29.1.2018

Mitä yrityksen johdon tulisi tietää uudesta tietosuoja-asetuksesta?

Mitä yrityksen johdon tulisi tietää uudesta tietosuoja-asetuksesta?

Tietosuoja-asetusta aletaan soveltaa EU:ssa 25.5.2018. Tietosuoja-asetuksen myötä nykyinen tietosuojalainsäädäntömme tulee muuttumaan ja tähän muutokseen jokaisen yrityksen tulisi varautua jo hyvissä ajoin ennen asetuksen voimaantuloa. Huomioitava on, että tietosuoja-asetus ja sen perusteella säädettävä kansallinen laki koskee käytännössä kaikkia yrityksiä niiden koosta riippumatta; kaikissa yrityksissä nimittäin käsitellään henkilötietoja, vaikka itse ei sitä mieltäisikään. Jokaisella yrityksellä on ainakin yksi asiakas, josta on ainakin yksi yhteyshenkilö asiakasrekisterissä ja jo tämä yksin riittää asetuksen soveltamiseen. Haasteita yrityksille asettaa erityisesti se, että uuden tietosuoja-asetuksen mukaan ei enää riitä, että yritykset toimivat asetuksen asettamien vaatimusten mukaisesti. Yrityksen on kyettävä osoittamaan, miten se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan tarvittavin teknisin, hallinnollisin ja organisatorisin toimenpitein.

Mitä eri seikkoja yrityksen johdon tulisi sitten ottaa huomioon, jotta tietosuoja-asetus tulisi oikein huomioitua. Seuraavassa esitän muutamia vinkkejä, joiden avulla pääset hyvin alkuun.

1. Vastuuta tietosuoja johtoryhmätasolle

Yrityksen johdolla on keskeinen rooli tietosuojan toteutumisessa, sillä tyypillisesti henkilötietojen käsittelyä koskevat päätökset tehdään johtoryhmätasolla. Tietosuoja-asetuksen velvoitteiden edellyttämien toimenpiteiden laatu ja laajuus riippuvat yrityksen käsittelemistä henkilötiedoista, käsittelyyn kohdistuvasta riskistä ja nykyisistä käytännöistä. Erityisesti yrityksen johdon on oltava tietoinen lainsäädännössä tapahtuvista muutoksista sekä niiden vaikutuksesta yrityksensä eri toimintoihin. Lisäksi johdon vastuulla on henkilöstönsä kouluttaminen yrityksen tietosuojakäytännöistä. Tietosuojasta huolehtiminen ei siis ole enää vain yrityksen IT-puolen asia, vaan osoitusvelvollisuuden täyttämiseksi vastuu tietosuojasta tulee olla johtotasolla.

2. Tutustu tietosuoja-asetukseen

Tietosuoja-asetus sisältää 99 artiklaa ja 173 resitaalia. Tietosuoja-asetuksen teksti on suhteellisen vaikealukuista, mutta tämä ei kuitenkaan ole pätevä syy jättää tutustumatta asetukseen. Tietosuoja-asetuksessa on suuri määrä erilaisia käsitteitä, joiden ymmärtäminen on tarpeen, jotta yritys voi saattaa toimintansa ja dokumentaationsa asetuksen edellyttämälle tasolle. Tietosuoja-asetus sisältää esimerkiksi eritellyt velvollisuudet toisaalta rekisterinpitäjälle ja toisaalta henkilötietojen käsittelijälle. On olennaista määrittää, missä roolissa yritys milloinkin toimii, jotta yritys voi noudattaa tietosuoja-asetuksen vaatimuksia. Roolit määräytyvät tosiasiallisen aseman perusteella, eikä rooleista voida sopia toisin.

3. Arvioi henkilötietojen käsittelyn tilanne ja tunnista henkilörekisterit

Tietosuoja-asetuksen tuomiin muutoksiin varautuminen tulisi aloittaa yrityksen henkilötietoja sisältävien rekisterien nykytilan arvioinnilla, jossa selvitetään muun muassa, mistä henkilötietoja hankitaan, miten niitä käsitellään ja mihin niitä mahdollisesti luovutetaan. Nykytilan pohjalta ratkaistaan, mitä muutoksia tulee uuden tietosuoja-asetuksen johdosta tehdä. Useimmissa tapauksissa ainakin jonkinlaiset muutokset lienevät tarpeen. Jotta rekisterinpitäjä voi toteuttaa asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa ja muita asetuksessa säädettyjä velvollisuuksia, yrityksen on tehtävä myös perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä. Yritys voi esimerkiksi kuvata, mitä henkilötietoja sen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu.

4. Yrityksen tietosuojakulttuuri ja organisointi

Yrityksen johdon tulee vastata yrityksen tietosuojakulttuurista, eli tietosuojaan liittyvistä käytännöistä ja henkilöstön tietosuojaosaamisesta. Yrityksen on rekisterinpitäjänä käsittelytapoja määrittäessään ja itse käsittelyn yhteydessä toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan suojatoimenpiteitä kuten esimerkiksi henkilöstön koulutusta, henkilöstölle annettuja ohjeita ja määräyksiä, salassapitositoumuksia, tilavalvontaa, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta, tietojen anonymisointia, tietojen pseudonymisointia, auditointeja, etäkäyttöyhteyksiä, teknisiä rajoituksia, tarkastus- ja valvontajärjestelmiä, tietotilinpäätösprosessia, käytännesääntöjen sekä sertifikaattien käyttöönottoa. Rekisterinpitäjän on pääsääntöisesti itse määritettävä asianmukaiset suojatoimet niin, että otetaan huomioon käytettävissä oleva tekniikka, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

Tietosuoja-asetuksen lähtökohtana on siis riskilähtöisyys, mistä myös yritysten on arvioinnissaan syytä lähteä liikkeelle. Rekisterinpitäjä ja henkilötietojen käsittelijä ovat velvollisia arvioimaan henkilötietojen käsittelyyn liittyviä riskejä ja valitsemaan arvioidun riskitason mukaan tarvittavat hallintatoimenpiteet. Tietosuojariskien hallinta on syytä ottaa kiinteäksi osaksi organisaation riskienhallintaprosessia, jolloin erityisesti merkittävän tason riskit raportoidaan johdolle saakka. Osana riskiarvioita on sen arvioiminen, tuleeko yrityksen nimetä tietosuojavastaava. Vaikka yrityksellä ei asetuksen mukaan tällaista velvollisuutta olisikaan, yrityksessä olisi kuitenkin hyvä olla tietosuojasta vastaava henkilö. Näin tietosuojaan liittyvät kysymykset voidaan keskittää tietylle tai tietyille mielellään johtoon kuuluville henkilöille, jolloin tietosuoja-asioihin liittyvä organisointi on helpompi toteuttaa.

5. Sopimukset

Osalla yrityksistä on sopimuksia, joilla ulkoistetaan jokin osa henkilötietojen käsittelystä alihankkijalle. Tällä tarkoitetaan esimerkiksi tietojen säilytys- ja analysointipalveluiden ostamista toiselta yritykseltä. Tällöin alihankkija toimii henkilötietojen käsittelijänä rekisterinpitäjän eli yrityksen lukuun. Osana henkilötietojen käsittelyä koskevan toiminnan arviointia on siis huomioitava, ulkoistetaanko tietojen käsittelyyn liittyviä tehtäviä henkilötietojen käsittelijälle. Rekisterinpitäjän on tunnistettava tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle, sillä tietosuoja-asetuksessa henkilötietojen käsittelijän roolia ja velvoitteita on lisätty huomattavasti. Eräs tärkeimmistä muutoksista on dokumentointivelvollisuus, eli rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla dokumentoitu sopimus henkilötietojen käsittelystä. Tietosuoja-asetuksessa säädetään muun muassa siitä, mistä seikoista rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa on erityisesti sovittava. Siirtymäaikana onkin siis syytä tarkastaa henkilötietojen käsittelyyn liittyvät sopimukset niin, että ne vastaavat asetuksessa säädettyjä ehtoja.

6. Prosessien luominen tietosuoja-asetuksen vaatimusten täyttämiseksi sekä vaadittavan dokumentaation ja käytänteiden ylläpitämiseksi

Henkilörekisterin ylläpidon on jatkossa oltava paitsi suunnitelmallista, myös dokumentoitua. Yrityksen on pystyttävä jälkikäteen osoittamaan käsittelevänsä henkilötietoja lainmukaisesti. Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa. Osana henkilötietojen käsittelyn suunnittelua tulisi suunnitella prosessit myös mahdollisten tietoturvaloukkausten varalle, jotta tietoturvaloukkaukseen liittyvien ilmoitusvelvollisuuksien täyttäminen olisi mahdollista. Yrityksessä tulisi suunnitella miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan, jotta yritys pystyy toimimaan tehokkaasti vahingon minimoimiseksi ja toimintakykyisyyden palauttamiseksi. Eri tilanteita varten tulisi laatia toimintaohjelmat, minkä lisäksi tulisi huolehtia henkilöstön osaamisesta kriisitilanteessa.

Kuten yllä olevasta voi havaita, luo tietosuoja-asetus yrityksen johdolle varsin moninaisia tehtäviä, joiden jalkauttaminen organisaatiossa edellyttää ensinnäkin tarkkaa johdon suunnitelmaa tietosuojan toteuttamisesta sekä koko organisaation kattavaa yhteistyötä tämän suunnitelman saattamiseksi osaksi yrityksen päivittäistä toimintaa. Koko yrityksen henkilökunta on hyvä ottaa tietosuojaprojektiin mukaan, jotta jokaiselle tulee selväksi, mitä toimia kultakin työntekijältä edellytetään tietosuojan toteuttamiseksi.

Jos olet epävarma, mitä sinun tulisi tehdä taikka mistä sinun tulisi aloittaa, voit ottaa yhteyttä tietosuoja-asiantuntijoihimme. Voimme auttaa sinua monin eri keinoin, esimerkiksi tarkastamalla tämän hetkisen tietosuojanne ja laatimalla raportin niistä toimista, joihin organisaationne tulisi ryhtyä, jotta tietosuoja-asetuksen velvoitteet tulevat täytetyiksi. Avullamme saat oman organisaatiosi tietosuojan asetuksen edellyttämälle tasolle.  

Lue lisää tietosuojasivustoltamme www.tietosuoja.info.

Kimmo Tenhovirta

osakas, asianajaja