Hyvää syntymäpäivää rakas GDPR!
Olet nyt ollut elämässämme viisi vuotta ja aika on mennyt kuin siivillä. Olet tuonut eteemme yllättäviä tilanteita, uusia kysymyksiä ja samalla opettanut paljon.

Viisi vuotta sitten kevättä kuvattiin sanoin ”tietosuoja-ammattilaisilla on tulipalokiire”. Monet meistä pelkäsivät hirmusakkoja ja maailma koitettiin saada valmiiksi vuoden 2018 toukokuun loppuun mennessä. Selosteita kirjoitettiin Exceleihin hikihatussa, tietosuojapolitiikkaa viimeisteltiin loppumetreille asti ja dokumentteja haalittiin keskitettyihin SharePoint-kansioihin.

Syntymäpäiväsi koitti, maailma ei ollut valmis eikä se myöskään ollut ilmiliekeissä. Päinvastoin tietosuojatyö jatkui aktiivisesti vuoden 2018 loppuun asti. Sitten tietosuoja puolella hiljennyttiin hetkeksi. Sinä GDPR olit uuvuttanut sekä meidät ammattilaiset että organisaatiot. Moni meistä huokaisi helpotuksesta, sillä työ oli nyt tehty ja valmis.

Mutta kuinkas sitten kävikään? Olit melkein 2-vuotias, kun Suomessa määrättiin ensimmäiset sakot. Pikkuhiljaa tuli uusia päätöksiä, tiedonsiirtoihin liittyviä vaatimuksia ja vähitellen tietosuojalonkerosi kurottelivat vahvemmin hankkeiden suunnitteluvaiheista riskiarviointeihin ja mitigointitoimenpiteiden implementointiin. Tietosuojakentän laajuus alkoi kirkastua meistä monille.

Organisaatioissa havahduttiin todellisuuteen; sinä GDPR et ollutkaan kertaluonteinen projekti, vaan olit tullut jäädäksesi.
Olet opettanut meille tietosuoja-ammattilaisille pitkäjänteisyyttä. Tuot eteemme säännöllisesti uusia vaatimuksia, joita voimme kutsua ystäviksesi. Monet näistä ystävistä ovat sinun laillasi kirjainyhdistelmiä; PIA, DPIA ja viimeisimpänä joukkoon liittynyt TIA. Me tietosuoja-ammattilaiset tutustumme ystäviisi yleisesti avoimin mielin. Myönnän, että jotkut heistä ovat aiheuttanut minulle harmaita hiuksia, mutta näin leppoisana konsulttina olen onnistunut sopimaan ristiriidat nopeasti.

Uudet yhteiset ystävämme ja regulaatiokentän laajentuminen ovat herättäneet organisaatiot tietosuoja 2.0 ajatteluun. Dokumentit on jo kertaalleen laitettu kuntoon. Excelit ja wordit ovat olleet siellä SharePointissa visusti tallessa ja niitä on myös päivitetty. Mutta viimeiset vuodet, sakot, viranomaisten huomautukset ja uudet vaatimukset ovat kiirineet myös johdon korviin. Kypsemmät organisaatiot ovatkin nostaneet päätään ja katse on suunnattu kohti läpinäkyvämpää ja raportoitavampaa tietosuojaa. Tämä tarkoittaa monesti jonkinlaisen teknologiaratkaisun hankkimista, prosessien kehittämistä ja automatisointia soveltuvin osin. Sinä GDPR olet edistänyt ajatteluamme pakollisesta pahasta kohti eheämpää sisäänrakennettua ja oletusarvoista tietosuojaa. Kiitos siitä!

Minä lupaan sinulle, rakas 5-vuotias GDPR, jatkavani töitä paremman tietosuojan puolestapuhujana myös seuraavat viisi vuotta. Lupaan puolustaa yksityisyydensuojaa, mutta haluan jatkossakin tehdä sitä liiketoimintaystävällisesti.
Paljon onnea toivottaa,

GDPR-Gepardi eli Oona Matinpalo

Oona Matinpalo (oona.matinpalo@tietoturva.fi, Twitter: @oonamatinpalo toimii Tietoturva ry:n hallituksessa.
Tietoturva ry järjestää kaikille avoimen virtuaalisen tietoturvakatsauksen 25.5.2023 kello 9.00–17.00, jota voit seurata täältä. Mikäli haluat juhlistaa GDPR:n vuosipäivää ja verkostoitua muiden alan ammattilaisten kanssa, voit ilmoittautua iltatilaisuuteen täältä.