Kysymyksiä ja vastauksia

EU:n uusi tietosuoja-asetus on paitsi kuluerä myös kilpailuvaltti

Toukokuussa 2018 lain voiman saava EU:n tietosuoja-asetuksen perusperiaate on  henkilötiedon aiempaa kontrolloidumpi kerääminen, säilytys, käyttö ja poistaminen säilytettävän tiedon elinkaaren aikana.

Yksittäisellä ihmisellä on oikeus saada nähdä itseään koskevat tiedot ja oikeus myös pyytää poistamaan ne henkilötietoja sisältävästä tietomassasta.

Asetus koskee henkilötietoja, joten on hyvä tehdä aluksi selväksi mikä on henkilötieto. SAS Institute Oy:n henkilötietosuoja-asiantuntija, Principal Adviser Jarno Lindqvist määrittelee henkilötiedon näin:

”Mikä hyvänsä tieto tai tietojen yhdistelmä, jonka avulla yksittäinen luonnollinen henkilö voidaan tunnistaa.”

Kaikkea tämän tiedon käsittelyä tietosuoja-asetus koskee. Asetus tunnetaan kaikissa EU-maissa lyhenteellä GDPR (General Data Protection Regulation). Jos yrityksen, yhteisön tai julkishallinnon tietosuoja ei vielä ole GDPR:n edellyttämässä kunnossa, on sen kuntoon saattaminen syytä aloittaa heti.

Pyysimme Jarno Lindqvistiä vastaamaan kuuteen kysymykseen koskien uutta asetusta ja miten henkilörekistereitä pitävien tahojen olisi hyvä toimia, jotta uuden asetuksen ehdot täyttyvät.

Mitä konkreettisia toimia organisaation on tehtävä täyttääkseen GDPR:n ehdot?

Aukotonta menettelytapaa, jolla rekisterinpitäjä 100-prosenttisen varmasti täyttää asetuksen ehdot en pysty antamaan. Näin siksi, että asetuksen soveltaminen alkaa toukokuun 25. päivänä 2018 ja vasta sen jälkeen näemme mihin valvova viranomainen rajan vetää. 

Asetuksen lakiteknisen tulkinnankin jätän juristeille, mutta seuraavien toimenpiteiden käynnistäminen vie organisaatiota oikeaan suuntaan:

• olemassa olevan henkilödatan kartoitus ja kriittisyysluokittelu
• tarpeettomasti ja/tai GDPR:n vastaisesti säilötyn henkilödatan poistaminen
• henkilödatan käsittelyprosessin kuvaus ja mahdollisesti tarvittavat muutokset, kuten datan suojaaminen esimerkiksi anonymisoinnin keinoin
• henkilödatasta tehtäviin tieto- ja poistamispyyntöihin tarvittavaan käsittelyyn valmistautuminen
• henkilöstön kouluttaminen henkilödatan GDPR:n mukaisen käsittelyn vaatimuksiin 

Mikä on yrityksen saama hyöty? Asetushan palvelee lähinnä yksityistä kansalaista.

Totta on, että rekisterinpitäjän näkökulmasta asetus aiheuttaa kustannuksia ja lisätyötä. Plussaksi voidaan laskea se, että valmistautumisen myötä organisaation datavarannoista saadaan aiempaa parempi kokonaiskuva.

Tämä mahdollistaa datan tehokkaamman hyödyntämisen vaikkapa asiakasanalytiikan tarpeisiin. GDPR:n ymmärtäminen ja sen mukaiset toimintatavat voivat olla markkinaetu. Itse ainakin asioisin mieluummin sellaisen toimijan kanssa, joka osoittaa olevansa asetuksen mukainen. 

Näin etenkin silloin, kun ollaan hankkimassa datan käsittelyyn liittyviä palveluja. Tässä yhteydessä on hyvä muistaa, että rekisterinpitäjä on vastuussa henkilötietojen käsittelystä vaikka käsittely olisi ulkoistettu.

Vaatiiko GDPR rahallisia satsauksia?

Kouluttaminen, mahdollisesti tarvittavat henkilöstösatsaukset ainakin isommissa organisaatioissa, sekä mahdollisesti tarvittavat uudet ratkaisut ja/tai konsultointi datan hallinnan tehostamiseen voivat aiheuttaa kustannuksia.

Miten pk-yritys suoriutuu tehtävästä?

Ensimmäisen kysymyksen vastaus kertoo tästä oleellisen. Toimenpiteiden soveltaminen omaan yritykseen sopivassa mittakaavassa on avain asiaan. GDPR on ensisijaisesti toimintatapoihin liittyvä kysymys.

Ensin on hyvä kartoittaa nykyinen tapa käsitellä dataa, dokumentoidaan se jos tätä ei ole jo tehty sekä kartoitetaan mahdolliset riskit ja kehittämiskohteet.

On eri asia sanoa olevansa GDPR-asetuksen mukainen kuin näyttää dokumentti, josta näkyy nykytilanne, prosessi ja listatut kehittämiskohteet. Vertaisin tätä yrityksen laatukäsikirjaan: dokumentti jolla kuvataan toimintatavat, jonka avulla voi selittää kysyjälle, että juuri näillä toimenpiteillä olemme varmistaneet olevamme asetuksen mukaisia.

Onko syytä pelätä, että omia henkilötietoja vaaditaan nähtäväksi ”huvin vuoksi”?

Voi olla, että organisaatiot, joilla on korkea profiili ja paljon henkilödataa (esimerkiksi julkiset toimijat, pankit, vakuutusala, telekommunikaatio) joutuvat varautumaan siihen, että prosesseja voivat testata aluksi niin yksityiset ihmiset kuin järjestäytyneemmätkin tahot.

GDPR:n sanotaan auttavan tietomurtojen torjunnassa. Miten?

Niissä organisaatioissa, joiden kanssa olen keskustellut, on nostettu esiin ainakin seuraavat tekijät:

• tarpeettomasti säilytettävän datan poistaminen
• henkilödatan käyttöoikeuksien tarkistaminen ja päivittäminen tarvetta vastaaviksi
• kriittisen (aukottomasti yksilöivän) henkilödatan suojaaminen aiempaa tehokkaammin

Ja sitten vielä se luvattu bonus, seitsemäs vastaus! Ja kysymyshän kuului:

Kuinka vakuutan pk-yrityksen omistajan tai johdon GDPR:n tärkeydestä?

GDPR koskee kaikkia rekisterinpitäjiä, joilla on henkilödataa, myös yrityksen omasta henkilöstöstä kerättyä dataa. Hanki GDPR-asioista riittävä tieto, jotta osaat tehdä tietoisen päätöksen tarvittavista valmisteluista.

Viimekädessä juuri sinä vastaat siitä, että yrityksesi käsittelee henkilödataa GDPR:n mukaisella tavalla. 

Kuunneltavaa tietosuojasta meille kaikille

Brysselin kone, Yle 28.3.2018
Suojaako EU digitalisaatiopolitiikallaan omia sisämarkkinoitansa, tietokirjailija Petteri Järvinen
https://areena.yle.fi/1-4361229

Brysselin kone, Yle 8.2.2017
Lisääkö EU:n tietosuoja-asetus yksityisyydensuojaa, liiketoimintaa vai protektionismia
https://areena.yle.fi/1-3881033

Yle 9.1.2018
Hyväksyn käyttöehdot - tietosuojan historiaa
Neliosaisessa sarjassa toimittaja Jukka Mikkola seikkailee tietoturvan ja tietosuojan historiassa, nykypäivässä ja tulevaisuudessa: salasanojen, hakkereiden, tietomurtojen ja palvelunestohyökkäysten maailmassa.
https://areena.yle.fi/1-4315102