Tietosuoja ja GDPR matkustuksen näkövinkkelistä

Ensi vuonna astuvat voimaan uudet, tietosuojaan liittyvät asetukset, jotka suojelevat henkilökohtaisia vapauksia ja tulevat muuttamaan matkailualaa.

Euroopan unionin uusi tietosuoja-asetus (General Data Protection Regulation, GDPR) astuu voimaan 25.5. 2018 ja se korvaa vuoden 1995 tietosuojadirektiivin ja vastaa nykymaailman haasteisiin. Uusi asetus pyrkii harmonisoimaan EU:n alueen tietosuojalainsäädännön sekä suojelemaan kaikkia EU-kansalaisia yksityisyydensuoja- sekä tietoturvarikoksilta.

GDPR:n vaatimukset ovat yksiselitteiset. Ne koskevat kaikkia organisaatioita, jotka käsittelevät EU:n alueella asuvien henkilöiden henkilökohtaisia tietoja, riippumatta siitä, missä nämä organisaatiot toimivat. Yritykset ovat lisäksi velvoitettuja varmistamaan, että ne vastaavat kaikesta siitä tiedosta, joka niiden hallussa on ja/tai, jota he käyttävät tai käsittelevät.

Samantha Simms

Organisaatiot olivat tietoturva- ja tietosuoja-asioissa aiemmin vastuussa omien maidensa viranomaisille. Seurauksena useista erilaisista ja eri maiden viranomaisten käyttämistä standardeista johtuen EU:n sisäinen vaihtelu näissä asioissa oli suurta. Uuden asetuksen voimaanastuminen tekee tietosuojalainsäädännöstä EU:n alueella yhtenäistä. Uuden tietosuoja-asetuksen rikkomisella on suuret seuraukset: 10 miljoonan euron sakko tai jopa 2 prosenttia yrityksen vuosittaisesta liikevaihdosta, tai jopa 20 miljoonan euron sakko ja 4 prosenttia liikevaihdosta, riippuen rikkomuksen laadusta. – Ensimmäistä kertaa historiassa on tietosuojalainsäädännön seuraamuksilla myös merkitystä, sanoo CWT:n tietosuojavastaava Samantha Simms.

– Ison-Britannian tietosuojaviranomaisten jakamat sakot olivat 850 000 punnan suuruisia. Uuden asetuksen myötä vastaava sakko olisi noin 69 miljoonaa puntaa, yli kuusikymmentäyhdeksänkertainen nousu. Mikäli yritys ei toimi sääntöjen puitteissa, se näkyy jatkossa selkeästi taloudellisessa tuloksessa, Simms jatkaa.

Uuden asetuksen keskeisenä ajatuksena on saada tietosuoja-asiat uusien tuotteiden ja palveluiden suunnitteluprosessiin mukaan sen sijaan, että tietosuojausta alettaisiin miettimään vasta jälkikäteen ikään kuin päälle liimattuna. Läpinäkyvyys on myös tärkeää ja suostumuksen täytyy olla selkeä. – Todellinen suostumus tarkoittaa sitä, että asiakkaalla on oikeus sanoa ”ei” ja saada silti sama palvelu, Simms kertoo. – Mikäli esimerkiksi kiellän yritystä käyttämästä tietojani markkinointiin, voin silti saada heiltä saman palvelun tai tuotteen. Matkustamisessa, mikäli kiellän tietojeni käytön, matkatoimisto joutuu tutkimaan muita laillisia keinoja käyttää henkilökohtaisia tietojani ilman minun suostumistani tai sitten en voi matkustaa.

Vaikeaselkoisen lakikielen ja määräyksiin sitoutumisen tai sitoutumattomuuden aika on ohitse. Suostumuksen tietojen käyttöön täytyy olla selkeä ja kiistaton. Sanavalintojen on oltava selkeitä ja tietojen omistajan täytyy vahvistaa, että hän hyväksyy tietojensa käytön määritellyllä tavalla, ja hänellä kuuluu olla oikeus peruuttaa suostumuksensa milloin tahansa. Lisäksi yritysten täytyy ymmärtää, mihin he käyttävät tietoja ja miten he hallitsevat ja suojaavat henkilökohtaisia tietoja, jotka heidän hallussaan ovat.

Tämän seurauksena yritysten täytyy tehdä selväksi ne lailliset perusteet, joihin tietojen käyttö perustuu sekä kerätä tietoja uuden asetuksen mukaisesti. Joissain tapauksissa yritysten täytyy pyytää suostumusta tietojen käyttöön uudestaan, mikäli alkuperäinen tietojenhankintaprosessi ei ole ollut uuden asetuksen tiukkojen vaatimusten mukainen.

– Yrityksen täytyy kertoa, mitä tietoja sillä on hallussaan, mihin näitä tietoja käytetään, miksi niitä käytetään, minkälaisia turvallisuustoimenpiteitä on käytössä tietojen suojaamiseksi, kenelle tietoja saatetaan siirtää ja kuinka kauan niitä säilytetään. Organisaatioilla täytyy olla selkeät säännöt, jotka ilmoittavat tietojen säilyttämisestä tai tuhoamisesta, jotta ne eivät voi käyttää yksityisiä tietoja ikuisesti ja muihin tarkoituksiin. Organisaatioiden täytyy tietää, minne tieto menee niiden omassa ekosysteemissä sekä sen ulkopuolella. Kyseessä on valtava tehtävä, Simms sanoo.

Lisäksi datavastaavien pitää ilmoittaa tietovuodoista valvovalle viranomaiselle 72 tunnin kuluessa. Ottaen huomioon, kuinka monimutkainen tietoihin ja tietojen siirtämiseen liittyvä maailma on, ei mahdollisten tapausten huomaaminen tai niiden tarkan kohteen paikantaminen ole helppoa. Siksi on erittäin tärkeää, että yrityksellä on selkeä käsitys ja ymmärrys sen sisäisestä tietoverkostosta. Tämän ymmärryksen avulla vastuuhenkilö voi mahdollisimman nopeasti saada selville tarkkaa informaatiota koskien sitä, mitä ja minkälaisia tietoja vuoto koskee sekä ryhtyä vastatoimiin ja toimia vahinkojen minimoimiseksi. Kaikkia EU:ssa asuvia koskevaan dataan liittyvien, EU:n ulkopuolelle tehtyjen luovutussopimusten kohdalla on sopimuksentekijällä velvollisuus varmistaa, että myös toinen sopimusosapuoli pitää yllä samaa vastuutasoa ja ymmärtää, että EU-asetukset koskevat tässä tapauksessa myös heitä. Ottaen huomioon erilaiset tietosuojaan ja -turvaan liittyvät kulttuurit ja tulkinnat tämä saattaa olla haastavaa.

Vuoteen 2018 valmistautuminen

CWT on valmistautunut uuteen asetukseen jo kaksi vuotta. – Olemme pian täysin valmiita, Simms kertoo. CWT on uudistanut koko yksityisyydensuojaan liittyvän ohjelmansa ja tehnyt suunnitelmia varmistaakseen, että sääntöjä noudatetaan. 

Ensimmäistä kertaa tietosuojasta vastaavan johtajan asema tulee osin pakolliseksi Euroopassa. Pääosin tämä koskee julkisen sektorin organisaatioita, jotka käsittelevät suuria määriä henkilökohtaista informaatiota systemaattisesti, suorittavat profilointeja tai tekevät automaattisia päätöksiä, kuten luottotietojen tarkistuksia. Samantha Simms on CWT:n yksityisyyteen erikoistunut ammattilainen, joka ohjaa tietosuojaohjelmaa yhdessä muiden sääntöjen ja lakien noudattamiseen sekä yksityisyyden- ja tietojen suojaamisen keskittyvien johtajien kanssa. – Olemme myös mukana luomassa koko matkailualaa koskevia toimintasääntöjä, kuten GDPR suosittelee, ja olemme aloittaneet alan sisäiset keskustelut aiheesta.

Simms täsmentää, että uudessa asetuksessa ei ole kyse pelkästään rastien laittamisesta ruutuun sääntöjenmukaisuuden osoittamiseksi. – Teemme läheistä yhteistyötä tuote- ja innovaatiotiimiemme kanssa, jotta varmistamme, että tietosuojaan liittyvät seikat otetaan aina huomioon jo suunnitteluvaiheessa.

Hän uskoo myös, että yhä useammat haluavat jatkossa tietää, mitä tietoja heistä milläkin organisaatiolla on hallussaan ja luottaa siihen, että hyvät prosessit mahdollistavat sen, että ihmiset voivat tarkistaa tietonsa helposti ja ytimekkäässä muodossa.

 

 

Avainsanat: ,