Tietosuojan todellinen tila

Kun alle vuosi sitten elimme vielä lopunajan paniikkia pian voimaan astuvan GDPR-uudistuksen alla, voimme kenties keväällä 2019 ottaa hieman rennommin. IAB Finlandin tietosuojatyöryhmän asiantuntijoilleen tekemä kysely paljastaa, mitä mörköjä suurentelimme turhaan ja mitä emme. Huomioitavaa on muun muassa, että yleiseen tietosuojaosaamisen tasoon liittyvissä näkemyksissä on talojen välillä isoakin eroa.

Oikeuksia käytetty ennakoitua vähemmän

Mari Lamberg, DPO / Aller Media: Yksi yllätys oli se, kuinka vähän ihmiset loppupelissä ovat käyttäneet oikeuksiaan. Esimerkiksi tarkastus- ja poistopyyntöjen määrä on maltillinen verrattuna siihen, mihin varauduimme. Sama suuntaus on ollut nähtävissä myös muissa pohjoismaissa, ja olisi mieluisaa tulkita tämä niin, että pohjoismaissa luottamus yrityksiin on vahvalla pohjalla. Vai onko syynä sittenkin se, ettei ihmisiä oikein jaksa kiinnostaa tietosuojaan liittyvät asiat? Jää nähtäväksi, miten ihmisten kiinnostusaste kehittyy ajan myötä.
Heli Ojala, CRM Manager / MTV: Kokonaisuudessaan GDPR-asia näytti kiinnostavan ns. isoa yleisöä lopulta yllättävän vähän. Varauduimme isompaan kyselytulvaan, kuin mitä todellisuudessa tuli. Toki muutama sinnikäs asiakas otti GDPR:n sydämen asiakseen ja jaksoi selvittää asioita juurta jaksain. Pohdimme kohtuullisen pitkään, kannattaako meidän rakentaa työkalu, jolla asiakas voi itse tarkistaa omat tietonsa vai ohjaisimmeko kaikki pyynnöt esim. asiakaspalvelumme kautta. Päädyimme tuohon ensimmäiseen vaihtoehtoon eli asiakas voi itse tarkistaa, mitä tietoja hänestä keräämme ja halutessaan asiakas voi tehdä myös tietojensa poistopyynnön itse järjestelmään. Näin jälkikäteen olemme kyllä olleet tyytyväisiä, että automatisoimme prosessin, emmekä jättäneet sitä manuaalisen prosessin varaan.

Roolien epäselvyydet pitkittäneet sopimusprosesseja

Elina Tenhunen, mediasuunnittelija / Otavamedia: GDPR:ään liittyy paljon erilaisia tulkintoja, mikä on osaltaan aiheuttanut niin hämmennystä kuin pohdintaa siitä, miten minkäkin asetuksen osan olisi tarkoitus toimia käytännön tasolla. Tulkintojen ja linjausten tekemisessä onkin saanut pitää pään kylmänä, ettei sotkeentuisi asetuksen kiemuroihin ja samalla erkaantuisi käytännön prosesseista ja tekemisestä. Henkilötietojen käsittely kun on ollut asianmukaista jo ennen GDPR:ääkin, joten kaikkea tekemistä ei uuden asetuksen vuoksi kannattanut laittaa uusiksi. Käytänteisiin ennen GDPR-aikaa on tullut lähinnä hienosäätöä ja tarkentamista, kuten prosessien entistä kattavampaa kuvausta ja dokumentointia.
Mari Lamberg, DPO / Aller Media: Haasteellista on ollut GDPR:n tulkinta ja kultaisen keskitien löytäminen asetusviidakossa. Mitä mikäkin asetuksen kohta tarkoittaa käytännön toiminnassa, jotta toimimme varmasti asetuksen mukaan. Kuitenkin tavoitteena on samalla pitää yritystoiminta virtaustehokkaana ja poistaa kaikki ylimääräinen byrokratia. Välillä on vain tehtävä oma linjaus ja perusteltava se mahdollisimman hyvin, sillä eri asiantuntijoilta kysyttäessä neuvot voivat olla hyvinkin poikkeavia toisistaan. Tulkintoja ja valintoja tehdessä auttaa se, kun pitää mielessä asetuksen perimmäisen tarkoituksen - rekisteröityjen yksityisyyden suojaamisen.

"Tulkintoja ja valintoja tehdessä auttaa se, kun pitää mielessä asetuksen perimmäisen tarkoituksen - rekisteröityjen yksityisyyden suojaamisen"

Tiina Kerttula, Senior Legal Counsel / Alma Media: Lähes kaikki digimainonnan toimijat, jenkkiyhtiöitä myöten, tuntuvat olevan yhtä mieltä siitä, että kohdennetussa mainonnassa käsitellään pääsääntöisesti pseudonyymejä henkilötietoja. Yllättävän paljon on edelleen vaihtelua sen suhteen, kokevatko yritykset itsensä tietojen käsittelijöiksi vai rekisterinpitäjiksi. Vaikka kyse olisi täysin identtisestä käsittelystä, toimijoilla voi olla aivan erilaiset näkemykset asiasta. Toinen erityisen vaikea aihe on ollut vastuunrajoitukset, sillä ei ole selvää kuvaa siitä, miten sanktiot tullaan käytännössä kohdistamaan.
Mari Rusi, asianajaja / Eversheds Asianajotoimisto: Yksi suurimpia GDPR:n aiheuttamia yllättäviä käytännön haasteita on ollut käsittelijän ja rekisterinpitäjien roolien määrittelyn vaikeus. Yritysten väliset suhteet muodostuvat monenlaisista sopimussuhteista, eikä kaikissa suhteissa ole helppoa määritellä, ovatko molemmat osapuolet rekisterinpitäjiä vai käsitteleekö jompikumpi henkilötietoja toisen osapuolen lukuun.
Mari Lamberg, DPO / Aller Media: Tämän lisäksi on ollut haasteellista linjata vastuita ja korvausvelvollisuuksia. Joidenkin sopimusneuvottelujen kanssa menee aikaa yllättävän paljon – jopa kuukausia. Tietojenkäsittelysopimusten myötä olemme tosin käyneet tarkemmin myös pääsopimuksia läpi ja tämä on ollut erittäin hyödyllistä kaikkien osapuolten kannalta.
Kristiina Mäkinen, Data Protection Manager / Dentsu Aegis Network: Toisaalta pitkittyminen on ollut ymmärrettävää, kun neuvottelu- ja tarkistuskierroksia on saatettu tarvita useampia ja useammalta eri taholta prosessin aikana. Samoin olemassa olevien virallisten GDPR-ohjeiden puutteellisuus käytännön tekemisen näkökulmasta edellyttää välillä edelleen omaa tulkintaa ja joissain tapauksissa jopa ennakkotapausten odottelua asioiden – ainakin hetkittäisen – viimeistelyn mahdollistamiseksi.

Tietosuojaan panostettu eri tavoin

Kristiina Mäkinen, Data Protection Manager / Dentsu Aegis Network: Kovinkaan suurena yllätyksenä ei tullut, että tietosuojatyöskentely tai sen kehittäminen ei loppunut 25.5.2018 deadlineen. Moni pyrki tekemään rankkaakin loppurutistusta tuolla aikataululla niin, että tilannetiedon kokoaminen oli yllättävän työlästä. Markkinoinnin maailmassa muutos on totutusti pysyvä olotila ja kun näitä muutoksia nykyään tulee vastaan joko omassa päivittäisessä operatiivisessa tekemisessä, asiakastarpeissa tai muiden kolmansien osapuolten kanssa tehtävässä yhteistyössä, niin jengi alkaa hyvin nopeasti tarkistelemaan GDPR:n vaatimuksia niihin liittyen. GDPR tuntuu nostaneen myös Risk & Compliance -työskentelyn uuteen boomiin monessa organisaatiossa täydentämään hyvin tietosuojatyötä.
Tiina Kerttula, Senior Legal Counsel / Alma Media: Aiempaa useammin yhteistyösuunnitelmat kariutuvat tiukentuneen tietosuojasääntelyn myötä juridiikkaan. On ikävää, jos juristi joutuu olemaan se taho, joka kieltää suunnitellun yhteistyön toteutumisen. Tämä liittyy osaltaan siihen, että päteviä tietosuojaosaajia ei ollut EU:ssa riittävästi tietosuoja-asetuksen voimaantulohetkellä. Vaikuttaisi siltä, että monet sellaiset yritykset, joissa ei ennestään ollut tietosuojaosaamista, osoittivat tietosuoja-asiat nuorempien tai kokemattomampien tekijöiden vastuulle sen sijaan, että kokeneet neuvottelijat olisivat opiskelleet alaa. Jos henkilöllä ei ole ennestään laajaa neuvottelukokemusta, voi olla vaikea etsiä kompromisseja asian saattamiseksi maaliin.

"Aiempaa useammin yhteistyösuunnitelmat kariutuvat tiukentuneen tietosuojasääntelyn myötä juridiikkaan. On ikävää, jos juristi joutuu olemaan se taho, joka kieltää suunnitellun yhteistyön toteutumisen"

Elina Tenhunen, mediasuunnittelija / Otavamedia: On ollut ilahduttavaa huomata, kuinka hyvin GDPR oli tiedossa myös EU:n ulkopuolisilla yhteistyökumppaneilla. Henkilötietojen käsittelyyn liittyvien asioiden hoito on ollut varsin sujuvaa, kun tietoisuus aiheesta on ollut niin kiitettävällä tasolla. Tietojenkäsittelysopimusten ja -liitteiden kanssa on toki ollut kommentointikierroksia ja yhtenäisten näkemysten hakemista.

Uudet haasteet, vanhat haastajat?

Jotta tekeville riittäisi töitä, niin uusia haasteita ja pohdittavaa näkyy jo horisontissa. Erityisesti tiedon varastointi, seurantaprosessit ja isojen toimijoiden dominoiva markkinarooli herättävät kysymyksiä.

Kristiina Mäkinen, Data Protection Manager / Dentsu Aegis Network: Nyt kun oma kotimainen tietosuojalainsäädäntömme on vihdoin saatu päivitettyä ja valvova viranomainen aloittanut työnsä, on mielenkiintoista nähdä tuoko se lisäpainetta vielä mahdollisesti kesken olevien GDPR-valmiuksien viimeistelyyn Suomessa.
Mari Rusi, asianajaja / Eversheds Asianajotoimisto: Haastavaksi on osoittautunut myös henkilötietojen säilytysaikojen määrittely. Lisäksi on yllättänyt monien IT-järjestelmien kankeus suhteessa GDPR:ään. Esimerkiksi tietojen poistaminen vaatii monissa järjestelmissä huomattavasti manuaalista työtä.
Tiina Kerttula, Senior Legal Counsel Alma Media: Pelkona ennen asetuksen voimaantuloa oli, että se vastoin alkuperäistä tarkoitustaan kääntyy tiettyjen isojen globaalien toimijoiden eduksi. Valitettavasti tämän suhteen ei ole tullut yllätyksiä, sillä näyttäisi siltä, että nämä toimijat ovat vahvalla markkina-asemallaan ajaneet tai ajamassa läpi haluamansa muutokset.

Tietosuojatyöryhmän kommentteja kerättiin tammikuun alussa ja ne perustuvat erityisesti viime vuoden havaintoihin. Tietosuojatyöryhmän puheenjohtaja, Iconicsin osakas Anna Paimela muistuttaa, että vuonna 2018 keskityttiin vielä tietosuoja-asetukseen valmistautumiseen, kun tätä vuotta leimaa asetuksen täytäntöönpano. Valituksia tietosuojavaltuutetuille on Euroopan laajuisesti tehty jo yli 95.000 kappaletta, joten ratkaisuja aletaan saamaan kiihtyvällä tahdilla. Niitä – ja esimerkiksi Googlen valitusta saamistaan 50 MEUR sakoista  – tietosuojatyöryhmä seuraa tiiviisti. Tietosuoja-asetukseen liittyvää ratkaisukäytäntöä tullaan käsittelemään myös kevään tietosuojaseminaarissa.