Euroopan unionin tietosuojauudistus aiheuttaa yrityksissä vipinää. Toukokuun lopulta lähtien sovellettava EU:n tietosuoja-asetus tuo kaikkille henkilötietoja käsitteleville uusia velvoitteita. Yleinen käsitys on, että viranomaiset ja suuret yritykset ovat valmistautuneet asetukseen hyvin. Osa pienemmistä yrityksistä on vasta heräämässä asetuksen vaatimuksiin.

Vaatimukset henkilötietojen käsittelystä eivät vaihtele niinkään yrityksen koon mukaan vaan sen, kuinka arkaluontoisia tietoja ne käsittelevät. Esimerkiksi lääkärikeskukselle vaatimukset ovat tiukemmat kuin rakennustarvikeliikkeelle.

Yksi asetuksen uusista vaatimuksista on, että yrityksen täytyy kyetä kertomaan ihmisille etukäteen, minne käyttäjätiedoja kerätään ja mihin niitä käytetään. Tämän tietosuojan tuoteselostuksen pitää olla selkeä ja ymmärrettävä.

Joensuulaisessa rakennustarvikkeita myyvässä liikkeessä asiakkailta kerätään esimerkiksi laskutus- ja toimitustietoja.

PMV Tolvanen Oy:n toimitusjohtaja Riina Tolvanen kertoo jo hahmotelleensa yritykselle tietosuojaselostetta.

– Periaatteessa voi jo nyt esittää sellaisen tarvittaessa asiakkaalle, kun he aukaisevat tiliä tai haluavat muuten tietää. Mutta tulen työstämään sitä vielä aika paljon, Tolvanen toteaa.

Tolvanen aikoo laittaa selostuksen esille ainakin kassan viereen ja yrityksen nettisivuille. Hän arvoi tähän mennessä käyttäneensä yhden kokonaisen työpäivän asetuksen vaatimusten täyttämiseen. Tolvanen on myös osallistunut kahteen koulutukseen aiheesta ja etsinyt paljon tietoa asetuksesta netistä.

Sanktiopuhe lietsoo pelkoa

Uudistus on osin turhaan lietsonut pelkoa yrittäjissä. Pohjois-Karjalan Kauppakamarin toimitusjohtaja Matti Vuojärven mukaan asetuksen myötä tulevat sanktiomahdollisuudet ovat nousseet turhankin suureen rooliin.

Yrittäjät perehtyvät tietosuoja-asetukseen infotilaisuudessa Joensuussa. Petri Lassheikki / Yle

– Asetuksen mahdollistamien sanktioiden määrässä puhutaan jopa 20 miljoonasta eurosta. Se on ehkä vienyt huomiota väärään suuntaan. Se on synnyttänyt pelkoa. Samalla ei myöskään nähdä niitä mahdollisuuksia, mitä tässä asetuksessa on.

Sanktiomahdollisuus on olemassa, mutta sanktiot eivät ole ensimmäisenä käytössä, jos jokin virhe havaitaan.

– Kannattaa ehkä vähän rauhottua ja katsella ympärilleen ja käyttää sellaista rehellistä heinätekojärkeä ja tehdä maalaisjärjellä tätä asiaa, Vuojärvi rahoittelee.

Asiakas voi ruveta kyselemään tietojensa perään

Tietosuojavaltuutettu Reijo Aarnion mielestä yritysten pitää huomioida, että asiakkaille tulee jonkin verran uusia oikeuksia. Kun asiakkaat lähestyvät yrityksiä tai ylipäätään rekisterin pitäjiä, heitä pitäisi myös osata palvella.

– Yritysten kannalta asiakassuhteen hallinnointi muuttuu niin, että yritysten pitää kantaa huolta tietoturvastaan ja vakuuttaa asiakkaat siitä, että heidän kanssa kannattaa myös tietoturvamielessä asioida, Aarnio tiivistää.

Aarnio uskoo, että asetuksen myötä myös kuluttajien tietous oikeuksistaan paranee. Luultavasti asiakkaat kysyvät entistä enemmän, minkä takia heistä kerätään tietoa ja mihin kerättyä tietoa käytetään.

– Ennen vanhaan, kun meni kauppaliikkeeseen siellä myyjä kysyi henkilötunnusta. Jos kysyin, että mihin sinä sitä oikein tarvitset, niin vastaus oli, että en minä vaan tiedä, mutta tämä tietokoneen kursori ei liiku tästä, jos en laita tähän jotain. Tällä tavalla asiakasta ei enää voi kohdata, Aarnio kuvailee.