EU:n yleisen tietosuoja-asetuksen (GDPR) voimaantulon maaginen päivämäärä 25.5.2018 on ohitettu ja GDPR-projektit saatu kunnialla maaliin. Organisaatiot ovat dokumentoineet tunnollisesti henkilötiedon käsittelytoimensa ja ajantasaistaneet rekisteriselosteensa tietosuoja-asetuksen vaatimusten mukaisiksi. On myös tarkistettu toimintatavat tietoturvaloukkaustilanteissa ja selvitetty, miten asiakkaiden henkilötietopyyntöihin vastataan asetuksen edellyttämässä aikataulussa. Ja tietosuojavastaavahan – sisäinen tai ulkoistettu – hoitaa loput.
Tietosuojarintamalla voidaan siis tuudittautua hiljaisuuteen – voi voidaanko? Olisiko vielä jotain tekemättä? Onko vain putsattu julkisivu, vai onko tietosuoja oikeasti juurtunut organisaation toimintatavaksi?
Otetaanpa tietoturvaloukkaukset esimerkkitapaukseksi. Olisiko mahdollista rakentaa organisaation toiminta sellaiseksi, ettei tietoturvaloukkauksia edes tapahtuisi? On puhuttu paljon organisaatioille määrättävistä sanktioista, jos ne eivät pysty hoitamaan tietoturvaloukkauksia kunnolla. Kuitenkin sanktioitakin suuremman riskin organisaatioille muodostavat tietoturvaloukkausten aiheuttamat mainehaitat. Todennäköisesti tietoturvaloukkaus kolhisi vakavasti organisaation mainetta ja sen brändejä. Toisaalta hyvin hoidettu henkilötietojen suojaus voi olla jopa markkinointivaltti, jos siitä kerrotaan asiakkaille luottamusta herättävällä tavalla.
Prosessien tietosuojasta ei voi tinkiä
Organisaatio ei voi täysipainoisesti toteuttaa tietosuojavaatimuksia tai yksityisyyden suojaa, jos henkilötietojen käsittely sen prosesseissa ei ole kunnossa. Organisaation tulee parantaa tietosuojavaatimusten toteuttamista henkilötietojen käsittelyssä – eli tietosuojaistaa prosessit. Tietosuojaan liittyvät sekä tietosuojalle spesifit ydinprosessit että kaikki liiketoiminta- ja tukiprosessit, joissa henkilötietoja käsitellään. Tietosuojavaatimusten toteutumista parannetaan tietosuojaistamalla nämä prosessit.
Prosessien tietosuojaistamisessa tavoitteena on osallistaa kaikki parantamaan päivittäisen tekemisen tietosuojaa.
Tietosuojan ydinprosessit
Ydinprosessit tarvitaan tietosuoja-asetuksessa määriteltyjen tiettyjen vaatimusten täyttämiseksi. Näitä ovat muun muassa rekisteröidyn oikeuksien, kuten tietojen tarkastus- ja poisto-oikeuden toteuttaminen, tietoturvaloukkausten käsittely ja tietosuojan vaikutustenarviointien (DPIA) laatiminen tarvittaessa. Jollei organisaatiolla ollut tällaisia tietosuojan ydinprosesseja ennestään, sellaiset on pitänyt luoda GDPR:n vuoksi. Prosessien ensimmäisissä versioissa saattaa kuitenkin olla tehostamisen varaa.
Liiketoiminta- ja tukiprosessien tietosuojaistaminen
Liiketoiminta- ja tukiprosesseissa on kyse organisaation normaalin liiketoiminnan pyörittämisestä. Tietosuojan tulee toteutua kaikessa toiminnassa, asiakaspalvelusta kerrossiivoojiin ja liiketoiminta-analyytikoista HR-tiimeihin. Tulee myös ottaa huomioon kaikki henkilötiedon käsittelytavat, oli sitten kyse paperisista tulosteista tai satunnaisista Exceleistä aina isojen järjestelmien ja pilvipalvelujen syövereihin asti.
Useimmiten kyse ei ole siitä, että organisaatiossa henkilötietoja käsiteltäisiin tahallaan asiattomasti tai huolimattomasti, mutta tietosuoja-asetuksen myötä vaatimustaso on noussut. Organisaatioiden on noudatettava asetuksessa määriteltyjä periaatteita, kuten henkilötietojen käsittelyn minimointia: ainoastaan tarpeellisia tietoja saa käsitellä ja säilyttää. Henkilötietojen keräämistä ei välttämättä ole ajateltu tältä kannalta, vaan tietoja on tallennettu varmuuden vuoksi tai mahdollisia tulevia tarpeita varten.
Prosessien tietosuojaistamisessa tarkistetaan prosessien kunto, jotta mahdolliset tietosuojalöydökset voidaan korjata ja tietosuojan tasoa parantaa.
Jos tietojärjestelmät eivät täysipainoisesti tue työntekijöiden tarpeita, henkilötietoja saatetaan päätyä tallentamaan omiin dokumentteihin ja erilaisiin paperiarkistoihin. Tällaiset toimintatavat voivat jopa lisätä tietoturvaloukkausten riskiä.
Prosessien läpikäynti on tärkeää, koska tietosuoja-asetuksen myötä organisaatioiden on paitsi tiedettävä ja dokumentoitava tarkemmin henkilötietojen käsittelynsä, myös varmistettava niin sanotun sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen kaikessa toiminnassaan.
Sisäänrakennettu ja oletusarvoinen tietosuoja saadaan asetuksen mukaan aikaan ”teknisillä ja organisatorisilla toimenpiteillä”. Teknisissä toimenpiteissä käytetään hyväksi teknologisia ratkaisuja esimerkiksi tietoturvassa ja sovelluksissa. Organisatorisilla toimenpiteillä huolehditaan, että henkilökunnalle on määritelty roolit, vastuut, toimintaprosessit, koulutukset ja ohjeistukset, jotka mahdollistavat henkilötietojen riittävän suojaamisen.
Prosessien tietosuojaistamisessa tarkistetaan prosessien kunto, jotta mahdolliset tietosuojalöydökset voidaan korjata ja tietosuojan tasoa parantaa, esimerkiksi edellä mainituilla toimenpiteillä.
Onnistunut tietosuoja rakentuu organisaatiossa ”meidän ylpeyden aiheeksi”
Tietosuoja on ehdottomasti asia, jota ei voi sysätä vain tietosuojavastaavan tai tietosuojatiimin vastuulle. Onnistunut tietosuoja on rakennettu organisaatiossa kaikkien asiaksi, ”meidän ylpeyden aiheeksi”. Se on toimintatapa ja toimintakulttuuri, joka on ulotettu organisaation kaikkiin prosesseihin, joissa henkilötietoja käsitellään.
Tietosuojan ytimessä onkin kaikkien ihmisten asenne kohdella toisten ihmisten henkilötietoja eli omaisuutta kunnioituksella ja huolellisesti. Tietosuoja on jatkuvaa toimintaa, joka vaatii kehitystä ja ylläpitoa myös 25.5.2018 jälkeisenä aikana. Nyt on aika kammata prosessit ja toimintatavat läpi ja kehittää todellista tietosuojakulttuuria.
Tarvitsetko sparrausta organisaatiosi tietosuojaan? Tutustu tietosuojapalveluihimme täältä.
Kirjoittajat:
Tanja Koikkalainen (työskenteli Loihde Advancella syksyyn 2018)
Leea Koskinen
