GDPR-päivään on enää alle 12 kuukautta. Toukokuun 25. päivä 2018 tuo mukanaan uudet vankat rakenteet kaikille yrityksille, jotka käsittelevät henkilötietoja kaikista EU:n kansalaisista.
Tietosuoja-asetuksen rikkomisesta määrättävät sakot, jotka ovat 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta vuosiliikevaihdosta, ovat olleet laajalti esillä. Tätä on vahvistanut entisestään maailmanlaajuisen liikkeenjohdon konsulttiyrityksen Oliver Wymanin äskettäinen analyysi, jonka mukaan FTSE 100 -yritykset voivat joutua maksamaan jopa 5 miljardin punnan sakot vuodessa, jos ne eivät noudata uutta asetusta.
Tietosuoja-asetus on enemmän kuin pelkkä laatikoiden rastittaminen ja parhaan toivominen. Jokaisen yrityksen on ehdottomasti saatava tämä asia kuntoon, ja avainasemassa on vastuullisuus.
Tietosuojan vastuullisuuden tarve voidaan jäljittää vuoteen 1980, jolloin Taloudellisen yhteistyön ja kehityksen järjestö (OECD) antoi yksityisyyden suojaa koskevat suuntaviivat, joissa vastuullisuutta kuvailtiin seuraavasti: "osoitetaan, miten vastuuta käytetään, ja tehdään se todennettavaksi". Tämä määritelmä soveltuu myös siihen, millainen tietosuoja-asetus tulee olemaan käytännössä. GDPR pyrkii vahvistamaan rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuuta henkilötietojen käsittelystä.
Organisaatioiden on otettava käyttöön muun muassa dokumentoidut prosessit, tietosuojaa koskevat vaikutustenarvioinnit ja tietoturvamenetelmät. Niiden on myös nimitettävä tietosuojavastaava, jonka on oltava vastuussa kaikista laajamittaisista henkilötietojen käsittelyistä ja varmistettava, että käsittelytoimia koskevat tiedot pidetään ajan tasalla.
Vastuullisuus on GDPR:n käyttöönoton perusta
Euroopan tietosuojavaltuutettu toteaa vastuuvelvollisuutta koskevassa tiedotteessaan, että vastuuvelvollisuus henkilötietojen käsittelyssä edellyttää:
- Läpinäkyvät sisäiset tietosuojapolitiikat, jotka organisaation korkein johto on hyväksynyt ja kannattanut.
- Tiedottaminen ja kouluttaminen kaikille organisaation työntekijöille toimintalinjojen toteuttamisesta.
- Vastuu korkeimmalla tasolla politiikan täytäntöönpanon seurannasta, täytäntöönpanon laadun arvioinnista ja osoittamisesta ulkoisille sidosryhmille ja tietosuojaviranomaisille.
- Menettelyt, joilla puutteet ja tietoturvaloukkaukset korjataan.
Vaikka sana vastuuvelvollisuus esiintyy tietosuoja-asetuksessa harvoin, vastuuvelvollisuuden ydinkäsite on koko tietosuoja-asetuksen perustana.
- 5 artikla: Määrittää rekisterinpitäjän vastuuhenkilöksi, joka on vastuussa henkilötietojen käsittelyä koskevien GDPR:n periaatteiden noudattamisen varmistamisesta Sen lisäksi, että rekisterinpitäjän on varmistettava GDPR:n periaatteiden noudattaminen, sen on osoitettava se useilla menettelyillä, jotka tekevät tietosuojasääntelystä todennettavissa olevan käytännön.
- 24 artikla: todetaan, että rekisterinpitäjän olisi otettava käyttöön, tarkistettava ja päivitettävä organisaatioprosesseja osoittaakseen, että käsittelytoimet suoritetaan uusien sääntöjen mukaisesti.
- 39 artikla: Tietosuojavaltuutetun tehtävänä on "valvoa, että tätä asetusta, muita unionin tai jäsenvaltioiden tietosuojasäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaa koskevia toimintalinjoja noudatetaan, mukaan lukien vastuunjako, tietoisuuden lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus sekä niihin liittyvät tarkastukset".
Yritysten on osoitettava, että ne noudattavat tietosuoja-asetuksen vaatimuksia, mikä tarkoittaa, että ne noudattavat ja panevat täytäntöön tietosuoja-asetuksessa esitettyjä toimintatapoja ja menettelyjä. Yritysten tehtävänä on luoda puitteet, joiden pohjalta voidaan luoda yksityisyyden suojan kulttuuri.
Tämä tarkoittaa todellista muutosta organisaatiokulttuuriin. Vastuullisuus ei voi jäädä GDPR-valmistelujen jälkipolville, vaan sen on oltava GDPR-suunnitelmasi ytimessä nyt, toukokuussa 2018 ja ikuisesti sen jälkeen.
GDPR-sakot eivät tule vain silloin, kun tapahtuu valtava verkkohyökkäys tai -tapahtuma, vaan ne iskevät kovaa aina, kun tietosuojaa koskevan vaikutustenarvioinnin puuttuminen, tietosuojavastaavien puuttuminen organisaatiosta ja kyvyttömyys toteuttaa GDPR:n koko elinkaaren kattavaa elinkaarta. Yksikin puuttuva palapelin pala voi maksaa yrityksille valtavia summia rahaa.
GDPR edellyttää, että organisaatiot noudattavat uutta asetusta, mutta se tarjoaa myös mahdollisuuden tehostaa liiketoimintaa sitoutumalla henkilötietojen eettiseen käyttöön. Voit käyttää tätä vastuuvelvollisuutta esittääksesi organisaatiosi yksilön yksityisyyden suojan linnakkeena, mikä voi vaikuttaa olennaisesti siihen, valitseeko joku yrityksesi kilpailijan sijasta.
Nyt on aika toimia GDPR:n suhteen, mutta on tärkeää muistaa, että kaikissa suunnitelmissasi on oltava vastuullisuus keskeisenä osana, jotta voit noudattaa vaatimuksia toukokuussa 2018 ja varmistaa organisaatiosi tulevaisuuden varmatoimisuuden tuleviksi vuosiksi.