Suomalaisyrityksistä puolet ei ole edes tietoisia, että EU:n tietosuoja-asetus on korvaamassa henkilötietolain.
Uusi tietosuoja-asetus vaikuttaa kaikkiin suomalaisiin yrityksiin ja organisaatioihin, joissa käsitellään henkilötietoja.
Tietoturvayhtiö Trusteq on selvittänyt suomalaisyritysten varautumista henkilötietolain muutokseen. Suomalainen henkilötietolaki korvataan EU:n tietosuoja-asetuksella lähitulevaisuudessa. Tarkka aikataulu riippuu asetuksen etenemisestä EU:ssa.
Suomalaisyrityksistä karkeasti noin puolet on selvillä tilanteesta, puolella on epävarmempi tilanne. Kaikki haastateltavat kertoivat tietosuojan kuuluvan heidän työnkuvaansa. Silti vain 43,3 prosenttia vastaajista tiesi, että EU:n tietosuoja-asetus on korvaamassa henkilötietolain.
- Käsiteltävien henkilötietojen määrä kasvaa koko ajan. Tähän liittyvää uhkaa ei selvästi koeta konkreettiseksi, vaan tietosuoja-asioihin keskitytään, jos aikaa muilta töiltä jää, sanoo Trusteqin hankejohtaja Tomi Mikkonen.
- Data on digitaalisen talouden öljy. On harmi, että suomalaiset yritykset eivät ymmärrä, kuinka paljon tämä tuleva uudistus parantaa liiketoimintamahdollisuuksia, kommentoi puolestaan tietosuojavaltuutettu Reijo Aarnio.
Uusi laki tuo muutamia merkittäviä uudistuksia.
Viranomaisille tulee oikeus määrätä tietosuoja-asioiden laiminlyöntien vuoksi hallinnollisia maksuja. Maksut voivat olla enimmillään miljoona euroa tai kaksi prosenttia yrityksen maailmanlaajuisesti liikevaihdosta. Tästä muutoksesta ei tiennyt 45,6 prosenttia vastaajista.
Uusi asetus tuo osaan yrityksistä ja organisaatioista pakollisen tietosuojavastaavan. Tätäkään ei tiennyt 53,3 prosenttia vastaajista. Tietosuojavastaavalta vaadittava asiantuntemus määräytyy yrityksen tai organisaation käsittelemien henkilötietojen vaatiman suojan perusteella. Asetus määrittää tietosuojavastaavalle toimenkuvan ja konkreettiset tehtävät.
Uuden asetuksen mukaan tietovuodoista täytyy ilmoittaa jatkossa viranomaisille. Aiemmin ilmoitusvelvollisuus on perustunut sähköisen viestinnän tietosuojalakiin ja koskenut valtaosin vain teleoperaattoreita. Jatkossa yritysten ja organisaatioiden pitää ilmoittaa valvontaviranomaiselle henkilötietoja koskevasta tietoturvaloukkauksesta 24 tunnin kuluessa tai perusteltava ilmoituksen viivästyminen.
- Lakiuudistuksen ilmoitusvelvollisuus on erittäin tervetullut uudistus. Suomessa tapahtui 2012 todella monta tietovuotoa, mutta näistä huolimatta tietovuodot eivät huoleta suomalaisia yrityksiä, Mikkonen sanoo.
Vastaajat arvioivat olevansa hieman paremmin perillä nykyisen lain vaatimuksista. Kuitenkin vastaajista reilu neljännes, ettei ole tietoinen lain vaatimuksista rekisterinpitäjälle.
toimitus@yrittajat.fi