle tasolle yksilön oikeuden omaan dataansa ja lisää merkittävästi viranomaisten ja yrityksien vastuuta toimia asetuksen mukaisesti. Suomessa henkilötietolakimme on jo nyt velvoittanut vastuulliseen henkilötietojen käyttöön ja virastoilla on selkeät lainsäädännölliset oikeudet ja velvollisuudet henkilötietojen osalta. Nämä perusteet eivät muutu. Meillä ei siis olla asetuksen suhteen laisinkaan niin kaukana kuin joissain muissa Euroopan maissa. Mutta myös meillä on mahdollista toteuttaa asetuksen tuomat uudet vaatimukset byrokraattisesti ilman, että mietitään todellista vaikuttavuutta ja mahdollisia uusia innovatiivisia ratkaisuja. Silloin päädytään helposti tilanteeseen, jossa asetus koetaan todellakin byrokraattisena ja vain työtä lisäävänä uhkana yrityksien ja virastojen kilpailukykyä, kannattavuutta ja vaikuttavuutta ajatellen.
Yksi suurimmista kompastuskivistä asetuksen vaatimuksien toteuttamisessa on ajatella sitä pelkästään IT-järjestelmävaatimuksena. Asetuksen vaikuttava toteuttaminen edellyttää muutoksia myös johtamisen ja toiminnan tasoilla. Hyvä muutosjohtaminen tässäkin asiassa lähtee siitä, että johto ymmärtää riittävästi asetuksesta, sen mahdollisuuksista ja rajoitteista ja sitä kautta pystyy määrittämään organisaationsa tahtotilan. Tämä pitäisi tehdä jo ennen kuin sukelletaan nykytilan kartoittamiseen. Tällä tavalla saadaan tarkoituksenmukainen nykytilan kartoitus ja osataan suunnitella oikeat toimenpiteet.
EU:n tietosuoja-asetus on ennen kaikkea mahdollisuus – varsinkin meille suomalaisille
Koneluettavat rajapinnat, AI taituruutta, innovatiiviset start-upit, muutoshalukkaat virastot, läpinäkyvyys lainsäädännössä – meillä Suomessa on valtavasti elementtejä jo nyt siihen, että saamme kansallisesti vaikuttavia ja siten meidän kansalaisten elämänlaatua merkittävästi parantavan EU:n tietosuoja-asetuksen toteutuksia. Odotukset ovat korkealla!
