PWC Uutishuone

Henkilötietosuojaan liittyvät lait muuttuvat - Singaporen kokemuksia

Singaporessa tuli voimaan vuonna 2014 henkilötietosuojalaki, paikalliselta nimeltään Personal Data Protection Act eli PDPA. Hyväksyntä kyseisestä laista oli tehty kahta vuotta aikaisemmin vuonna 2012, mikä antoi yrityksille kaksi vuotta aikaa muokata toimintatapojaan vastaamaan lain asettamia vaatimuksia.

Pääsin itse näkemään paraatipaikalta kyseisen lain voimaantulon sekä sen vaikutuksen singaporelaisten organisaatioiden toimintaan. Olin vuosien 2013 ja 2014 aikana töissä PwC:llä Singaporessa Risk Assurance -osastolla, ja yhtenä osana työtehtäviäni oli auttaa asiakkaita muuttamaan toimintatapojaan vastaamaan lain tuomiin uusiin vaatimuksiin.

Laki tuli voimaan useassa osassa, joista ensimmäinen varsinaisesti organisaatioiden toimintaan vaikuttava osa sisälsi markkinointiviestinnän rajoittamiseen liittyvät vaatimukset. Tämä DNC:ksi (Do-Not-Call) kutsuttu osuus vaikutti organisaatioiden suorittamaan markkinointiin rajoittamalla markkinointipuheluita sekä teksti- ja multimediaviestien sekä faksien lähettämistä.

Singaporeen perustettiin jo ennen DNC-osuuden voimaantuloa Älä-soita -rekisteri (Do-Not-Call Registry), johon kuka tahansa pystyi rekisteröimään paikallisen numeronsa valtion ylläpitämillä verkkosivulla tai vaihtoehtoisesti tekstiviestillä. Numeron rekisteröinnillä kuka tahansa pystyi ilmoittamaan haluttomuutensa vastaanottaa markkinointiviestintää kyseiseen numeroon, pois lukien ne tahot joille oli erikseen annettu suostumus. Lain noudattamisen varmistamiseksi asetettiin sen rikkomisesta seuraamukseksi 10 000 SGD (noin 6500 €) maksimisakko jokaista rikkomusta kohden.

Vastatakseen DNC-vaatimuksiin yritysten tuli muuttaa suoramarkkinointiin liittyviä prosessejaan. Yritysten tuli muun muassa määritellä toimintatavat, joilla varmistuttiin, että suoramarkkinointia tehtiin ainoastaan henkilöille, jotka olivat joko antaneet siihen erillisen suostumuksen, tai joiden numeroa ei löytynyt Älä-soita -rekisteristä.

Suoramarkkinointia rajoittava DNC-osuus tuli voimaan vuoden 2014 tammikuussa ja useat singaporelaiset olivat jo innokkaina lisänneet numeronsa Älä soita -rekisteriin. Kuten numeroiden lisääminen rekisteriin, myös valitusten tekeminen mahdollisista rikkomuksista oli tehty erittäin helpoksi. Valitusten kirjaaminen onnistui muun muassa suoraan Singaporen valtion ylläpitämän verkkosivun kautta. Ensimmäiset valitukset rikkomuksista tulivat lähes välittömästi lain voimaantulon jälkeen ja helmikuun puoleen väliin mennessä valituksia oli tullut jo 1 500 kappaletta. Ensimmäinen oikeuden langettama tuomio säädöksen rikkomisesta tuli saman vuoden elokuussa.

Varsinaiset tietosuojaa koskevat säädökset tulivat lopulta voimaan 2.7.2014, jolloin jokaisen Singaporessa toimivan organisaation tuli olla valmis vastaamaan kaikkiin lain asettamiin vaatimuksiin. Verrattuna suoramarkkinointia rajoittavaan DNC-osuuteen, näihin vastaaminen tarkoitti jo huomattavasti suurempaa muutosta organisaatioille.

Kuten DNC-osuuden kanssa, myös tietosuojaa koskevien määräysten noudattamisen varmistamiseksi asetettiin tuntuvat sanktiot. Suurimmillaan organisaatiolle olisi mahdollista langettaa 1 000 000 SGD (noin 650 000 e) suuruinen sakko. Tietojeni mukaan Singaporessa ei ole vielä tähän mennessä langetettu yhtään tuomiota henkilötietosuojasäädöksen muista osa-alueista kuin DNC:stä.

Suurin osa teistä on varmasti ehtinyt jossain vaiheessa viime vuosien aikana kuulla EU:n suunnittelemasta yhtenäisestä tietosuoja-asetuksesta. Viimeisimpien arvioiden mukaan kyseinen asetus tulee voimaan vuoden 2016 alussa, mikä tarkoittaisi sitä, että sen varsinainen täytäntöönpano tapahtuisi kahden vuoden siirtymäajan jälkeen vuoden 2018 alussa.

EU:n suunnittelema asetus sisältää monia hyvin samankaltaisia vaatimuksia kuin Singaporen henkilötietosuojalaki. Suomalaisten organisaatioiden kannalta toimintatapojen muutos ei välttämättä ole yhtä suuri savotta kuin Singaporessa, mikäli organisaation toimintatavat ovat linjassa nykyisen lainsäädännön kanssa. Muutoksia on kuitenkin luvassa ja seuraamukset asetuksessa määriteltyjen velvollisuuksien noudattamatta jättämisestä ovat merkittäviä, viimeisimmän ehdotelman mukaan suurimmillaan 1 000 000 euroa tai 2 % yrityksen globaalista liikevaihdosta.

Saatat tässä vaiheessa miettiä, koskeeko kyseinen asetus yritystä tai organisaatiota, jossa työskentelet. Ensimmäisenä asiana tämän ratkaisemisessa suosittelen tarkastamaan, miten asetus määrittelee henkilötiedon. Asetuksen mukaan henkilötietoa on mikä tahansa suoraan tai epäsuoraan tunnistettavissa oleva tieto luonnollisesta henkilöstä. Tämän määritelmän mukaan henkilötietoa ovat muun muassa henkilöiden kuvat, kameravalvontatallenteet, työnhakijoiden CV:t, työntekijöiden palkkatiedot jne. Mikäli keräätte tai käsittelette henkilötietoja, koskevat kyseisen asetuksen tuomat uudet vaatimukset myös sinun organisaatiotasi.

Suosittelen vahvasti organisaatioita aloittamaan jo nyt valmistautumisen asetuksen tuomiin vaatimuksiin. Toimintatapojen sekä prosessien muuttaminen ja tietosuojapolitiikan muuttaminen tai määrittely sekä edellä mainittujen asioiden dokumentointi on mahdollista hoitaa hyvinkin nopeasti. Organisaation toimintatapojen muuttaminen ei välttämättä ole kuitenkaan yhtä suoraviivaista ja nopeaa.

Jos sinulla on henkilötietosuojaan liittyviä kysymyksiä, ota yhteyttä!