5 steppiä, jotka pk-yrittäjän tulee tehdä ennen toukokuuta 2018

Tietosuoja-asetus koskettaa valtaosaa organisaatioita, eikä sitä voi jättää huomiotta jo pelkästään mahdollisen sanktiouhan vuoksi. Vielä on vajaa puoli vuotta aikaa ennenkuin EU:n yleistä tietosuoja-asetusta aletaan soveltaa. Mutta miten asetuksen vaatimuksia tulisi lähestyä, ja mitä konkreettisia toimenpiteitä tulisi organisaatioissa sitten tehdä?

Aivan ensiksi tulisi ymmärtää, mikä on organisaation tämän hetken tilanne suhteessa tietosuoja-asetuksen vaatimuksiin. Sen jälkeen voidaan tarttua toimeen ja lähteä kehittämään asioita pienemmin ja suuremmin askelin. Tässä kirjoituksessa tarkastelen viittä konkreettista steppiä kohti tietosuoja-asetuksen velvoitteiden toteuttamista.

Perusperiaatteet henkilötietojen käsittelyssä

Tietosuoja-asetuksen 5. artikla on oikeastaan tiivistelmä asetuksen oleellisista vaatimuksista ja perusperiaatteista. Sisäistämällä tämän artiklan sisällön hyvin, on jo varsin pitkälle ymmärtänyt tietosuoja-asetuksen pääkohdat.

5. artiklan sisällön voisikin tiivistää seuraavasti:

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

  • Henkilötietojen käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • Käyttötarkoitussidonnaisuus – mihin tarkoitukseen tietoja kerätään?
  • Tietojen minimointi – ei kerätä ja säilytetä turhaa tietoa
  • Täsmällisyys – pidetään tiedot ajan tasalla
  • Säilytyksen rajoittaminen – vain niin kauan kuin on tarpeen
  • Eheys ja luottamuksellisuus – käsittelyn turvallisuus

2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu, mistä seuraakin ns. ”osoitusvelvollisuus”.

Mitä se sitten vaatii, että päästään tilanteeseen, jossa 5. artiklan periaatteita noudatetaan, ja voidaan vieläpä osoittaa, että näin on tehty? Tarkastelen seuraavaksi viittä steppiä, jotka minimissään tulisi jokaisen organisaation tehdä oman toimintansa sovittamisessa tietosuoja-asetuksen vaatimuksiin.

1. Kartoita nykytila

Ennen varsinaisia kehittäviä toimenpiteitä on ehdottoman välttämätöntä ymmärtää organisaation nykytila ja toimintaympäristö henkilötietojen käsittelyn kannalta. Käytännössä tämä tarkoittaa henkilötietojen käsittelyn tarkastelua niin prosessien kuin tietojärjestelmienkin näkökulmasta, huomioiden juurikin mm. 5. artiklan vaatimukset.

Kartoituksessa tulee kiinnittää huomiota erityisesti henkilötietojen elinkaareen; miten henkilötietoja kerätään, tallennetaan, käsitellään ja tuhotaan, sekä missä (tieto)järjestelmissä kaikki tuo tapahtuu. Järjestelmiä kartoittaessa ei pidä unohtaa ns. manuaalisia järjestelmiä, eli tyypillisesti esimerkiksi taloushallinnon mappiarkistoja ja vastaavia. Lisäksi tulee kiinnittää huomiota siihen, miten käsittelyn turvallisuudesta, kuten laitteiden ja järjestelmien tietoturvasta, on tällä hetkellä huolehdittu.

2. Tee riskien arviointi

Rekisterinpitäjän vastuulla on suojata henkilötietoja tarpeellisin teknisin ja hallinnollisin toimenpitein ottaen huomioon mm. rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Riskejä vastaavan turvallisuustason toteuttamiseksi tarvittavat toimenpiteet tulee toteuttaa huomioiden myös uusin tekniikka ja toteuttamiskustannukset. Laitetaan siis panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin. Jotta näin voidaan tehdä, tulee henkilötietojen käsittelyn riskejä arvioida huolellisesti.

Edellisen vaiheen pohjalta tulisikin suorittaa seuraavat stepit, joilla riskien arviointi voidaan toteuttaa:

  • Tunnista henkilötietoihin kohdistuvat riskit
  • Analysoi riskien merkitystä, ja mahdollisia seurauksia/vaikuttavuutta
  • Priorisoi, eli valitse vaikuttavuudeltaan merkittävimmät riskit, joille tulee tehdä jotain toimenpiteitä
  • Tunnista ja toteuta riskien käsittelyn vaatimia toimenpiteitä
  • Varaudu reagoimaan ja ota opiksi, jotta voit kehittää toimintaa jatkuvasti

Riskien arviointi tulisikin olla jatkuvaa toimintaa, jolla pyritään alati muuttuvassa toimintaympäristössä ennaltaehkäisemään ei-toivottuja asioita tapahtumasta ja toisaalta reagoimaan, jos jotain ikävää kaikesta huolimatta tapahtuu.

3. Päivitä prosessit ja järjestelmät

Riskien arvioinnin pohjalta pitäisi nyt olla tunnistettuna niitä toimenpiteitä, joilla rekisteröityjen yksityisyyteen kohdistuvia riskejä pystytään pienentämään tai poistamaan. Toimenpiteet tarkoittavat useimmiten vähintään jonkintasoisia päivityksiä henkilötietojen käsittelyn prosesseihin, mutta usein on tarpeen tehdä muutoksia myös käytettyihin tietojärjestelmiin.

Prosessipuolella voi olla tarpeen muuttaa esimerkiksi manuaalisten aineistojen käsittelyä, kuten vaikkapa pöydällä lojuvien paperien siirtäminen lukkojen taakse, tai jätetäänkö tietokone lukitsematta, kun poistutaan työpisteeltä. Järjestelmäpuolella toimenpiteet voivat kohdistua niin tietojärjestelmien pääsynhallinnan kehittämiseen, kuin esimerkiksi tietojen käsittelyyn käytettyjen päätelaitteiden tietoturvan kehittämiseen. Tietoturvatoimenpiteitä voivat olla esimerkiksi vahvojen salasanojen käyttöönotto tai vaikkapa kannettavan tietokoneen kovalevyn salaus.

4. Tarkista sopimukset

Tietosuoja-asetuksen 28. artikla määrää henkilötietojen käsittelijästä. Rekisterinpitäjä saa käyttää vain sellaisia tietojen käsittelijöitä, jotka toteuttavat asianmukaiset tekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely olisi asetuksen mukaista. Lisäksi henkilötietojen käsittelystä tulee laatia kirjallinen sopimus, jossa tulee sopia mm. tietojen käsittelyn ohjeistuksesta, salassapidosta ja käsittelyn turvallisuuden varmistamisesta.

Lisäksi on tärkeä havaita, että myös ne tahot, jotka esimerkiksi tuottavat SaaS-palveluna henkilötietojen käsittelyn järjestelmiä, ovat henkilötietojen käsittelijöitä, vaikka eivät suoranaisesti käsittelytoimenpiteitä suorittaisikaan. Näinollen sopimuksia pitääkin tarkistaa usean eri tahon kanssa. Käytännössä tulee varmistaa, että tietosuoja-asetuksen vaatimukset on huomioitu sopimuksessa.

5. Laita dokumentaatio kuntoon

Tässä kohtaa palataan 5. artiklan kohtaan 2, jossa todetaan, että rekisterinpitäjän pitää pystyä osoittamaan, että asetuksen velvoitteita noudatetaan. Käytännössä osoitusvelvollisuus tarkoittaakin erilaisten henkilötietojen käsittelyyn liittyvien prosessien sekä muiden asetuksen vaatimusten mukaisten toimenpiteiden dokumentointia. Mm. edellämainitut stepit, kuten riskianalyysi, tulee dokumentoida, jotta voidaan osoittaa, että ollaan toteutettu asetuksen vaatimia toimenpiteitä siihen valmistauduttaessa. Lisäksi mm. rekisteröityjen oikeuksien toteuttamiseksi tulee huolehtia mm. läpinäkyvästä informoinnista rekisteröidyille esimerkiksi rekisteriselosteiden muodossa.

Ovatko asetuksen vaatimukset sitten aivan mahdottomia toteuttaa?

Etenkin pienempiä yrityksiä usein kauhistuttaa asetuksen vaatima työmäärä. Turha asiaa on kaunistellakaan; asetus vaatii jokaiselta organisaatiolta panostusta ja toimenpiteitä, jotka voivat olla hyvinkin työläitä. Toisaalta pienemmissä yrityksissä on tyypillisesti suoraviivaisemmat prosessit ja vähemmän erilaisia tietojärjestelmiä käytössä henkilötietojen käsittelyä varten. Lisäksi moni toimenpide on usein sinänsä  “ilmainen”, jos kyseessä on vaikkapa toiminnan muuttaminen, mutta se saattaa tietysti aiheuttaa muutosvastarintaa. Muutosten toteuttaminen tuleekin perustella hyvin; haluammehan kaikki kuitenkin toimia lakien ja asetusten mukaisesti?

Vaikka esimerkiksi käsittelyn turvallisuuteen panostaminen vaatii usein tietoturvan kehittämiseen liittyviä toimenpiteitä ja tämä tuo mahdollisesti “lisävaivaa” jokapäiväisen työn tekemiseen, voidaan kehittämistoimenpiteillä  saada joskus aikaan myös toiminnan tehostamista ja järkevöittämistä. Lisäksi henkilötietojen käsittelyn turvaamisen ohella saadaan usein lopputuloksena kokonaisuutena parempi yrityksen turvallisuusympäristö.