Suomen tietosuojavaltuutetun toimisto tutki viime kesänä henkilötietojen käsittelyä ja suojaamista kotimaisissa verkkopalveluissa. Tarkastus kohdistettiin 74 yritykseen ja yhteisöön, joihin oli kohdistunut tietoturvaloukkaus tai sen uhka loppuvuoden 2011 aikana.

- Selvisi, että tietosuoja on monessa yrityksessä aika heikolla kannalla, sillä 30 prosentissa tapauksista edes tietoturvaloukkaus tai –uhka ei ollut johtanut lainkaan toimenpiteisiin. Vain 46 prosenttia vastaajista kertoi edes tuntevansa henkilötietolain vaatimukset näiltä osin, Minna Peltonen lakipalveluyritys Fondiasta kertoo.

Tietosuoja-asiat pitää ottaa vakavasti. Pieniin organisaatioihin kohdistuvat tietoturvaloukkaukset saattavat usein johtaa jopa koko verkkopalvelun lopettamiseen. Isommilla organisaatioilla yleensä on paremmat resurssit havaita ja torjua tietoturvaloukkauksia.

- Voi olla, että nämä ovat vähän vaikeaselkoisia asioita. Tietosuojasta säädetään myös useammassa eri paikassa. On omia säännöksiä niin työelämässä kuin markkinoinnissakin. Pk-yrityksenkin täytyy silti varmistaa, että toimii lain mukaisesti. Ei voi vedota siihen, ettei tiennyt, Minna Peltonen muistuttaa.

Tietosuoja-asiat olisi nyt muutenkin hyvä käydä läpi, sillä EU tulee kiristämään lainsäädäntöä, kun uusi tietosuoja-asetus saadaan valmiiksi.

- Asetusluonnoksen käsittely on tosin edennyt hitaasti, mutta kuten tietosuojavaltuutetun tarkastus paljasti, aika isolla osalla yrityksistä on parannettavaa nykyisenkin lainsäädännönkin noudattamisessa. Tietosuoja-asioihin perehtyminen ja yrityksen nykyisten käytäntöjen lainmukaisuuden arviointi ovat paikallaan. Siltä pohjalta on hyvä identifioida nyt tarvittavat parannustoimet ja varautua tulevaan, kehottaa Peltonen.

Hyvä tietosuoja edistää liiketoimintaa

Yritysnäkökulmasta EU:n tietosuojauudistus tuo myös hyvää, sanoo Peltonen.

- On positiivista, että jatkossa EU:n alueella on yhdenmukainen sääntely, mikä ei ole tilanne nyt. Samoin yhden luukun periaate helpottaa yritysten toimintaa: yritys voi asioida aina oman maansa tietosuojaviranomaisten kanssa. Myös turhista ilmoituksista ja byrokratiasta halutaan luopua.

Asetus tulee parantamaan rekisteröityjen asemaa monin tavoin.

- Läpinäkyvyyttä parannetaan. Rekisteröityjen pitää saada tietää, mitä tietoja hänestä käytetään, ja selvempiä säädöksiä tulee myös profilointiin. Tiedot pitää olla myös siirrettävissä toiselle palveluntarjoajalle. Lisäksi on tärkeää, että vain tarpeellinen tieto kerätään – ja että rekisteröidyllä on oikeus tulla myös kokonaan unohdetuksi, Minna Peltonen kertoo.

Yritykset velvoitetaan ottamaan tietosuoja-asiat vielä enemmän huomioon jo palvelun tuotekehitysvaiheessa.

- Se tulee yrityksille tietysti halvemmaksikin, kun asiaa on ajateltu etukäteen, Peltonen huomauttaa.

- Hyvät tietosuojakäytännöthän ovat myös hyvää asiakaspalvelua, eli lainsäädännön asettamia vaatimuksia ei pidä ajatella pahana asiana. Hyvä tietosuoja edistää asiakkaan luottamusta yritykseen ja sitä kautta liiketoimintaa. Se voi muodostaa yritykselle merkittävänkin edun.

Monet yritykset ovat jo heränneet asiassa. Minna Peltosen mukaan Fondian viime lokakuun tietosuojakoulutuksessa oli todella paljon osallistujia.

Voi olla, että tietosuoja-asiat ovat vähän vaikeaselkoisia. Pk-yrittäjänkin täytyy silti varmistaa, että toimii lain mukaisesti. Ei voi vedota siihen, ettei tiennyt, Minna Peltonen muistuttaa.

anneli.perkio@y-lehti.fi