Keskuskauppakamarin lakimiehen Minna Aalto-Setälän mukaan syytä paniikkiin ei yrityksissä ole.
– Vaikka uuden asetuksen mukaiset sanktiot ovat huomattavia, on hyvä pitää fokus tosiasioissa, suunnitella oma ajankäyttö vielä olevan siirtymäajan osalta ja toteuttaa tietosuojan edellyttämät muutokset sortumatta uskomaan liiallisia pelottelupuheita, joita on kummunnut erityisesti hallinnollisen sakon osalta. Viime kädessä henkilötietojen käsittelyssä asiakkaan luottamus on ratkaiseva tekijä, hän neuvoo.
Yrityksiltä vaaditaan nyt loikkaa henkilötietojen perinteisestä rekisterinpidosta liiketoimintaan sisäänrakennettuun ja oletusarvoiseen tietosuojaan. Jatkossa henkilötietojen suoja on huomioitava yrityksen kaikessa liiketoiminnassa.
– Uudet säännökset pohjautuvat jo 20 vuotta voimassa olleeseen lainsäädäntöön. Uusissa säännöksissä määritellään muun muassa eri toimijoiden vastuuta henkilötietojen käsittelyn eri vaiheissa. Esimerkiksi kirjallinen sopiminen on pakollista rekisterinpitäjän ja henkilötietojen käsittelijän välillä, Aalto-Setälä kertoo.
Tällä hetkellä Suomessa odotetaan kansallista luonnosta yleisestä henkilötietolaista, joka täydentää EU:n tietosuoja-asetusta. Tulossa on muun muassa ehdotus, minkä ikäinen henkilö määritellään lapseksi, kun hänen tietojaan käsitellään esimerkiksi sosiaalisen median palveluissa. Mahdollinen ikäraja voi olla 13, 14, 15 tai 16 vuotta. Ehdotuksessa on myös säännökset koskien kotimaista valvontaviranomaista ja sen toimintaa.
Pääosa EU:n tietosuoja-asetuksen säännöksistä on suoraan sovellettavaa oikeutta. Suomi voi kuitenkin kansallisella lainsäädännöllä täsmentää asetusta liikkumavaran sallimissa rajoissa.
– Mielenkiintoista on, mitä tässä yhteydessä julkisen puolen sanktioista tullaan ehdottamaan ottaen huomioon, että yrityksiä koskevat hallinnolliset sakot on asetuksella määrätty huomattaviksi, Aalto-Setälä sanoo.
