Keskuskauppakamari kehottaa yrityksiä kiinnittämään huomiota tietosuojakäytäntöihin. Keskuskauppakamarin lakimies Erkko Meri pitää tärkeänä, että varsinkin pienet ja keskisuuret yritykset saisivat tarvittavaa viranomaisneuvontaa mahdollisimman helposti.
Euroopan unionin yleinen tietosuoja-asetus tuli voimaan puolitoista vuotta sitten. Oikeusministeriön syyskuussa keräämän palautteen perusteella tietosuojakysymykset ovat aiheuttaneet haasteita varsinkin pienissä ja keskisuurissa yrityksissä.
Keskuskauppakamarin mukaan tietosuoja-asetusta voi pitää varsin monimutkaisena sääntelykokonaisuutena, eikä pk-sektorin yrityksissä ole aina riittävästi osaamista ja resursseja sen asettamien vaatimusten täyttämiseen.
– EU-alueella annetut tietosuojasakot osoittavat, että monissa suurissakin yrityksissä on ollut ongelmia asetuksen velvoitteiden täyttämisessä. Myös Suomen tietosuojaviranomaisen antamien huomautusten perusteella voidaan todeta, kuinka tärkeää yritysten on kiinnittää huomioita niihin toimintatapoihin, jotka liittyvät henkilötietojen käsittelyyn, Meri kertoo tiedotteessa.
Suomessa apulaistietosuojavaltuutettu on hänen mukaansa määrännyt yritystä muuttamaan tietosuojakäytäntöjä muun muassa sillä perusteella, että rekisteröidyllä ei ole ollut mahdollisuutta vastustaa suoramarkkinointia jo silloin, kun hänen henkilötietojaan on kerätty. Lisäksi puutteita on ollut siinä, että yrityksen asiakkaita ei ole informoitu asiakaspuheluiden nauhoittamisesta.
Euroopan unionin alueella on annettu jo yli 100 sakkoa tietosuojaloukkauksista. Sakkoja on määrätty esimerkiksi siitä, että yritys ei ole toistuvista pyynnöistä huolimatta nimittänyt organisaatioon tietosuojavastaavaa sekä siitä, että yritys ei ole poistanut henkilötietoja asetuksen edellyttämällä tavalla.
Meri arvioi olevan vain ajan kysymys, milloin myös Suomessa määrätään ensimmäiset sakot tietosuoja-asetuksen perusteella.
– Moni yritys käsittelee suurta määrää henkilötietoja. Sellaiset kokonaisuudet, kuten riittävä tietoturvan taso, rekisteröityjen informointi ja oikeuksien toteuttaminen sekä henkilökunnan kouluttaminen, on syytä ottaa vakavasti jokaisessa yrityksessä, joka jollain tavalla käsittelee henkilötietoja, hän painottaa.
Meren mukaan on tärkeää, että kansallisella tietosuojaviranomaisella on riittävät resurssit toteuttaa yhteistyötä eri toimialojen edustajien kanssa sekä tarjota neuvontaa asetuksen tulkintaan liittyen.
Oikeusministeriön keräämän palautteen mukaan yritysten tavat ilmoittaa esimerkiksi tietosuojaloukkauksista ovat hyvin poikkeavia. Jotkut ilmoittavat kaikista poikkeamista, kun taas osa yrityksistä ei ilmoita loukkauksista lainkaan. Viranomaisten pitäisikin panostaa erityisesti ennakolliseen ohjeistukseen.
Meri arvioi, että tietosuojavaltuutetun toimiston pitkät käsittelyajat ovat aiheuttaneet jossain määrin ongelmia. Viranomaisen asiamäärät ovat kasvaneet asetuksen voimaantulon myötä ja rekisteröidyt ovat aikaisempaa tietoisempia omista oikeuksistaan.
– Varsinkin sellaisten pienempien toimijoiden, joilla ei ole laajaa tietosuojaosaamista, kannalta on olennaista, että viranomaisen neuvonta on helposti saavutettavissa. Valvontaviranomaiselle tietosuoja-asetuksessa määrättyjen tehtävien hoitaminen voi vaarantua, jos käytettävissä ei ole riittäviä resursseja, Meri huomauttaa.