Päivi Konttila-Lokio: henkilötieto ymmärretään usein väärin

”Henkilötietojen poistaminen pyynnöstä ei ole aina mahdollista”, muistuttaa Accountor-konsernin tietosuoja-asioista vastaava Päivi Konttila-Lokio.

Päivi Konttila-Lokio: henkilötieto ymmärretään usein väärin


EU:n uusi tietosuojalainsäädäntö, jonka noudattaminen tulee pakolliseksi toukokuussa 2018, vaikuttaa monin tavoin yritysten palveluihin, järjestelmiin ja markkinointiin. GDPR:n (General Data Protection Regulation) laaja vahingonkorvausvelvollisuus sekä viranomaisten huomattavat toimivaltuudet patistavat yrityksiä muutokseen.

Accountorissa kiristyviin vaatimuksiin valmistaudutaan huolellisesti. Elokuun alusta konsernin tietosuoja-asioista on vastannut varatuomari Päivi Konttila-Lokio, joka on aiemmin toiminut vastaavassa tehtävässä Telia-konsernissa. Teliassa, Sonerassa ja edeltävissä yhtiöissä Konttila-Lokio ehti tehdä 20 vuoden uran.

”Accountorissa on jo tehty paljon oikeita asioita mutta tehtävää on myös jäljellä. Etenemme järjestelmällisen suunnitelman mukaan, järjestämme työpajoja ja muovaamme palvelujamme ja ohjelmistojamme tiukentuvien tietosuojavaatimusten mukaisiksi”, Data Protection Officer Päivi Konttila-Lokio sanoo.

Tietosuojavaatimusten täyttäminen kyettävä osoittamaan

GDPR:n tärkeimpiä vaatimuksia on tilintekovelvollisuus. Henkilötietoja käsiteltäessä on kyettävä osoittamaan, että toimitaan lain mukaan.

”Accountorissa vaatimus koskee omien työntekijöidemme tietoja sekä sellaista henkilötietojen käsittelyä, jota yhtiö tekee asiakkaidensa puolesta. On tiedettävä, missä, mihin tarkoitukseen ja kenen toimesta henkilötietoja käsitellään. Tarvitaan entistä kattavampaa dokumentointia sekä sisäisesti että palveluntarjoajan ja asiakkaan välillä”, Konttila-Lokio korostaa.

Luonnollinen henkilö voi jatkossa pyytää tietojensa poistamista tai siirtoa uudelle palveluntarjoajalle. Jos kyse on Accountorin asiakkaan järjestelmästä, pyyntö tulee rekisterinpitäjänä toimivan asiakkaan kautta. ”Meidän on huolehdittava siitä, että palvelumme ja järjestelmämme vastaavat asiakkaidemme velvoitteita”, Konttila-Lokio painottaa.

Rekisterinpitäjä arvioi pyyntöjen toteuttamista tapauskohtaisesti. ”Henkilötietojen poistaminen ei ole aina mahdollista. Yrityksellä voi olla lakisääteisiä velvoitteita säilyttää esimerkiksi työntekijän tietoja. Jos työntekijä haluaa tulla unohdetuksi, pyyntöä ei voida välttämättä toteuttaa tai se on mahdollista toteuttaa vain osittain”, Konttila-Lokio toteaa.

Henkilötieto laajempi käsite kuin usein ajatellaan

Tietosuojavaatimukset ulottuvat pidemmälle kuin yleisesti ajatellaan. Konttila-Lokio muistuttaa, että henkilötietojen käsite on todella laaja.

”Usein henkilötiedot mielletään vain nimeksi, yhteystiedoiksi ja henkilön perustiedoiksi. Ajatellaan että henkilötietojen poistaminen ei koske muita tietoja. Tosiasiassa kaikki sellainen tieto, joka on suoraan tai välillisesti yhdistettävissä luonnolliseen henkilöön, myös kolmannen osapuolen toimesta, on henkilötietoa.”

Tiukentuvat vaatimukset ovat osittain niin idealistisia, ettei niitä kaikkia voi laajimmassa muodossaan toteuttaa. ”Jos esimerkiksi kirjanpidon kohdennuksissa viitteenä on henkilö, kyse on henkilötiedosta. Samoin pöytäkirja, jossa on henkilön nimi, on henkilötietoa. Käytännössä ihmisten nimiä ei voida kaikista asiayhteyksistä poistaa”, Konttila-Lokio korostaa.

Ihmismassoja koskeva, täysin anonyymi big data ei ole henkilötietoa. Konttila-Lokion mukaan big datan kanssa on oltava tarkkana – täydellisen anonyymiuden saavuttaminen on juridisesti äärimmäisen haastavaa.

Myös sähköpostimarkkinointi tiukentumassa

Tietosuojaan törmätään usein digitaalisessa markkinoinnissa. Sähköpostimarkkinointi ei kuulu suoraan GDPR:n vaan sähköisen viestinnän tietosuojan piiriin.

”EU:n sähköistä viestintää koskeva laki on vasta valmisteilla. Todennäköisesti laissa tulee olemaan vaatimus, jonka mukaan sähköpostimarkkinointi edellyttää vastaanottajan lupaa. EU-komissio pyrkii saamaan sähköisen viestinnän regulaation valmiiksi ja voimaan samaan aikaan GDPR:n kanssa toukokuussa 2018. On kuitenkin mahdollista, että laki viivästyy”, Konttila-Lokio sanoo.

Yleisemmin markkinoinnin kohteena olemiseen ei vaadita jatkossakaan etukäteen suostumusta. GDPR:n mukaan markkinointi on kuitenkin oikeus kieltää oli sitten kyse kuluttajasta tai työntekijän työtehtävään liittyvästä markkinoinnista.

”Asiakassuhteeseen kuuluu olennaisesti asiakasviestintä ja markkinointi. Sähköpostien lähetystä on jatkossa tarkasteltava erityistapauksena. Uusasiakashankinnassa yritys voi itse päättää, kohdennetaanko markkinointia ainoastaan suostumuksen antaneille henkilöille.”

Tietosuojahankkeella Accountorin ylimmän johdon tuki

Accountor-konsernissa tietosuojakysymykset koskevat lukuisia palveluja ja järjestelmiä. GDPR-vaatimusten täyttämiseen panostetaan korkealla prioriteetilla.

Konttila-Lokion tehtävänä on neuvoa ja auttaa Accountorin yksikköjä tietosuojavaatimusten täyttämisessä ja varmistaa, että konserni noudattaa uusia säädöksiä kaikissa liiketoiminnoissaan.

”Tietosuojahanke on Accountorin ylimmän johdon erityishuomion kohteena. Raportoin työstä ja tuloksista johtoryhmän puheenjohtajalle”, Konttila-Lokio toteaa.

Accountor auttaa asiakkaitaan tietosuoja- ja tietoturva-asioissa

Accountor auttaa tietosuoja-asioissa myös asiakkaitaan, erityisesti GDPR-haasteiden edessä olevia pk-yrityksiä. Accountorin palvelu sisältää yrityksen tietosuojan nykytilaa koskevan kartoituksen sekä selvityksen uusien säädösten edellyttämistä toimenpiteistä.

Tietoturva-asioissa apua tarjoaa Accountor-konserniin kuuluva PCP Partner Oy. PCP Partner selvittää asiakkaidensa verkkojen, palvelualustojen ja sivustojen haavoittuvuuden sekä hoitaa niiden suojaamisen.

Accountorin palveluista voit kysyä lisää lakiasianpäällikkö Anna-Maija Marjakankaalta, puh. 040 351 0112,
anna-maija.marjakangas@accountor.fi.

PCP Partnerin palveluista kertoo lisää myyntijohtaja Jari Meri, puh. 050 529 3811 jari.meri@pcp.fi.

Jätä yhteydenottopyyntö
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Facebooktwitterlinkedinmail