Harjoitus tekee mestarin – tietosuojassakin

Pekka Vepsäläinen — Wed, 25 Apr 2018 09:00:53 +0000

Tietosuojaprojekteissani olen usein törmännyt kysymyksiin, kuten ”Ei meiltä kukaan rekisteröity ole aiemmin tietojaan pyytänyt tarkistaa. Mitä meidän pitää nyt tähän pyyntöön vastata?”. Asetuksen täytäntöönpanon myötä kohdataankin usein tilanteita, joihin ei ole aiemmin törmätty. Mutta tässäkin asiassa toimii erittäin hyvin vanha viisaus ”Harjoitus tekee mestarin”. Avaan tässä artikkelissa rekisteröidyn tietopyyntöä esimerkkinä käyttäen tuota vanhaa viisautta.

Yhä useammin rekisteröidyt, kuten yrityksen asiakkaat, ovat havahtuneet siihen, että heillähän on yhä enemmän oikeuksia koskien omia henkilötietojaan. Hyvänä esimerkkinä on eräälle asiakkaalleni heidän markkinointirekisterissään olleen henkilön tekemä tietopyyntö, joka tosin noudatti vielä vanhaa lainsäädäntöä, mutta jonka sisältö oli pitkälti sama tietosuoja-asetuksen vastaavan tietopyynnön kanssa. Heille tämä oli yrityksen historiassa ensimmäinen tällainen tietopyyntö.

”Pyydän, että toimitatte minulle kirjallisena minua koskevat rekisteritietonne.”

”Pyydän samalla kertomaan, millä perusteella olette säilyttäneet yhteystietojani”. Jo näihin peruskysymyksiinkin vastaaminen voi olla vaikeaa, mikäli rekisteröityjen tietopyyntöihin vastaamisen prosesseja ei ole huolella mietitty läpi. Miten sitten vastaamisessa onnistutaan?

Ensinnäkin organisaation henkilötietojen käsittelyn kokonaisuus tulee tuntea läpikotaisin, jotta ylipäätään pystytään selvittämään, mitä henkilötietoja on mahdollisesti eri tietojärjestelmiin ja paperiarkistoihinkin kerätty ja tallennettu. Toiseksi kunkin käsittelytarkoituksen tulee olla selkeästi määritelty – kuhunkin eri käsittelytarkoitukseen tulee löytyä tietosuoja-asetuksen 6. artiklan mukainen oikeusperuste, muuten käsittely on laitonta. Näistä asioista olen kirjoittanut aiemmassa artikkelissani https://tikkasec.fi/gdpr-tietosuoja-asetus-toimenpiteet/

Edellisten lisäksi on tärkeää, että tietopyyntöihin vastaamisen käytännöt on suunniteltu huolellisesti. Vastaamiseen liittyy toisaalta muotoseikkoja, kuten mitä tietoja vastauksen tulee sisältää, jotta se on asetuksen vaatimusten mukainen. Toisaalta vastaamisessa on hyvin olennaisesti kyse yrityksen ulkoisesta viestinnästä, jossa on aina mahdollista onnistua erinomaisesti tai epäonnistua huolella. Tilanteessa onkin usein kyse yrityksestä saatavan positiivisen tai negatiivisen mielikuvan luomisesta tai vahvistamisesta. Jo yrityksen imagon kannalta on tärkeää, että viestinnässä ollaan huolellisia.

Harjoitus tekee mestarin!

”No miten näitä asioita pitäisi sitten käytännössä tehdä?” Vastaus on yksinkertainen: Harjoitelkaa! Simuloikaa harjoitustilanne, jossa joku asiakkaanne lähestyy teitä vaikkapa sähköpostilla, ja pyytää nähtäväkseen hänestä kerätyt henkilötiedot. Tässä kohdassa tuleekin tarkastella huolellisesti asetuksen artiklan 15 sääntöjä ”Rekisteröidyn oikeus saada pääsy tietoihin”.

Harjoitellessanne tietopyyntöön vastaamista, käyttäkää mieluummin esim. CRM:ään lisättyä testidataa. Näin harjoituksesssa ei vahingossa käsitellä asiattomasti todellisen asiakkaan tietoja. Pyrkikää kuitenkin siihen, että tilanne olisi mahdollisimman aito. Toisin sanoen tietopyyntö olisi hyvä lähettää siitä etukäteen muille organisaation työntekijöille kertomatta ja toisaalta testidatasta ei pitäisi heti käydä ilmi, ettei kyseessä ole todellinen henkilö. Näin nähdään hyvin nopeasti, ovatko kaikki tietopyyntöprosessiin työroolinsa puolesta joutuvat henkilöt ajan tasalla siitä, miten tilanteessa tulee toimia.

Rekisteröidyn tietopyyntö on vain yksi esimerkki niistä tilanteista, joissa harjoitus auttaa kehittämään toimintaa. Muita aiheita voivat olla mm. rekisteröidyn pyyntö poistaa hänen tietonsa tai vaikkapa ilmoituksen tekeminen viranomaiselle ja rekisteröidyille henkilötietoihin kohdistuneen tietoturvaloukkauksen tapahtuessa. Tietoturvaan liittyviä tärkeitä harjoituksen kohteita ovat esimerkiksi varmuuskopioista tietojen palauttamiseen liittyvät käytännöt. Näistä aiheista kirjoitan lisää tulevissa artikkeleissa.

The post Harjoitus tekee mestarin – tietosuojassakin appeared first on Tikkasec Oy.

Aivan ensiksi tulisi ymmärtää, mikä on organisaation tämän hetken tilanne suhteessa tietosuoja-asetuksen vaatimuksiin. Sen jälkeen voidaan tarttua toimeen ja lähteä kehittämään asioita pienemmin ja suuremmin askelin. Tässä kirjoituksessa tarkastelen viittä konkreettista steppiä kohti tietosuoja-asetuksen velvoitteiden toteuttamista.

Perusperiaatteet henkilötietojen käsittelyssä

Tietosuoja-asetuksen 5. artikla on oikeastaan tiivistelmä asetuksen oleellisista vaatimuksista ja perusperiaatteista. Sisäistämällä tämän artiklan sisällön hyvin, on jo varsin pitkälle ymmärtänyt tietosuoja-asetuksen pääkohdat.

5. artiklan sisällön voisikin tiivistää seuraavasti:

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

Henkilötietojen käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Käyttötarkoitussidonnaisuus – mihin tarkoitukseen tietoja kerätään?
Tietojen minimointi – ei kerätä ja säilytetä turhaa tietoa
Täsmällisyys – pidetään tiedot ajan tasalla
Säilytyksen rajoittaminen – vain niin kauan kuin on tarpeen
Eheys ja luottamuksellisuus – käsittelyn turvallisuus

2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu, mistä seuraakin ns. ”osoitusvelvollisuus”.

Mitä se sitten vaatii, että päästään tilanteeseen, jossa 5. artiklan periaatteita noudatetaan, ja voidaan vieläpä osoittaa, että näin on tehty? Tarkastelen seuraavaksi viittä steppiä, jotka minimissään tulisi jokaisen organisaation tehdä oman toimintansa sovittamisessa tietosuoja-asetuksen vaatimuksiin.

1. Kartoita nykytila

Ennen varsinaisia kehittäviä toimenpiteitä on ehdottoman välttämätöntä ymmärtää organisaation nykytila ja toimintaympäristö henkilötietojen käsittelyn kannalta. Käytännössä tämä tarkoittaa henkilötietojen käsittelyn tarkastelua niin prosessien kuin tietojärjestelmienkin näkökulmasta, huomioiden juurikin mm. 5. artiklan vaatimukset.

Kartoituksessa tulee kiinnittää huomiota erityisesti henkilötietojen elinkaareen; miten henkilötietoja kerätään, tallennetaan, käsitellään ja tuhotaan, sekä missä (tieto)järjestelmissä kaikki tuo tapahtuu. Järjestelmiä kartoittaessa ei pidä unohtaa ns. manuaalisia järjestelmiä, eli tyypillisesti esimerkiksi taloushallinnon mappiarkistoja ja vastaavia. Lisäksi tulee kiinnittää huomiota siihen, miten käsittelyn turvallisuudesta, kuten laitteiden ja järjestelmien tietoturvasta, on tällä hetkellä huolehdittu.

2. Tee riskien arviointi

Rekisterinpitäjän vastuulla on suojata henkilötietoja tarpeellisin teknisin ja hallinnollisin toimenpitein ottaen huomioon mm. rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Riskejä vastaavan turvallisuustason toteuttamiseksi tarvittavat toimenpiteet tulee toteuttaa huomioiden myös uusin tekniikka ja toteuttamiskustannukset. Laitetaan siis panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin. Jotta näin voidaan tehdä, tulee henkilötietojen käsittelyn riskejä arvioida huolellisesti.

Edellisen vaiheen pohjalta tulisikin suorittaa seuraavat stepit, joilla riskien arviointi voidaan toteuttaa:

Tunnista henkilötietoihin kohdistuvat riskit
Analysoi riskien merkitystä, ja mahdollisia seurauksia/vaikuttavuutta
Priorisoi, eli valitse vaikuttavuudeltaan merkittävimmät riskit, joille tulee tehdä jotain toimenpiteitä
Tunnista ja toteuta riskien käsittelyn vaatimia toimenpiteitä
Varaudu reagoimaan ja ota opiksi, jotta voit kehittää toimintaa jatkuvasti

Riskien arviointi tulisikin olla jatkuvaa toimintaa, jolla pyritään alati muuttuvassa toimintaympäristössä ennaltaehkäisemään ei-toivottuja asioita tapahtumasta ja toisaalta reagoimaan, jos jotain ikävää kaikesta huolimatta tapahtuu.

3. Päivitä prosessit ja järjestelmät

Riskien arvioinnin pohjalta pitäisi nyt olla tunnistettuna niitä toimenpiteitä, joilla rekisteröityjen yksityisyyteen kohdistuvia riskejä pystytään pienentämään tai poistamaan. Toimenpiteet tarkoittavat useimmiten vähintään jonkintasoisia päivityksiä henkilötietojen käsittelyn prosesseihin, mutta usein on tarpeen tehdä muutoksia myös käytettyihin tietojärjestelmiin.

Prosessipuolella voi olla tarpeen muuttaa esimerkiksi manuaalisten aineistojen käsittelyä, kuten vaikkapa pöydällä lojuvien paperien siirtäminen lukkojen taakse, tai jätetäänkö tietokone lukitsematta, kun poistutaan työpisteeltä. Järjestelmäpuolella toimenpiteet voivat kohdistua niin tietojärjestelmien pääsynhallinnan kehittämiseen, kuin esimerkiksi tietojen käsittelyyn käytettyjen päätelaitteiden tietoturvan kehittämiseen. Tietoturvatoimenpiteitä voivat olla esimerkiksi vahvojen salasanojen käyttöönotto tai vaikkapa kannettavan tietokoneen kovalevyn salaus.

4. Tarkista sopimukset

Tietosuoja-asetuksen 28. artikla määrää henkilötietojen käsittelijästä. Rekisterinpitäjä saa käyttää vain sellaisia tietojen käsittelijöitä, jotka toteuttavat asianmukaiset tekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely olisi asetuksen mukaista. Lisäksi henkilötietojen käsittelystä tulee laatia kirjallinen sopimus, jossa tulee sopia mm. tietojen käsittelyn ohjeistuksesta, salassapidosta ja käsittelyn turvallisuuden varmistamisesta.

Lisäksi on tärkeä havaita, että myös ne tahot, jotka esimerkiksi tuottavat SaaS-palveluna henkilötietojen käsittelyn järjestelmiä, ovat henkilötietojen käsittelijöitä, vaikka eivät suoranaisesti käsittelytoimenpiteitä suorittaisikaan. Näinollen sopimuksia pitääkin tarkistaa usean eri tahon kanssa. Käytännössä tulee varmistaa, että tietosuoja-asetuksen vaatimukset on huomioitu sopimuksessa.

5. Laita dokumentaatio kuntoon

Tässä kohtaa palataan 5. artiklan kohtaan 2, jossa todetaan, että rekisterinpitäjän pitää pystyä osoittamaan, että asetuksen velvoitteita noudatetaan. Käytännössä osoitusvelvollisuus tarkoittaakin erilaisten henkilötietojen käsittelyyn liittyvien prosessien sekä muiden asetuksen vaatimusten mukaisten toimenpiteiden dokumentointia. Mm. edellämainitut stepit, kuten riskianalyysi, tulee dokumentoida, jotta voidaan osoittaa, että ollaan toteutettu asetuksen vaatimia toimenpiteitä siihen valmistauduttaessa. Lisäksi mm. rekisteröityjen oikeuksien toteuttamiseksi tulee huolehtia mm. läpinäkyvästä informoinnista rekisteröidyille esimerkiksi rekisteriselosteiden muodossa.

Ovatko asetuksen vaatimukset sitten aivan mahdottomia toteuttaa?

Etenkin pienempiä yrityksiä usein kauhistuttaa asetuksen vaatima työmäärä. Turha asiaa on kaunistellakaan; asetus vaatii jokaiselta organisaatiolta panostusta ja toimenpiteitä, jotka voivat olla hyvinkin työläitä. Toisaalta pienemmissä yrityksissä on tyypillisesti suoraviivaisemmat prosessit ja vähemmän erilaisia tietojärjestelmiä käytössä henkilötietojen käsittelyä varten. Lisäksi moni toimenpide on usein sinänsä “ilmainen”, jos kyseessä on vaikkapa toiminnan muuttaminen, mutta se saattaa tietysti aiheuttaa muutosvastarintaa. Muutosten toteuttaminen tuleekin perustella hyvin; haluammehan kaikki kuitenkin toimia lakien ja asetusten mukaisesti?

Vaikka esimerkiksi käsittelyn turvallisuuteen panostaminen vaatii usein tietoturvan kehittämiseen liittyviä toimenpiteitä ja tämä tuo mahdollisesti “lisävaivaa” jokapäiväisen työn tekemiseen, voidaan kehittämistoimenpiteillä saada joskus aikaan myös toiminnan tehostamista ja järkevöittämistä. Lisäksi henkilötietojen käsittelyn turvaamisen ohella saadaan usein lopputuloksena kokonaisuutena parempi yrityksen turvallisuusympäristö.

GDPR Archives - Tikkasec Oy