EU:n tietosuoja-asetus ja lähtökohdat organisaation tietosuojatyölle

Elokuu 28, 2014 at 20:18

EU:n tuleva tietosuoja-asetus määrittää yhtenäiset tietosuojavaatimukset koko EU:n alueelle. Asetus koskee EU:ssa toimivia, tai tietyin ehdoin sen ulkopuolisiakin organisaatioita, jotka käsittelevät eurooppalaisten henkilöiden tietoja. Käytännössä se vaikuttaa myös hyvin suureen osaan suomalaisistakin toimijoista – olivat tiedot sitten yrityksen asiakkaita tai omaa henkilökuntaa koskevia.

Asetus painottaa mm. henkilötietojen käsittelyn ennakkosuunnittelua sekä läpinäkyvyyttä ja avoimuutta: on laadittava rekisteriselosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset. Samalla varmistetaan, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet. Tietosuojaloukkausten piilottelua ei sallita, vaan loukkauksista on ilmoitettava valvontaviranomaisille ja rekisteröidyille henkilöille itselleen. Myös rekisteröidyn oikeudet laajentuvat oikeudella tulla unohdetuksi.

Monissa hankkeissa tehtäväksi tulee vaikutusten arviointi, jolloin selvitetään suunnitellun hankkeen vaikutukset rekisteröityjen henkilöiden yksityisyyden suojaan. Lisäksi organisaation toimintaa henkilötietojen käsittelyssä tulee arvioida ja siihen liittyvät riskit tunnistaa ja käsitellä säännöllisesti.

Siis paljon vaatimuksia, jotka tarkoittavat vähintäänkin nykyisten toimintatapojen kriittistä tarkastelua ja useimmissa tapauksissa jopa kokonaan uusien toimintamallien rakentamista. Vaatimusten laiminlyönnistä voi seurata merkittäviä sakkorangaistuksia.

Tietosuoja-asetus tulee yhdenmukaisena voimaan kaikissa EU:n jäsenvaltioissa. Nykyinen direktiivi sen sijaan on sallinut jäsenvaltioille kansallista tulkintavaraa.
 

Mitä organisaation kannattaa nyt tehdä?

Asetuksen voimaantuloon valmistautuminen kannattaa aloittaa jo nyt. Ehdotettu kahden vuoden siirtymäaika on varsin lyhyt, koska organisaation varsinainen ydintoimintakin pitäisi hoitaa täysimittaisesti sen aikana.

Alla on kuvattu neljä askelta tietosuoja-asioiden haltuun ottamiseksi:

1. Pidä tietosuoja johdon agendalla

Kuten organisaation riskienhallinnan järjestäminen yleisemminkin, vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla.

Jos johto ei ole sitoutunut tietosuojatyöhön, organisaation muun toiminnan tavoitteet usein käytännössä estävät järjestelmällisen tietosuojan kehitystyön. Silloin tietosuojasta tulee reaktiivista eikä kenelläkään ole kokonaiskuvaa tilanteesta.

Tietosuoja-asioista onkin syytä raportoida säännöllisesti yrityksen johdolle ja tietosuoja on syytä pitää mukana yrityksen riskikartoilla.

2. Tunnista toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa

Ensimmäiseksi kannattaa selvittää nykyisestä toiminnasta lähtevät tarpeet ja vaatimukset henkilötietojen käsittelylle. On syytä selvittää, mitä henkilötietoja kerätään, miksi niitä kerätään (käyttötarkoitus) ja mitä niiden avulla halutaan tehdä.

Seuraavaksi on syytä tehdä henkilötietojen elinkaaren analyysi, eli kartoittaa mitä henkilötietoja yrityksessä todellisuudessa kerätään ja käsitellään, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan. Rekisteriselosteiden ja rekisteröityjen antamien suostumusten tulee olla linjassa näiden kanssa.

3. Selvitä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa

Kun on tiedossa, mitä ja miten henkilötietoja organisaatiossa kerätään ja käsitellään, on syytä käydä tarkemmin läpi henkilötietoja käsittelevän organisaation toimintatavat ja tietojärjestelmät ja selvittää niiden puutteet verrattuna asetuksen vaatimuksiin.

Tietoturvan osalta asetus ei nykymuodossaan anna yksityiskohtaisia ohjeita, vaan tyytyy vaatimaan ”asianmukaisia teknisiä ja organisatorisia toimenpiteitä” riittävän tietoturvan takaamiseksi. Käytännössä tämä tarkoittaa, että teknisen tietoturvan lisäksi on tarpeen tarkastaa myös organisaation hallinnollinen tietoturva eli mm. nykyiset vastuut, prosessit, käytännöt, politiikat ja muu tietoturvadokumentaatio.

On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseksi.

Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle.

Tietojärjestelmien hankinta on usein pitkä prosessi. Hankittujen järjestelmien päivittäminen jälkikäteen voi olla hyvin kallista ja joskus jopa mahdotonta. Tietojärjestelmähankkeissa on syytä tehdä vaikutusten arviointi sekä varmistua, että hankittavat järjestelmät ovat yhteensopivia tietosuojamääräysten kanssa ja että järjestelmät takaavat asianmukaisen tietoturvan.

4. Rakenna tietosuojan kehitysohjelma ja varmista menestymisen edellytykset

Kun organisaation tarpeet ja tilanne ovat selvillä, voidaan laatia priorisoitu suunnitelma tietosuoja- ja tietoturva-asioiden kuntoon laittamiseksi. Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida. Aika ajoin on myös hyvä varmistaa, että organisaation toiminta edelleen täyttää lainsäädännön vaatimukset.

Käytännössä tietysti tietosuojaa toteuttavat kaikki henkilötietojen käsittelyyn – suorasti tai epäsuorasti – osallistuvat henkilöt. Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja.

Kehityssuunnitelmaa laadittaessa on syytä realistisesti selvittää käytettävissä olevat resurssit ja oma osaaminen. Hanki tarvittaessa asiantuntija-apua, jos oma osaaminen tai työpanos ei riitä.

Lopuksi:

Täältä voit saada lisätietoja EU:n tietosuoja-lainsäädännöstä ja seurata uuden tietosuoja-asetuksen etenemistä.

Vaikka monien vaatimusten yksityiskohdat tulevatkin vielä tarkentumaan ennen asetuksen voimaantuloa, on asetus syytä ottaa tarkasteluun jo nyt.

On itsestään selvää, että tässäkään asiassa organisaation kulttuuria ja henkilöstön toimintatapoja ei muuteta hetkessä muutamalla sähköpostilla tai yksittäisellä tietosuojakoulutuksella ja -tentillä. Tietosuoja-asiat on mahdollista saada kuntoon järjestelmällisellä työllä, jossa tietosuoja ja tietoturva rakennetaan kiinteäksi osaksi organisaation toimintatapoja. Edellä kuvattu henkilötietojen elinkaaren läpikäynti antaa hyvät lähtökohdat tietosuojan parannustoimien suunnitteluun.

Blogikirjoituksen ovat laatineet riskienhallintapalveluissa työskentelevät Nixun asiantuntijat Harri Vilander ja Sanna Kuikka.

Related blogs