Tietosuojalainsäädäntö koskee kaikkia yrityksiä koosta riippumatta. Lähes kaikki mikro- ja pk-yritykset käsittelevät henkilötietoja jossain muodossa, olivat ne sitten työntekijöiden, yhteistyökumppaneiden tai yksityisasiakkaiden henkilötietoja. Sääntelyn avainsanana on riskilähtöisyys. Mitä arkaluonteisempia henkilötiedot ovat, tai mitä monimutkaisempaa ja laajempaa käsittely on, sitä suuremmalla todennäköisyydellä jokin voi mennä pieleen. Tietosuojavaltuutetun toimiston ja TIEKEn kartoituksessa 47 prosenttia mikro- ja pk-yrityksistä arvioi ottaneensa tietosuojaasetuksen vaatimukset huomioon hyvin.
Mitä suurempi yritys, sitä paremmin vaatimuksista oltiin tietoisia: suurissa yrityksissä oli tehty eniten töitä vaatimusten täyttämiseksi. Vastaavasti pienemmissä yrityksissä tietoisuus oli vaatimattomampaa, ja niiden täyttämiseksi oli tehty vähemmän töitä. Yli 80 prosenttia suurten yritysten edustajista koki tietosuoja-asetuksen edelleen asettavan haasteita. Pienten yritysten vastaava osuus oli yli 60 prosenttia.
Tietosuojasta kilpailuetu
Tiedon hyödyntäminen on olennainen osa tulevaisuuden liiketoimintaa. Henkilötietoa kerätään asiakkaan tuntemiseksi ja toiminnan kehittämiseksi. Samaan aikaan myös tietosuojan merkitys kasvaa – jokaisella ihmisellä on oikeus tietosuojaan. Tietoturvaloukkauksista ja henkilötietojen väärinkäytöksistä voi aiheutua merkittäviä vahinkoja asiakkaille ja yrityksille.
Vaikka tietosuoja on riskien välttämistä, se tulisi nähdä osana myönteistä asiakaskokemusta. Asiakkaiden ja yhteistyökumppaneiden luottamus on menestyksen edellytys – luottamuksen voi yleensä menettää vain kerran. Tietosuoja-asetuksen tarkoitus on taata perusedellytykset sille, että rekisteröityneet voivat luottavaisin mielin antaa henkilötietonsa yrityksen käyttöön. Tietosuoja-asetuksen mukaan yrittäjän on tiedettävä, minkälaista dataa yrityksen liiketoimintaprosesseissa on mahdollista laillisesti käsitellä. Kun perusta ovat kunnossa, asiakassuhteita ja muuta toimintaa voidaan kehittää hyvällä omallatunnolla. Tietosuoja tulisikin nähdä modernin liiketoiminnan mahdollistajana.
Vaikka tietosuoja on riskien välttämistä, se tulisi nähdä osana myönteistä asiakaskokemusta. Asiakkaiden ja yhteistyökumppaneiden luottamuksen voi menettää vain kerran.
Ylitarkastajat Meeri Blomberg ja Antti-Pekka Manninen, Tietosuojavaltuutetun toimisto
Innovaatioita ja kasvua
Tietosuojatietämättömyys voi johtaa joko tarpeettomiin riskeihin tai tekemättä jättämiseen. Kun yritys on varma tekemisestään, se voi innovoida ja uudistua luottavaisin mielin. Tietosuojavaatimukset kotimaassa täyttävän yrityksen laajentuminen muihin EU-maihin ja digitaalisille sisämarkkinoille on myös tukevalla pohjalla.
Hyvä tietosuoja on tärkeää myös yritysten välisessä liiketoiminnassa: alihankintaketjun jokaisen linkin on noudatettava tilaajayrityksen tietosuojaehtoja. Muille yrityksille tuotteita tai palveluja tarjoava yritys toimii viisaasti ottamalla asiakasyritystensä tietosuojaehdot huomioon oma-aloitteisesti.
Mallikkaasti hoidettu tietosuoja on valtti, josta kannattaa kertoa julkisesti, eikä asiakaspalvelun roolia voi liikaa korostaa. Moni tietosuojakysymys päätyy valvontaviranomaisen selvitettäväksi vain siksi, ettei yritys ole vaivautunut vastaamaan asiakkaan tiedusteluihin.
Kehitämme pienyrittäjän tietosuojatyökalua
Pk-yritysten tietosuojaosaamista vahvistavassa GDPR2DSM-hankkeessa toteutetaan selkeä työkalu tietosuojan kartoitusta varten. Työkalu on suunnattu kaikille yrittäjille, jotka kokevat tietosuojan toteuttamisen haasteelliseksi. Työkalun kehittämiseen tarvitaan yrittäjiä antamaan palautetta työkalusta sekä haastaviksi kokemistaan tietosuoja-aiheista.
Kiinnostuitko? Ota yhteyttä!
Timo Simell, digivirittäjä
timo.simell@tieke.fi
Taso nousee osaamalla
Tietosuojansa tasoa pk-yritykset parantavat etsimällä aktiivisesti tietoa, tekemällä yhteistyötä ja pyytämällä apua. Tietosuojaosaamista voi hankkia koulutuksista ja kursseilta. Kaikkea ei kuitenkaan tarvitse osata itse. Mikäli yritys käsittelee arkaluonteisia tietoja tai henkilötietojen käsittely on laajaa, myös riskit kasvavat. Tällöin voi olla hyvä ottaa yhteyttä tietosuojaasiantuntijaan tilanteen kartoittamiseksi.
Tietosuojavaltuutetun ja TIEKEn kyselyn perusteella suurista yrityksistä lähes 70 prosenttia oli turvautunut ulkopuoliseen apuun. Pienistä vain 30 prosenttia oli hankkinut yrityksen ulkopuolista apua tietosuoja-asetuksen soveltamiseen. Syy voi olla esimerkiksi juristien tai konsulttien avun korkea hinta, jota pienet yritykset eivät ole valmiita maksamaan.
Suunnista tiedon lähteille
Tietoa on kuitenkin saatavilla myös ilmaiseksi. Tietosuojavaltuutetun nettisivuilta löytyy paljon tietoa ja ohjeita. Myös toimiston puhelinneuvonta auttaa eteenpäin yleisen tason kysymyksissä. Tietosuojavaltuutetun ja TIEKEn kyselyn mukaan moni pk-yritys on saanut apua oman alansa edunvalvontaorganisaatiolta.
Eri alojen liitot ja järjestöt ovat tuottaneet hyödyllistä materiaalia ja koulutuksia. Myös bisnespalvelujen tarjoajat – esimerkiksi verkkokauppaoperaattorit, kirjanpitäjät, mainostoimistot – kantavat vastuuta asiakasyritystensä tietosuojasta. Pk-yritysten kannattaakin pyrkiä hyödyntämään myös yhteistyökumppaneidensa tietosuojaosaamista.
Kirjoitus on julkaistu ensimmäisen kerran kevään 2021 Tiedosta-lehdessä.
Webinaari: tietosuojakelpoisuuden hyödyntäminen yrityksen arjessa
GDPR2DSM-hanke järjestää 24.8.2021 klo 9–10 webinaarin tietosuojakelpoisuudesta erityisesti ulkoistus- ja alihankintasuhteissa.
Kaksivuotinen GDPR2DSM-hanke on tietosuojavaltuutetun toimiston ja TIEKEn yhteishanke, joka antaa mikro- ja pk-yrityksille tietoa ja työkaluja tietosuojasta huolehtimiseen.
Kirjoitus edustaa kirjoittajien näkemystä aiheesta. Tietosuojavaltuutetun toimisto tai GDPR2DSM-hankkeen rahoittaja Euroopan komissio ei ole vastuussa tämän julkaisun sisältämästä informaatiosta tai sen käytöstä.