-osioon:
Jari Ala-Varvi, tietosuojavastaava, Opsec Oy

Yrittäjä, tietosuoja vaikuttaa yrityksesi arvoon

Viime aikoina olemme vastailleet usein asiakkaiden kysymyksiin, jotka ovat koskeneet tietosuoja-asetuksen vaatimuksia. Usein toistuva kysymys on ollut: “Miksi tämä kaikki pitää tehdä?” Monien on vaikea ymmärtää kaikkia tietosuoja-asetuksen vaatimia toimenpiteitä.

Lainsäädännön noudattaminen ja henkilötietojen suojaaminen ovat tietysti tärkeimpiä syitä tehdä tietosuojatoimenpiteitä yrityksessä. Itselleni kuitenkin ilmestyi vähän aikaa sitten yksi syy lisää, kun huolestunut pk-yrittäjä soitti minulle. Yrittäjä kertoi, että yrityksen toiminnan potentiaalinen ostaja ja jatkaja haluaisi selvityksen yrityksen tietosuojan tilasta.

Ostaja on kiinnostunut yrityksen tietosuojasta

Yksinkertaistetusti yrityksen arvon ytimessä on yrityksen tuottavien toimintojen summa, josta vähennetään yrityksen välttämättömät menot. Jos yrityksen perustoiminnot eivät ole lain vaatimalla perustasolla, se tietää työtä. Ja, siksi myös lisää menoja.

Suurimmat summat eivät tietosuojasta puhuttaessa ole vaatimustenmukaisuuteen liittyvässä ennakkotyössä. Itse asiassa tietosuoja-asetus monella toimialalla on ollut aika pieni menoerä niissä reippaasti yli sadassa organisaatiossa, joita me olemme luotsanneet läpi uuden muuttuvan lainsäädännön. Mutta, jos yrityksessä ei ole tehty ennakkovalmistautumista tietosuojaan, työmäärä ja menot voivat olla myöhemmin moninkertaisia.

En pelottele kymmenien miljoonien laskulla, vaan sillä, mikä on arkipäivää monessa yrityksessä. Yrityksissä on saatettu nopean analyysin jälkeen todeta, että tietosuoja “ei koske meitä”. Myöhemmin asiakkaan, entisen työntekijän ja ehkä jopa kilpailijan taholta on saatettu tehdä viranomaiselle valituksia tai ilmiantoja organisaation toiminnasta. Tässä kohtaa tietosuojatyö on ollut väkisin edessä. Joskus valituksiin ja ilmiantoihin saattaa liittyä myös vahingonkorvausvaateita, selvitysten tekemistä viranomaisille, tutkintakuluja tai uhka toiminnan keskeytyksestä. Pelkästään jo työtuntien ja ostopalvelujen summa voi nousta hyvin isoksi tässä vaiheessa. Samalla, kun selvitetään, mikä on mennyt pieleen ja kuka siitä vastaa, joudutaan tekemään tietosuojan perustyötä.

Huolehdi yrityksen arvosta

Monella suomalaisella yrittäjällä on myös oma eläke kiinni yrityksessä. Yrittäjä on saattanut tehdä pitkän työuran yrittäjänä ja tehnyt sitä pienellä palkalla ja pienillä YEL-maksuilla, työmääriä säästelemättä. Yrittäjällä on saattanut olla tavoitteena luoda toimiva ja alalla tunnustettu yritys, jonka myymällä saisi joskus sen, mitä eläke- ja palkanmaksuissa on säästänyt. Ostajaehdokkaan ilmaantuessa aletaan sitten analysoimaan niitä perustoimintoja, joita laki edellyttää. Siinä kohtaa yrittäjä viimeistään törmää siihen, mitä on taakseen jättämässä.

Jos yrittäjällä on hyvä tuuri ja hän on hoitanut asiakas- ja työntekijäsuhteensa hyvin, ei ongelmia tule ehkä esiin. Mutta, luottaako ostaja samaan? Mikä on ostajan tavoite liiketoiminnalle? Mitä riskejä ostaja on valmis ottamaan? Ostajan on punnittava mm. maineriskejä ja edessä olevaa ylimääräistä työtä. Näin tekemättömällä työllä voi joskus olla yllättävän suuri vaikutus elämäntyön arvoon.

Kumppaneiden panostusta tietosuojaan arvostetaan

Yhä useammin meitä pyydetään kommentoimaan sopimuksissa esiintyviä vaatimuksia tietosuojan osalta. Osa yrityksistä vaatii jopa auditointeja kumppaniensa lainmukaisuuden tason todentamiseen. Erittäin monia yrityksiä on alkanut kiinnostamaan se, ettei heidän arvoketjustaan löytyisi tietosuojariskejä.

Jos tietosuojatyö on vielä aloittamatta, niin kannattaa miettiä asiaa myös edellä mainituista näkökulmista katsoen. Lain vaatimuksiin vastaaminen ei ole rakettitiedettä eikä vaadi suunnattomia summia – ainakaan silloin, kun mitään ei ole vielä tapahtunut.

Sinulla on valta vaikuttaa siihen, minkä arvoisena työsi nähdään.

Jari Ala-Varvi
tietosuojavastaava
IT-joukkueen pelaaja #679