GDPR on edelleen monelle vieras

EU:n yleinen tietosuoja-asetus GDPR velvoittaa kaikkia organisaatioita, jotka ylläpitävät ja käsittelevät henkilötietoja. EU:n sisäisen säätelyn lisäksi asetus koskee toimijoita, jotka tallentavat tai muuten käsittelevät EU-kansalaisten henkilötietoja Euroopan unionin ulkopuolelle.

Tietosuoja-asetuksen tavoitteena on vahvistaa EU:ssa asuvien kansalaisten oikeuksia omiin henkilötietoihinsa, ja se myös helpottaa yritysten liiketoimintaa yhtenäistämällä EU-maiden sääntelyä.

Advisory Senior Manager Päivi Indola on työnsä puolesta seurannut suomalaisten organisaatioiden valmistautumista tietosuoja-asetuksen mukaiseen toimintaan. Konsulttiyritys KPMG:n kyberturvapalveluissa tietosuojatiimiä vetävän Indolan mukaan yritysten toimintatavoissa ja valmiuksissa on suuria eroja.

Esimerkiksi vastuu tietosuoja-asioista on voitu ulkoistaa tai antaa oman lakiosaston, tietohallinnon tai Compliance-tiimin hoidettavaksi. Harmillisen monissa yrityksissä tietosuojasta ei vastaa kunnolla kukaan.

Harmillisen monissa yrityksissä tietosuojasta ei vastaa kunnolla kukaan.

– Lukuisilla organisaatioilla, toimialasta tai yrityskoosta riippumatta, olisi enemmän tai vähemmän parannettavaa. Monelle yritykselle on yllätys, että tietosuoja-asetus koskee asiakasrekisterien ohella kaikkia yrityksen sidosryhmärekistereitä. Osa organisaatioista ei ole edes kuullut tietosuoja-asetuksesta ja toisissa asian hoitamiseen ei haluta satsata resursseja, Indola kertoo.

Indolan mielestä pisimmällä tietosuojakysymyksissä ovat suurten tietomäärien käsittelyyn ja Compliance-prosesseihin tottuneet organisaatiot, joiden asiakaskunta koostuu lähinnä kuluttajista. Oleellisinta kuitenkin on, että organisaation johto on sitoutunut tietosuojatyöhön.

Monet pörssiyhtiöt ovat jopa teettäneet tietosuojaprosessilleen ulkopuolisen auditoinnin.

Erityisesti pörssiyritykset ovat vahvoilla. Ne ovat tottuneet jatkuvaan itsekontrolliin ja läpinäkyvään tiedottamiseen. Monet pörssiyhtiöt ovat jopa teettäneet tietosuojaprosessilleen ulkopuolisen auditoinnin.

– Ei riitä, että organisaation sisäinen prosessi on kunnossa. On myös varmistettava sopimuksin, että yhteistyökumppanien, kuten tietojärjestelmätoimittajien ja turvallisuuspalveluyritysten, tietosuoja on kunnossa, Indola sanoo.

Kompurointia tiedon elinkaaressa

Indolan mukaan tietosuoja-asetuksen noudattamisen kannalta keskeisessä roolissa on tiedon elinkaaren hallinta eli miten tietoja kerätään, tallennetaan, käytetään ja hävitetään. Monet organisaatiot kompastelevat erityisesti tietojen hävityksessä.

– Yritykset hamstraavat usein tietoa turhaan. Tietosuoja-asetus kuitenkin edellyttää, että datan keräämiselle ja säilyttämiselle on hyväksyttävä syy. Tiedot on hävitettävä, kun niitä ei enää tarvita, Indola sanoo.

Oman haasteensa tietosuojaan tuovat yksittäisten työntekijöiden omaan käyttöönsä tekemät rekisterit. Esimerkiksi esimiehet voivat kopioida yrityksen virallisista rekistereistä henkilötietoja ja muodostaa niistä omia tiedostoja vaikkapa rekrytoinnin tai palkitsemisen tueksi. Monesti näitä ei edes mielletä rekistereiksi.

Esimerkiksi esimiehet voivat kopioida yrityksen rekistereistä henkilötietoja ja muodostaa niistä omia tiedostoja. Monesti näitä ei edes mielletä rekistereiksi, vaikka pitäisi.

– Kun rekisterin tietoaines pysyy organisaation virallisen järjestelmän sisällä, sen oikeellinen käsittely on automatisoitavissa. Syntyy tietosuojariski, kun rekisterin osia siirretään erillisiin tiedostoihin. Jos tällaisia käytetään, niiden käyttö pitäisi organisaatiossa ohjeistaa tarkasti.

Toisena tietosuojan kompastuskivenä Indola näkee todellisten henkilötietojen käyttämisen IT-järjestelmien testauksessa. Kun tieto on tunnistettavissa ja asiakkaaseen liitettävissä, testijärjestelmää tulisi käsitellä henkilörekisterien tavoin. Näin tapahtuu harvoin.

Testidatan henkilötiedot tulisi lähtökohtaisesti anonymisoida.

– Henkilötietoja pääsevät katselemaan esimerkiksi yrityksen IT-kumppanin työntekijät, joilla ei pitäisi olla niihin pääsyä. Tuotantodatan käyttö tällaisiin tarkoituksiin on lähtökohtaisesti kiellettyä, jos sille ei ole erityistä käsittelyperustetta. Testidatan henkilötiedot tulisikin lähtökohtaisesti anonymisoida. Siitä toki syntyy lisäkuluja.

Ontuvaa tiedottamista

Indola näkee puutteita reilu vuosi sitten voimaan tulleen tietosuoja-asetuksen tiedottamisessa. Keväällä 2018 GDPR:stä viestittiin runsaasti. Tiedotustyö loppui kuitenkin kuin seinään asetuksen soveltamisen alkaessa. Tämä herätti kummastusta GDPR:n eteen uurastaneissa organisaatioissa. Monille tuli tunne, että tietosuojatyön aikataulua oli mahdollista väljentää.

Indola uskoo, että keskeinen syy mediahiljaisuuteen oli kansallisen tietosuojalain viivästyminen. Lain piti tulla voimaan samanaikaisesti asetuksen kanssa, mutta se otettiin käyttöön vasta tämän vuoden alussa.

– Kansallisessa laissa määrätään muun muassa tietosuojavaltuutetun toiminnasta. Ennen vuodenvaihdetta valtuutetulla ei käytännössä ollut vielä tietosuoja-asetuksen mukaista toimivaltaa ja valvontaoikeutta. Tietosuojavaltuutetun toimisto käsitteli kyllä tietovuotoja ja henkilötietojen loukkauksia koskevia ilmoituksia, mutta toiminta tapahtui kulisseissa. Julkinen tiedottaminen vilkastui vasta vuodenvaihteessa, Indola sanoo.

Suomen tietosuojavaltuutettu voi rangaista rekisteriä pitävää yritystä tietosuojarikkomuksesta jopa 20 miljoonan euron sakkorangaistuksella. Julkisen sektorin organisaatiolle sakkorangaistusta ei voi antaa.

Tietosuojavaltuutettu Reijo Aarnio on kuitenkin aiemmin todennut, että sakkoihin turvaudutaan vain ääritilanteissa. Ensisijaisesti tietosuojaa pyritään parantamaan neuvonnan keinoin ja tarvittaessa huomautuksin.

Sakkoihin turvaudutaan vain ääritilanteissa.

Suomessa sakkoa ei toistaiseksi olekaan otettu käyttöön. Eräälle suomalaiselle pikavippifirmalle tietosuojavaltuutettu on kuitenkin antanut muistutuksen puutteellisesta tietosuojaselosteesta.

– Muissa EU- ja ETA-maissa tilanne on toinen. Ääriesimerkkinä voidaan pitää Isoa-Britanniaa, jossa ICO (Information Comission Bureau) on harkinnut British Airwaysille 183 miljoonan punnan sakon antamista henkilötietojen leväperäisestä käsittelystä ja Marriot-hotelliketjulle 99 miljoonan punnan sakkoa vierailukäyntitietojen huonosta tietoturvasta. Yritykset voivat antaa vielä vastineensa ennen sakkojen toimeenpanoa.

Uusi tietosuoja-asetus on selkiyttänyt yritysten toimintakenttää, mutta tietosuojan haasteena ovat edelleen monisyiset digiympäristöt ja rekisterit, joita erilaiset sähköiset palvelut keräävät netin käyttäjistä.

– Yksilöitävissä oleva IP-osoite on epäsuora henkilötieto, joka kuuluu tietosuojan piiriin. Tästä on kuitenkin erilaisia näkemyksiä, ja yritysten käytännöt ovat aika villejä. On esimerkiksi vaikeaa tietää, millaisia rekisteritietoja ja minkälaiseen käyttöön organisaatioiden nettisivuille asennetut analytiikkaohjelmat keräävät ja mihin tiedot lopulta päätyvät. Entä miten eri lähteistä kerättyä tietoa yhdistellään ja kerätään erilaisiin tietopankkeihin? EU:ssa valmisteilla olevan ePrivacy-asetuksen toivotaan tuovan asiaan selvyyttä.

Tietosuoja vaatii jatkuvaa kehittämistä

Indola muistuttaa, että GDPR:ää koskevaa työtä ei tule pitää projektiluontoisena. Ei riitä, että organisaatiolle luodaan tietosuoja-asetuksen vaatimukset täyttävä prosessi. Prosessi on saatava linkitettyä oleelliseksi osaksi yrityksen arkea.

GDPR:ää koskevaa työtä ei tule pitää projektiluontoisena.

– Tietosuojakysymyksiä on nostettava organisaatiossa säännöllisesti esiin, tietosuojavaltuutetun päivittyviä ohjeistuksia on seurattava ja sisäisiä käytäntöjä kehitettävä. Monilla organisaatioilla onkin käytössä tietosuojan vuosikello, joka rytmittää prosessia ja varmistaa, että oleelliset toimenpiteet tulevat vuoden aikana tehdyiksi. On oleellisen tärkeää, että tietosuojasta vastaavilla henkilöillä on tosiasiallinen mahdollisuus allokoida työaikaansa näiden asioiden hoitoon ja myös mahdollisuus osallistaa muita työntekijöitä tehtävien hoitamiseen, Indola sanoo.

Lisää aiheesta

EU:n yleisestä tietosuoja-asetuksesta ja kansallisesta tietosuojalaista löytyy hyvin perustietoa. Vastauksia yleisimpiin kysymyksiin on julkaistu Suomen tietosuojavaltuutetun toimiston verkkosivuilla. Hyviä ja luotettavia lähteitä ovat myös Ison-Britannian, Ranskan, Irlannin ja Luxemburgin tietosuojaviranomaisten verkkosivut.

Kirjallisuutta

Päivi Korpisaari, Olli Pitkänen, Eija Warma-Lehtinen: Uusi tietosuojalainsäädäntö (AlmaTalent 2018)

Mikko Nyyssölä: Yksityisyyden suoja työsuhteessa (AlmaTalent 2018)

Riku Neuvonen: Viestintä- ja informaatio-oikeuden perusteet 2. uudistettu painos (Kauppakamari 2019)

Elina Koivumäki, Petteri Häkkänen: Markkinointijuridiikka (Kauppakamari 2018)