Toukokuun 25. päivästä lähtien GDPR on nyt todellisuutta. Acubiz muistelee kahden vuoden valmistautumista tähän päivään. Asianajotoimisto Hortenilla on ollut tärkeä rooli neuvonantajana Acubizin tietojenkäsittelysopimusten valmistelussa - prosessi, jonka Acubizin toimitusjohtaja ja perustaja Lars de Nully aloitti jo varhain.
Hortenin lakiasiaintoimiston osakas Mads Nygaard Madsen kertoo, että "Lars de Nullyn lähestymistapa tietosuoja-asetukseen on erittäin ihanteellinen - hän näkee sen pikemminkin mahdollisuutena kuin taakkana." Jo kaksi vuotta sitten he alkoivat hahmotella Acubizin tietojenkäsittelysopimusta, joka oli aikainen verrattuna muihin organisaatioihin.
Vaikuttaa moniin aloihin
"Me Hortenilla olemme pyrkineet aloittamaan jo varhaisessa vaiheessa ja luomaan vahvan henkilötietotiimin, joka voi neuvoa asiakkaitamme asetuksen suhteen. Tiimissä on muun muassa työntekijöitä, joilla on erilaista osaamista IT-lainsäädännön, työlainsäädännön ja markkinointilainsäädännön aloilta. Yleinen tietosuoja-asetus vaikuttaa niin moniin aloihin, joten tietämystä tarvitaan - etenkin asianajotoimistona", Mads Nygaard Madsen sanoo.
Nousuja ja laskuja matkan varrella
"Prosessia ei ole ajettu vapaaehtoisesti", Lars de Nully kertoo, "mutta kun sain tietää, että Acubizin valmistelu uutta asetusta varten oli väistämätöntä, päätin ryhtyä työhön ja ajattelin, että on varmasti kilpailuetua olla tämän prosessin eturintamassa". Johtamisen näkökulmasta katsottuna matkan varrella on ollut ylä- ja alamäkiä suhteessa kokemukseen kaikkien niiden resurssien arvosta, joita jouduimme sijoittamaan hankkeeseen. Mutta nyt, kun Acubiz on täysin valmis, ja se on ollut tammikuusta lähtien, ja sillä on tietojenkäsittelysopimukset lähes kaikkien asiakkaiden kanssa - se on erittäin riittävää", Lars de Nully sanoo.
Yksi vakiosopimus ei riitä
Valitettavasti vain yksi vakiomuotoinen tietojenkäsittelysopimus ei riitä - sopimuksen sisältö, neuvottelut ja mukautukset vaihtelevat asiakaskohtaisesti, Mads Nygaard Madsen sanoo:
"Acubizin puolesta olemme nyt valmistelleet kaksi vakiosopimusta - toisen yksityisille yrityksille ja toisen kunnille, joka perustuu kunnille laadittuun standardiin. Toisinaan meidän on yhdessä Acubizin kanssa neuvoteltava asiakkaiden ja heidän lakimiestensä kanssa, jos he pyytävät muita ehtoja, jotka ylittävät vakiosopimusten ehdot ja ehdot, jotka eivät ole välttämättömiä yleisen tietosuoja-asetuksen noudattamiseksi."
Maat tulkitsevat GDPR:ää eri tavoin
Kansainväliset asiakkaat eivät helpota asiaa, sillä on havaittu, että yksittäiset EU-maat tulkitsevat GDPR:ää eri tavoin", sanoo Vivi Sejrsen, Acubizin GDPR-vastaava:
"Neuvottelemme parhaillaan erään Ruotsissa pääkonttoriaan pitävän asiakkaamme kanssa, ja olemme kokeneet, että yleisen tietosuoja-asetuksen tulkinnat ovat erilaisia, sillä Tanskan ja Ruotsin tietosuojavirastojen tulkinnat eivät ole aivan samat. Se aiheuttaa joitakin erityisiä haasteita. Siksi on erittäin tärkeää, että noudatamme pohjoismaisten tietosuojavirastojen aloitteita yhteisen standardin laatimiseksi", Vivi Sejrsen selittää.
Lars de Nully: "Tietojenkäsittelysopimusten työstäminen on jatkuva hanke - aina tarvitaan mukautuksia ja resursseja, jotka työskentelevät näiden mukautusten parissa", hän toteaa lopuksi.
