Mitä GDPR-nimellä kulkeva, koko Euroopan Unionin laajuinen tietosuoja-asetus tarkkaan ottaen pitää sisällään, ja mitkä sen käytännön vaikutukset ovat Timmi Softwaren asiakkaille? Tässä blogikirjoituksessa käymme läpi GDPR:n merkittävimmät periaatteet ja miten nämä tulevat näkymään ohjelmistoissamme.
Ensiksi kuitenkin lyhyt disclaimer: tämä ei ole lakimiehen kirjoittama teksti ja jokainen rekisterinpitäjä on itse vastuussa oman toimintansa lainmukaisuudesta.
GDPR pähkinänkuoressa: Tiedot yksilöstä ovat yksilön omaisuutta
Myös meillä Suomessa ollaan siirtymässä palvelutaloudesta pikkuhiljaa tietotaloudeksi, jossa fyysisten materiaalien tai työvoiman sijaan keskeiseksi resurssiksi on muodostumassa tieto. Perinteisesti tiedon omistajuus on kuitenkin ollut hyvin epämääräinen kysymys; nyt tähän aiheeseen on otettu väkevästi kantaa Euroopan Unionin toimesta.
Pohjimmiltaan uudessa tietosuoja-asetuksessa on kyse siitä, minkälaista tietoa käyttäjistä ja heidän toiminnastaan saa tallentaa ja mitä tällä tiedolla saa tehdä. Siinä missä aiemmin kuka tahansa on voinut kerätä ja tallentaa tietoa ihmisistä omien tarpeidensa mukaisesti, on jatkossa pakko miettiä ensin heidän oikeuksiaan ja suostumuksen saamista. Jos ennen datan hyödyntämistä on rajoittanut se, mitä on teknisesti ollut mahdollista kerätä, on nyt rajoittava tekijä se mitä tietoja ihmiset haluavat heistä kerättävän. Lähtökohtaisesti ainoastaan viranomaisilla on oikeus säilyttää tietoja ihmisistä; kaikkien muiden organisaatioiden täytyy saada ihmisiltä lupa ennen tietojen keräämistä.
Kiteytettynä kuuteen kohtaan ihmisillä on GDPR:n mukaan oikeus
- saada läpiväkyvästi tietoa henkilötietojen käsittelystä
- saada pääsy omiin tietoihin
- tietojen oikaisemiseen
- "tulla unohdetuksi", eli tietojen poistamiseen
- siirtää tiedot järjestelmästä toiseen
- rajoittaa tietojen käsittelyä
Tietojen käyttötarkoitus on samoin kerrottava ihmisille selkeästi ja yksiselitteisesti: IT-alalla standardiksi muodostuneet, koomisen pitkät ja monimutkaiset käyttöehdot eivät enää ole lainmukaisia, koska uutena tärkeänä vaatimuksena on ymmärrettävyys. Verkkopalveluissa ei voida esimerkiksi enää kerätä käyttäjistä tietoa myytäväksi edelleen digimarkkinoijille "käyttökokemuksen parantamisen" varjolla, vaan tälläiseen toimintaan vaaditaan erikseen käyttäjän suostumus. Heti jos suostumusta ei anneta, tai se vedetään pois, on tietojen käsittely ja tallentaminen lopetettava. Kuka tahansa voi myös pyytää palveluntarjoajalta selvitystä siitä, millaisia tietoja hänestä on heidän tietojärjestelmiin tallennettu, sekä halutessaan vaatia näiden tietojen toimittamista kilpailevalle palveluntarjoajalle ja/tai niiden poistamista.
Jos vaikkapa amerikkalainen yhtiö tallentaa verkkosivuillaan vierailevan EU-kansalaisen IP-osoitteen, on heidän tällöin noudatettava GDPR:ää.
GDPR on ankaruutensa lisäksi myös maantieteelliseltä vaikutukseltaan laaja: se ei nimittäin koske ainoastaan EU-maissa toimivia yrityksiä ja julkisia organisaatioita, vaan kaikkien EU-kansalaisten tietoja, riippumatta siitä minne tiedot ovat fyysisesti tallennettu tai onko niiden käsittelijällä mitään toimintaa yhdessäkään EU-maassa. Jos vaikkapa amerikkalainen yhtiö tallentaa verkkosivuillaan vierailevan EU-kansalaisen IP-osoitteen, on heidän tällöin noudatettava GDPR:ää.
Rangaistukset tietosuoja-asetuksen rikkomisesta ovat säädetty niin korkeiksi, että riskejä ei kannata ottaa: maksimisakko on 20 miljoonaa euroa tai 4% organisaation vuotuisesta liikevaihdosta, riippuen siitä kumpi summa on suurempi. GDPR:n vaikutukset ovat siten sekä globaaleja että merkittäviä.
Miltä GDPR näyttää Timmin ohjelmistojen tapauksessa
Kuinka nämä ylätason periaatteet sitten heijastuvat käytännön tasolle Timmi Softwaren ohjelmistoissa? Tärkeimpänä henkilöön liittyvän tiedon käsittelyn ja tallentamiseen täytyy pyytää häneltä lupa. Timmillä tämä toteutetaan mahdollisuuksien mukaan automaattisesti uuden, GDPR-yhteensopivan päivityksen myötä.
- Jokaiselta rekisteröityneeltä asiakkaalta vaaditaan käyttölupa sisäänkirjautumisen yhteydessä
- Niille rekisteröityneille asiakkailta, joille löytyy yhteystiedoista sähköpostiosoite, voidaan lähettää sähköpostiviesti jossa pyydetään käyttölupaa
- Mikäli yhteystietoja ei ole eikä rekisteröitynyt asiakas tee sisäänkirjautumista lainsäädännön voimaanastumiseen mennessä, voidaan kaikki häntä koskevat tiedot poistaa järjestelmästä
GDPR-päivityksen myötä kaikkiin Timmi-ohjelmistoihin tulee käyttöön uusi toiminnallisuus, jonka avulla jokaisen luonnollisen henkilön kaikki yhdellä hallintoalueella olevat ilmentyvät voidaan käsitellä yhdellä kertaa, mikä minimoi manuaalisen työn tarpeen. Tällöin siis riittää, että käyttäjä antaa kerran luvan käsitellä tietojaan; hänen ei tarvitse erikseen antaa lupaa kirjautuessaan eri ohjelmistoihin,
tai sellaisessa tapauksessa jossa hänen tietojaan on tallennettu useampaan eri asiayhteyteen, esim. usean eri organisaatioasiakkaan yhteyshenkilöksi.
Tuotekehityspäällikkömme Tero kertoo tästä ja muista GDPR-päivityksemme ominaisuuksista lisää omassa blogikirjoituksessaan.
Seuraavassa blogikirjoituksessa kuitenkin myyntijohtajamme Jani selvittää mitä vaikutuksia Timmi Softwaren asiakkuuksiin GDPR:llä on: kuinka me Timmillä huolehdimme asiakkaidemme GDPR-velvoitteista, mikä on tietojenkäsittelysopimus ja miksi sellainen täytyy allekirjoittaa. Lisäksi Jani valottaa Timmin ohjelmistojen GDPR-päivityksen toimitusaikataulua ja selventää sen hinnoittelua sekä räätälöintimahdollisuuksia.
Toivomme, että nämä blogit vastaavat ainakin osaan tämän uuden tietosuoja-asetuksen herättämästä tiedonjanosta. Otamme mielellämme vastaan palautetta ja lisäkysymyksiä tähän aiheeseen liittyen - tärkeimpiin pyrimme vastaamaan joko blogissamme, tai GDPR-webinaarissamme.
Ystävällisin terveisin,Jukka Valkonen