GDPR – General Data Protection Regulation – on EU:n laajuinen tietosuoja-asetus, jonka soveltaminen alkaa 25.5.2018. Asetus yhtenäistää henkilötietojen käsittelyä koskevat säännöt koko EU:n alueella.
GDPR tuo mukanaan useita henkilötietojen käsittelyä koskevia olennaisia muutoksia, jotka on huomioitava erityisesti ohjelmistoyritysten liiketoiminnassa, sopimuksissa ja tietojärjestelmissä. Asetus sisältää huomattavan määrän uusia velvollisuuksia henkilötietoja käsitteleville yrityksille. Monelle suomalaiselle ohjelmistoyritykselle ei ole itsestään selvää, että asetuksen nojalla käytännössä jokainen alan yritys on rekisterinpitäjä ja useimmat niistä myös henkilötietojen käsittelijöitä.
Ohjelmistoalan yritysten tulee tutkia huolellisesti, mitä asetus tarkoittaa niiden liiketoiminnalle esimerkiksi velvoitteiden, vastuiden ja rajoitteiden muodossa, ja mitä uusia asioita tulee ottaa huomioon esimerkiksi yrityksen markkinoimiin ohjelmistotuotteisiin ja -palveluihin liittyvissä toimitus-, palvelu- ja alihankintasopimuksissa.
Näitä asioita on käsitelty HPP:n ja Ohjelmistoyrittäjät ry:n viime vuonna yhdessä käynnistämässä GDPR Ready -koulutusohjelmassa. Uuden asetuksen haasteisiin vastaa myös HPP:n GDPR Ready -tietosuojatuote, jonka avulla yritys voi huomioida ja implementoida EU:n yleisen tietosuoja-asetuksen vaatimukset määräaikaan mennessä.
GDPR:stä puhuttaessa on kiinnitetty huomiota erityisesti sen synnyttämiin haasteisiin. Moni on myös säikähtänyt paljon julkisuutta saanutta tietoa, jonka mukaan asetuksen noudattamatta jättämisestä voi seurata ankara sakko, joka on enimmillään neljä prosenttia yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa, kumpi korkeampi.
Uhkien rinnalla ei ole kiinnitetty riittävästi huomiota siihen, että GDPR voi luoda asioita oikein ennakoiville ohjelmistoyrittäjille myös koko EU:n laajuisia liiketoimintamahdollisuuksia. Tämä voi tarkoittaa esimerkiksi erillisten, GDPR:n huomioivien sovellusten kehittämistä tai GDPR:n implementoimista omiin järjestelmiin ennen kilpailijoita.
Lisäksi asetus mahdollistaa tietojen käsittelyn tehostamisen, kun ensin selvitetään, mitä ja miten henkilötietoja käsitellään yrityksessä. Systemaattisella käsittelyn kartoituksella voidaan havaita uusia keinoja ”rikastaa” tietojen käsittelyä huomioiden kuitenkin asetuksen vaatimukset. GDPR ei siis lisää pelkkää byrokratiaa, vaan aidosti uusia liiketoimintamahdollisuuksia.
HPP:n GDPR-aamiaisseminaareissa käydään järjestelmällisesti läpi tietosuoja-asetuksen vaatimuksia ja keinoja varautua niihin. Samalla myös pyrimme tuomaan esille asetuksen tuomia liiketoimintamahdollisuuksia.