Kaksitasoinen tietosuoja-alue
Yritystason tietosuojainfrastruktuuri on hallitsevassa asemassa työkaluilla, joiden hinta on suunnattu organisaatioille, joiden vaatimustenmukaisuusbudjetit mitataan miljoonissa. Informatica:n tietosuojatuotteet, IBM InfoSphere Optim ja BigID on suunniteltu Fortune 500 -hankintaprosesseille, joissa on toteutusprojekteja, ammattipalvelusopimuksia ja vuosittaisia lisenssimaksuja kuusinumeroisessa hintaluokassa. Nämä työkalut tarjoavat kattavaa PII:n löytämistä, luokittelua, anonymisointia ja vaatimustenmukaisuusraportointia — kykyjä, joita suuret yritykset todella tarvitsevat toimintansa mittakaavassa.
Kuilu: 99 % EU:n yrityksistä ovat pk-yrityksiä, ja ne työllistävät 65 % EU:n työvoimasta. Nämä organisaatiot ovat täysin GDPR:n alaisia — GDPR:llä ei ole pk-yritysten poikkeusta. 20 hengen oikeusteknologian startup, joka käsittelee asiakastietolomakkeita, on GDPR:n tietojen minimointivaatimusten (artikla 5(1)(c)), poistamisoikeuden (artikla 17) ja teknisten suojatoimien vaatimusten (artikla 32) alainen täsmälleen samalla tavalla kuin monikansallinen yritys. Säädöksen vaatimukset eivät skaalaudu organisaation koon mukaan.
Kaksitasoinen todellisuus: suuret yritykset voivat varaa omat vaatimustenmukaisuustyökalunsa ja toteuttaa teknisiä tietosuojatoimia suuressa mittakaavassa. Pk-yritykset ottavat oikoteitä — tallentavat PII:tä taulukkolaskentatauluihin, kirjaavat asiakastietoja suojaamattomiin tietokantoihin, jakavat asiakastietoja salaamattomissa sähköposteissa — koska vaatimustenmukaiset vaihtoehdot ovat hinnoiteltu heidän ulottumattomiinsa.
Startup-käyttötapaus
5 hengen oikeusteknologian startup käsittelee asiakastietolomakkeita. Nämä lomakkeet sisältävät asiakkaiden nimet, yhteystiedot, tapausten kuvaukset ja mahdollisesti arkaluontoista henkilökohtaista tietoa (perhesuhteet, taloudelliset tiedot, terveyteen liittyvät tiedot riippuen käytännön alasta). Startup tallentaa nämä lomakkeet CRM-järjestelmäänsä tapausten hallintaa varten.
GDPR vaatii: laillinen peruste käsittelylle (todennäköisesti sopimuksen täyttäminen olemassa oleville asiakkaille, suostumus alkuperäiselle vastaanotolle), tietojen minimointi (kerätä vain tarpeellinen), riskin mukaiset turvallisuustoimet (artikla 32) ja rekisteröityjen oikeuksien prosessit (pääsy, poistaminen, siirrettävyys). Startupin DPO-vastuut hoitaa tyypillisesti perustava kumppani, jolla ei ole omistettua vaatimustenmukaisuushenkilöstöä.
Edullinen PII-anonymisointi tälle startupille tarkoittaa: asiakkaiden tietojen anonymisoimista ennen kuin ne menevät jaettuihin järjestelmiin (CRM, johon useilla tiimin jäsenillä on pääsy), asiakkaiden tietojen anonymisoimista jaettaessa ulkopuolisten osapuolten kanssa (oikeusasiakirjat, vastapuolen asianajajat, asiantuntijalausunnot) ja asiakkaiden tietojen anonymisoimista AI-työnkuluissa (kirjeiden laatiminen käyttäen Claudea tai ChatGPT:tä).
Ilmainen taso käsittelee startupin 500 kuukausittaista vastaanottolomaketta. 3 EUR/kuukausi Starter-suunnitelma kattaa kasvun 1 000 asiakirjaan. 15 EUR/kuukausi Ammattisuunnitelma käsittelee 5 000 kuukausittaista asiakirjaa käytännön kasvaessa. Ammattitason kokonaisvuosikustannus: 180 EUR. Yritysvaihtoehto: vähintään 30 000 EUR/vuosi. Vaatimustenmukaisuuden tulos: vastaava startupin käyttötapaukselle.
Pk-yritysten vaatimustenmukaisuusongelma
Hintaepäsuhta yritystyökalujen ja pk-yritysten tarpeiden välillä luo systemaattisen markkinahäiriön: rekisteröidyt, joiden tietoja käsitellään pk-yrityksissä, saavat vähemmän suojaa kuin ne, joiden tietoja käsitellään yrityksissä — ei siksi, että pk-yritykset välittäisivät vähemmän vaatimustenmukaisuudesta, vaan koska työkalut on hinnoiteltu yrityksille. GDPR:n tasainen sääntelykehys, joka koskee kaikkia kokoja olevia organisaatioita, olettaa, että kohtuuhintaisia teknisiä vaatimustenmukaisuusvälineitä on olemassa kaikilla hintapisteillä. Markkinat eivät ole tarjonneet niitä.
Lähteet: