Miten otan tietosuoja-asetuksen haltuun?

Kuten me (monen muun tavoin) kerroimme viime perjantaina, Euroopan unionin yleinen tietosuoja-asetus eli GDPR on tullut kaikkia velvoittavaksi. Sen myötä noudattamatta jättämisellä voi olla seurauksia. Jos kaikki asiat ovat tarkastuksen tullessa täysin levällään, voi sanktio olla ankarakin. Toisaalta taas jos tietosuoja-asetus on pyritty ottamaan asianmukaisesti huomioon, pienet erheet saa luultavasti anteeksi tai selviää pienin moittein. Nyt onkin yhdestoista hetki tarttua toimeen ja ryhtyä noudattamaan GDPR:n vaatimuksia.

Mitä oikein pitää tehdä?

Tietosuoja-asetus on monipuolinen lainsäädäntökokonaisuus, josta ei välttämättä saa heti otetta.

Tärkein ja kiireisin konkreettinen toimenpide, johon on ryhdyttävä, on arvioida ja tarvittaessa päivittää henkilötietojen käsittelyä ja tietosuojaa koskevat käytännöt ja toimintatavat asetuksen mukaisiksi. Tämä tarkoittaa ennen kaikkea suunnitelmallisuutta, seurantaa ja riittävää tietoturvan tasoa, kuten pääsyoikeuksien kontrollointia, ja rekisteröityjen oikeuksien asianmukaista huomioimista. Puute papereissa on paljon pienempi synti kuin puute konkreettisissa toimintatavoissa.

Asetuksen suomalaisittain hieman erikoinen piirre on, että pelkästään oikein toimiminen ei riitä: se pitää myös pystyä koska tahansa osoittamaan. Tämän dokumentaatiovelvollisuuden sisältö ja laajuus ei ole asetuksen perusteella täysin selvää, ja käytäntö tulee osoittamaan tarvittavan aineiston määrän. Tiedämme kuitenkin suurin piirtein, millaisia asioita rekisterinpitäjän on huomioitava.

Puhdepaperityötä tiedossa?

Dokumentoinnissa on huomioitava kolme näkökulmaa.

Ensinnäkin on huomioitava rekisteröidyille annettava informaatio, joka tulee antaa kaikille rekisteröidyille, esimerkiksi kaikille asiakasrekisteriin kirjatuille luonnollisille henkilöille (myös silloin, kun he ovat vaikkapa B2B-asiakkaan yhteyshenkilöitä).

Toiseksi on ajantasaistettava yrityksen sisäinen dokumentaatio.  Siitä käy ilmi henkilötietojen (suunnitellut ja konkreettiset) käsittelytavat ja -periaatteet, jotka on myös koulutettava henkilökunnalle. Siinä on myös kuvattava tekniset ja muut järjestelyt, jotka henkilötietojen käsittelyyn vaikuttavat, jotta esimerkiksi riittävä suojauksen taso voidaan myöhemmin osoittaa. Jos talossa on vain yrittäjä itse, on dokumentaatio silti koottava ja henkilötietojen käsittely suunniteltava, sillä viranomaiset voivat vaatia asiakirjat nähtävilleen verotarkastustyylisesti.

Kolmanneksi on tarkastettava, että henkilötiedoista on sovittu asianmukaisesti. Tämä näkyy toisaalta rekisteröityjen ja toisaalta alihankkijoiden ym. sopimuskumppanien suuntaan. Jos henkilötietojen käsittely perustuu rekisteröityjen suostumukseen (mitä ei kuitenkaan, vastoin yleistä luuloa, aina vaadita), on tuo suostumus kyettävä todentamaan ja osoittamaan. Toisaalta on huolehdittava sopimusten ajantasaisuudesta kaikkien niiden tahojen kanssa, jotka käsittelijöinä käsittelevät henkilötietoja taikka joille henkilötietoja varsinaisesti luovutetaan. Tietosuoja-asetus edellyttää, että henkilötietojen käsittelystä on aina sovittava, ja sopimuksessa on otettava erityisesti huomioon tietyt nimenomaiset seikat.

Eli siis mitä?

Aloita tutustumalla asetuksen perussisältöön. Kaikkea ei tarvitse osata (juristit auttavat siinä), mutta perusperiaatteet ja yleiset säännöt on hyvä tuntea. Tutustu sivuihimme ja tietosuoja.pro-sivustoomme.

Kartoita käsiteltävät henkilötiedot. Mitä henkilötietoja eri yhteyksissä käsitellään? Asiakasrekisteri on ilmeinen henkilötietojen sijoituspaikka, mutta missä muissa järjestelmissänne henkilötietoja käsitellään? GDPR koskee kaikkea automaattista henkilötietojen käsittelyä, olipa kyse rekisteristä tai ei, sekä sellaista muutakin käsittelyä, jossa muodostuu käytännössä rekisteri tai sen osa. Usein henkilötietoja on esimerkiksi tulosteina työntekijöillä, erilaisissa toimitus- ja toiminnanohjausjärjestelmissä, hr-järjestelmissä ja palkanlaskijalla, yrityksen puhelinluetteloissa ja niin edelleen. Muista, että myös pelkkä säilyttäminen on asetuksen mielessä käsittelyä.

Kun henkilötiedot on kartoitettu, ne on dokumentoitava. Itse tietotyypin ohella on määritettävä tietolajeittain ainakin millä perusteella ja mitä tarkoitusta varten niitä käsitellään, mistä tietoja saadaan sekä erityisesti tiedon elinkaari, eli käytännössä kauanko tietoja säilytetään.

Kun henkilötiedoista on selvyys, on suunniteltava ja dokumentoitava käsittelytavat ja sitä koskevat prosessit. Tekniikka ja tietoturva on hyvä huomioida. Kun henkilötiedot ja niitä koskevat käytännöt saa dokumentoitua, vaatimuksenmukaisuuden osoittaminen on pitkällä.

Toinen puoli on rekisteröidyn oikeuksien huomioiminen. Näidenkin pohja rakentuu henkilötietojen kartoittamiselle. Tiedonantovelvoitteiden täyttämiseksi helppo, joskaan ei kaikenkattava, tapa on laatia aikaan sopiva tietosuojaseloste. Teknisesti ja muutoinkin on mietittävä myös muiden oikeuksien toteuttaminen: Miten saadaan tarkastusoikeuttaan käyttävälle henkilötiedot tulostettua järjestelmistä, miten varmennetaan kysyjän henkilöllisyys ja niin edelleen. Käytännössä nämä ovat pitkälti teknisiä kysymyksiä, joiden vastaus riippuu käytetyistä järjestelmistä ja henkilötietojen sijaintipaikoista. Useimmat ohjelmistovalmistajat ovat jo huomioineet tietosuoja-asetuksen vaikutuksen ja tarjoavat työkalut rekisteröidyn oikeuksien toteuttamiseen.

Tietosuoja-asetus edellyttää siis runsaasti työtä, jotta henkilötietojen käsittely ja sitä koskeva dokumentaatio saadaan lainmukaiselle tasolle. Lisäksi pitää muistaa, että kysymyksessä ei ole kertaluonteinen operaatio, vaan menettelytapoja tulee seurata ja kehittää sekä pitää dokumentaatio ajantasaisena liiketoiminnan edelleen kehittyessä.

Jos olet epävarma urakkaan ryhtymisestä tai lopputulosten asianmukaisuudesta, ota yhteyttä. Autamme tarvittaessa mielellämme, jotta tietosuojakysymysten jälkeen voit jälleen keskittyä paremmin liiketoimintaan!