EU:n tietosuoja-asetus tulee olla johtoryhmän agendalla

EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Ylimmän johdon tulee olla tietoinen, miten tietosuoja-asetus vaikuttaa organisaation arkipäivään ja millaisia käytännön kehittämistoimia tulisi talven aikana toteuttaa tietosuoja-asetuksen velvoitteiden täyttämiseksi. Mutta kuinka aihetta tulisi käytännössä lähestyä, jotta tietosuojan kehittämisessä päästään alkuun? Tietosuojatoiminnan kehittämistä tulee tarkastella strategiselta tasolta aina tietosuojapolitiikan ja -käytännön määrittämiseen ja toteuttamiseen. Tarkastelenkin alla lyhyesti tietosuoja-asetuksen velvoitteita ja kuinka niitä tulisi organisaation toiminnassa jatkossa huomioida.

Rekisteröityjen oikeudet lisääntyvät

Rekisteröidyillä on jatkossa yhä enemmän oikeuksia saada tietoa omien henkilötietojensa keräämisestä ja käsittelystä, sekä vaikuttaa henkilötietojen keräämiseen ja poistamiseen. Rekisteröityjä tulee jatkossa mm. selkeämmin informoida, mitä henkilötietoja hänestä rekistereihin kerätään, sekä miten ja mihin tarkoituksiin niitä käytetään. Jo nykyisessä henkilötietolaissa on määrätty informointivelvollisuudesta, mutta jatkossa nämä velvollisuudet ovat yhä laajempia ja yksityiskohtaisempia. Myös oikeudesta tietojen oikaisuun, poistamiseen ja siirtämiseen säädetään asetuksessa tarkemmin kuin aiemmin.

Myös rekisterinpitäjän velvollisuudet lisääntyvät

Yksi merkittävimpiä muutoksia nykyiseen henkilötietolainsäädäntöön on organisaation tilivelvollisuus. Kun aiemmin henkilötietolakia on tullut ”vain” noudattaa, jatkossa tietosuoja-asetuksen osalta tulee organisaation pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä noudatetaan asetuksen velvoitteita. Tyypillisesti tämä tarkoittaa dokumentoituja toimintamalleja tai esimerkiksi tiedonantoja rekisteröidyille koskien heidän oikeuksiaan omien tietojensa osalta, sekä kuinka heidän tietojaan käsitellään.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Tietosuoja-asetus lähtee sisäänrakennetun ja oletusarvoisen tietosuojan periaatteesta. Sisäänrakennetun tietosuojan periaatteen mukaisesti tietosuoja otetaan tehokkaasti osaksi henkilötietojen käsittelyä kaikissa vaiheissa. Oletusarvoisen tietosuojan periaatteen mukaisesti rekisterinpitäjä käsittelee vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Käytännössä tuleekin pohtia, mitä tietoja tarvitaan, missä laajuudessa niitä käsitellään ja kuinka kauan niitä säilytetään.  Lisäksi henkilötietojen suojaamisessa tulee kiinnittää huomiota siihen, että tietoihin pääsevät käsiksi vain ne henkilöt, joille tietojen käsittely on esimerkiksi työtehtävän tai roolin puitteissa tarpeellista.

Millä konkreettisilla toimenpiteillä tietosuoja-asetuksen velvoitteita voidaan lähteä toteuttamaan?

Ensin tulisi ymmärtää henkilötietojen käsittelyn nykytila.Nykytilakartoituksen avulla voidaan selvittää, mitä muutoksia henkilötietojen käsittelyyn ja henkilörekisterien suojaamiseen liittyen tulee toteuttaa. Kun henkilötietojen käsittelyn nykytila on selvillä, tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tarvitaan, jotta tietosuoja-asetuksen mukaiset velvoitteet voidaan täyttää. Usein on tarpeen mm. päivittää sopimuksia niin rekisteröityjen, kuin myös henkilötietoa käsittelevien palveluntarjoajien kanssa.

Riskienhallinta on pohjana tietosuojan kehittämiselle. Tietosuoja-asetuksessa korostetaan riskilähtöistä toimintamallia, jossa henkilötietoja suojataan huomioiden mm. käsittelyn luonne ja laajuus, asiayhteys ja tarkoitukset, sekä henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Riskien arviointi onkin yksi konkreettisia toimenpiteitä, joita jokaisen organisaation tulisi jatkossa säännöllisesti toteuttaa myös henkilötietojen käsittelyn osalta.

Tietoturva on olennainen osa tietosuojan toteutumista.Henkilötietojen käsittelyn turvallisuuden kannalta tulee suunnitella tarpeelliset keinot toteuttaa tietoturvallisuutta erilaisissa tilanteissa ottaen huomioon henkilötietojen käsittelyn riskit ja toteuttamiskustannukset. Riskiä vastaavan turvallisuustason varmistamiseksi organisaation tulee toteuttaa asianmukaisia teknisiä ja hallinnollisia toimenpiteitä. Suojaustoimenpiteinä voidaan käyttää mm. henkilötietojen pseudonymisointia ja salausta. Organisaatiolla tulee olla myös kyky toipua ongelmatilanteista niin, että tietojen saatavuus ja pääsy tietoihin on ongelmien sattuessa mahdollisimman nopeaa.

Tietotilinpäätös on yksi keino saada kokonaiskuva organisaation tietosuojan tasosta. Tietotilinpäätöstä voidaan hyödyntää tietosuojan kehittämisen alkuvaiheessa niin tietosuojan kehittämistoimien tunnistamisessa kuin priorisoinnissakin, mutta myös osana jatkuvaa kehittämistä tuomalla tietosuojan tilannekuvaa näkyväksi. Tietotilinpäätöksessä voidaan mm. kuvata, mitä henkilörekistereitä organisaatiolla on, miten tietosuojaperiaatteet on henkilörekistereissä ja toiminnassa otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu.

Automatisointi tehostaa toimintaa. Tietosuojaan liittyvien menettelyjen automatisoinnilla voidaan usein saada huomattavia hyötyjä varsinkin pitemmällä tähtäimellä. Esimerkiksi rekisteröidyn oikeus saada tietonsa poistetuksi voi pahimmillaan tarkoittaa yksittäisten tietokenttien poistamista useista eri tietojärjestelmistä. Mikäli tietojen poistoa ei ole automatisoitu ”yhden napin painalluksen taakse”, voi yksittäinenkin poistovaatimus aiheuttaa valtavasti käsityötä. Lisäksi käsin tehtävissä muutoksissa virheen mahdollisuus on suuri, koska on helppo esimerkiksi unohtaa tietyn tietokentän poistaminen jonkin yksittäisen tietojärjestelmän syövereistä.

Onko tietosuoja-asetus uhka vai mahdollisuus?

Tietosuoja-asetus tuo viranomaisille mahdollisuuden määrätä merkittäviäkin sakkoja organisaatioille esimerkiksi tietoturvaloukkauksen tapahtuessa. Hallinnollisten sakkojen lisäksi voi tapauksesta riippuen organisaation vastuuhenkilöille tulla myös rikosoikeudellisia seuraamuksia. Lisäksi voidaan joutua maksamaan korvauksia niille rekisteröidyille, joille on aiheutunut vahinkoa asetuksen rikkomisesta. Toisaalta tietosuojaa kehittämällä voidaan positiivisen yrityskuvan lisäksi parantaa organisaation tietoturvan tasoa yleisemminkin ja siten pienentää liiketoiminnan riskejä. Ylimmän johdon onkin niin uhkien kuin mahdollisuuksien vuoksi syytä tiedostaa lainsäädännön muutos ja sen vaikutus organisaation toimintaan, sekä lähteä aktiivisesti viemään tietosuojan kehittämistä eteenpäin.