Toukokuussa 2018 lain voiman saava EU:n tietosuoja-asetuksen perusperiaate on henkilötiedon aiempaa kontrolloidumpi kerääminen, säilytys, käyttö ja poistaminen säilytettävän tiedon elinkaaren aikana.
Yksittäisellä ihmisellä on oikeus saada nähdä itseään koskevat tiedot ja oikeus myös pyytää poistamaan ne henkilötietoja sisältävästä tietomassasta.
Asetus koskee henkilötietoja, joten on hyvä tehdä aluksi selväksi mikä on henkilötieto. SAS Institute Oy:n henkilötietosuoja-asiantuntija, Principal Adviser Jarno Lindqvist määrittelee henkilötiedon näin:
”Mikä hyvänsä tieto tai tietojen yhdistelmä, jonka avulla yksittäinen luonnollinen henkilö voidaan tunnistaa.”
Kaikkea tämän tiedon käsittelyä tietosuoja-asetus koskee. Asetus tunnetaan kaikissa EU-maissa lyhenteellä GDPR (General Data Protection Regulation). Jos yrityksen, yhteisön tai julkishallinnon tietosuoja ei vielä ole GDPR:n edellyttämässä kunnossa, on sen kuntoon saattaminen syytä aloittaa heti.
Pyysimme Jarno Lindqvistiä vastaamaan kuuteen kysymykseen koskien uutta asetusta ja miten henkilörekistereitä pitävien tahojen olisi hyvä toimia, jotta uuden asetuksen ehdot täyttyvät.
Aukotonta menettelytapaa, jolla rekisterinpitäjä 100-prosenttisen varmasti täyttää asetuksen ehdot en pysty antamaan. Näin siksi, että asetuksen soveltaminen alkaa toukokuun 25. päivänä 2018 ja vasta sen jälkeen näemme mihin valvova viranomainen rajan vetää.
Asetuksen lakiteknisen tulkinnankin jätän juristeille, mutta seuraavien toimenpiteiden käynnistäminen vie organisaatiota oikeaan suuntaan:
Totta on, että rekisterinpitäjän näkökulmasta asetus aiheuttaa kustannuksia ja lisätyötä. Plussaksi voidaan laskea se, että valmistautumisen myötä organisaation datavarannoista saadaan aiempaa parempi kokonaiskuva.
Tämä mahdollistaa datan tehokkaamman hyödyntämisen vaikkapa asiakasanalytiikan tarpeisiin. GDPR:n ymmärtäminen ja sen mukaiset toimintatavat voivat olla markkinaetu. Itse ainakin asioisin mieluummin sellaisen toimijan kanssa, joka osoittaa olevansa asetuksen mukainen.
Näin etenkin silloin, kun ollaan hankkimassa datan käsittelyyn liittyviä palveluja. Tässä yhteydessä on hyvä muistaa, että rekisterinpitäjä on vastuussa henkilötietojen käsittelystä vaikka käsittely olisi ulkoistettu.
Kouluttaminen, mahdollisesti tarvittavat henkilöstösatsaukset ainakin isommissa organisaatioissa, sekä mahdollisesti tarvittavat uudet ratkaisut ja/tai konsultointi datan hallinnan tehostamiseen voivat aiheuttaa kustannuksia.
Ensimmäisen kysymyksen vastaus kertoo tästä oleellisen. Toimenpiteiden soveltaminen omaan yritykseen sopivassa mittakaavassa on avain asiaan. GDPR on ensisijaisesti toimintatapoihin liittyvä kysymys.
Ensin on hyvä kartoittaa nykyinen tapa käsitellä dataa, dokumentoidaan se jos tätä ei ole jo tehty sekä kartoitetaan mahdolliset riskit ja kehittämiskohteet.
On eri asia sanoa olevansa GDPR-asetuksen mukainen kuin näyttää dokumentti, josta näkyy nykytilanne, prosessi ja listatut kehittämiskohteet. Vertaisin tätä yrityksen laatukäsikirjaan: dokumentti jolla kuvataan toimintatavat, jonka avulla voi selittää kysyjälle, että juuri näillä toimenpiteillä olemme varmistaneet olevamme asetuksen mukaisia.
Voi olla, että organisaatiot, joilla on korkea profiili ja paljon henkilödataa (esimerkiksi julkiset toimijat, pankit, vakuutusala, telekommunikaatio) joutuvat varautumaan siihen, että prosesseja voivat testata aluksi niin yksityiset ihmiset kuin järjestäytyneemmätkin tahot.
Niissä organisaatioissa, joiden kanssa olen keskustellut, on nostettu esiin ainakin seuraavat tekijät:
Ja sitten vielä se luvattu bonus, seitsemäs vastaus! Ja kysymyshän kuului:
GDPR koskee kaikkia rekisterinpitäjiä, joilla on henkilödataa, myös yrityksen omasta henkilöstöstä kerättyä dataa. Hanki GDPR-asioista riittävä tieto, jotta osaat tehdä tietoisen päätöksen tarvittavista valmisteluista.
Viimekädessä juuri sinä vastaat siitä, että yrityksesi käsittelee henkilödataa GDPR:n mukaisella tavalla.
Brysselin kone, Yle 28.3.2018
Suojaako EU digitalisaatiopolitiikallaan omia sisämarkkinoitansa, tietokirjailija Petteri Järvinen
https://areena.yle.fi/1-4361229
Brysselin kone, Yle 8.2.2017
Lisääkö EU:n tietosuoja-asetus yksityisyydensuojaa, liiketoimintaa vai protektionismia
https://areena.yle.fi/1-3881033
Yle 9.1.2018
Hyväksyn käyttöehdot - tietosuojan historiaa
Neliosaisessa sarjassa toimittaja Jukka Mikkola seikkailee tietoturvan ja tietosuojan historiassa, nykypäivässä ja tulevaisuudessa: salasanojen, hakkereiden, tietomurtojen ja palvelunestohyökkäysten maailmassa.
https://areena.yle.fi/1-4315102