Tietosuojassa ei ole kyse tiedon panttaamisesta, kätkemisestä tai salaamisesta, vaan jostain paljon suuremmasta. Henkilötietojen käsittelyssä olennaista ja kaikkien edun mukaista on se, että asiakkaan tietosuoja ei ole tarpeettoman tiukka eikä liian heikko. Tietosuojassa on kyse myös tietosuojan oikein mitoittamisesta ja toteuttamisesta asiakastietojen käsittelykäytänteissä.
Tietosuojaa on viime aikoina Euroopassa uudistettu. Euroopan unionin (EU) mukaan henkilötietojen suojaa koskevaa sääntelyä oli tarpeen uudistaa ja nykyaikaistaa, koska teknologisen kehityksen ja globalisoitumisen myötä henkilötietoja kerätään yhä enemmän. Korkeatasoisella tietosuojalla voidaankin parantaa luottamusta verkkopalveluihin ja tietosuojaosaamisella hyödyntää digitaalitalouden ja digitalisaation tarjoamia mahdollisuuksia.
Euroopan unionin yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta, EU 2016/679; jäljempänä EU:n yleinen tietosuoja-asetus) tavoitteena on riittävän perusteellisella johdon ja henkilöstön tietosuojaosaamisella lisätä organisaatioiden tuottavuutta ja tehokkuutta sekä saada aikaan kustannussäästöjä. Tämän varmistamiseksi EU:n yleinen tietosuoja-asetus tuo rekisterinpitäjille accountability-periaatteen mukaisen velvoitteen (osoitusvelvollisuuden), jonka mukaan rekisterinpitäjä on kysyttäessä velvollinen osoittamaan ja antamaan näyttöä tietosuojavelvoitteidensa hoitamisesta käytännössä. Keppinä toimii myös valvovan tietosuojaviranomaisen sakotusoikeus. Mikäli velvoitteiden toteutuksessa ja dokumentoinnissa on vakavia puutteita, valvovalla tietosuojaviranomaisella on oikeus ja velvollisuus asetuksessa säädetyissä tilanteissa antaa rekisterinpitäjälle huomattava hallinnollinen sakko.
Lisäksi organisaatioiden toimintaa ohjaavat periaatteet, joiden mukaan tuotanto- ja palveluprosessien tietosuoja on suunniteltava huolellisesti niihin sisäänrakennetusti (data protection by design) ja toteutettava teknisillä ja hallinnollisilla toimenpiteillä jo oletusarvoisesti (data protection by default). Rekisterinpitäjän ja sen lukuun toimivan henkilötietojen käsittelijän välistä suhdetta, velvollisuuksia ja vastuita säädellään EU:n yleisessä tietosuoja-asetuksessa osin uudella tavalla. EU:n yleisessä tietosuoja-asetuksessa määritellyt rekisteröidyn oikeudet vastaavat suurelta osin Suomessa jo aiemmin käytössä ollutta sääntelyä. Henkilöllä tulee jatkossakin olla oikeus esimerkiksi tarkastaa itseään koskevat tiedot. Pääosin niin kuin aiemminkin, rekisterinpitäjän on myös oikaistava virheelliset tiedot ja poistettava esimerkiksi tarpeeton tai vanhentunut henkilötieto. EU:n yleisellä tietosuoja-asetuksella luodaan myös uusia oikeuksia. Rekisteröity voi saada itseään koskevia tietoja sähköisesti, ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen (right to data portability) asetuksen säätämissä tilanteissa.
EU:n yleinen tietosuoja-asetus perustuu riskipohjaiseen lähestymistapaan. Vähäisen riskin toiminta ei aiheuta merkittävää uhkaa rekisteröidyn yksityisyyden suojalle, eduille, oikeuksille tai vapauksille. Asetuksen mukaan korkeamman riskin henkilötietojen käsittely edellyttää organisaatiolta enemmän panostamista teknisiin ja hallinnollisiin toimenpiteisiin riittävän tietosuojan takaamiseksi muun muassa henkilöstön asiakastietojen käsittely- ja tietosuojakäytänteissä.
Tietosuojan tavoitetila voidaan kiteyttää seuraavasti:
• osoita teknisillä ja hallinnollisilla toimilla, että noudatat EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelylainsäädäntöä velvoitteineen
• mitoita ja toteuta tietosuoja oikein asiakastietojen käsittelykäytänteissä -saavutat näin myös lisää tuottavuutta ja tehokkuutta
• hallinnoi riskit -voit välttää valvontaviranomaisen sakot ja muut sanktiot
• lopputuloksena kaikki osapuolet hyötyvät.
Oikein mitoitetun ja toteutetun tietosuojan merkitys
Tietosuoja on parhaimmillaan oikein mitoitettua ja toteutettua asiakastietojen käsittelyä organisaatiossa. Kaikki hyötyvät, kun asiakkaan tietosuoja ei ole tarpeettoman tiukka eikä liian heikko. Tietosuojasta huolehtiminen ja tietojen lainmukainen käsittely tukevat myös luottamuksellisen asiakassuhteen syntymistä. Organisaation koko henkilöstön tietosuojaosaaminen on tuotanto- ja palveluprosessissa tarvittava ”öljy”. Jos henkilöstön tietosuojaosaamisessa on puutteita, tuotanto- ja palveluprosessi on tehoton ja käy osin tyhjäkäynnillä. Oikein toteutettuina johdon tietosuojatyön organisointi, tietosuojavastaavan tietosuojatyö ja koko henkilöstön tietosuojaosaaminen ovat organisaation menestystekijöitä, jotka pienentävät organisaation ja johdon riskejä, parantavat työntekijöiden osaamista ja oikeusturvaa, lisäävät operatiivisen toiminnan tuottavuutta ja tehokkuutta sekä säästävät kustannuksia. Tietosuojaosaamisensa varmistanut organisaatio näyttäytyy ulospäin luotettavana palvelujen antajana ja houkuttelevana yhteistyökumppanina. Tämän kaiken suunnittelussa ja käytännön toteutuksessa osaavalla tietosuojavastaavalla on merkittävä rooli.
Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin. Tieto on arvokas ja ainoa voimakkaasti kasvava tuotannontekijä. Erilaisten tietovarantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle. Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä toiminnan menestymiselle kaikilla aloilla. Näissä kysymyksissä tarvitaan osaavaa tietosuojavastaavaa esimerkiksi hyödyntämään asiakastietojen data-analytiikkaa ja big data -sovelluksia onnistuneesti. Kaikki edellä kuvattu luo organisaatioiden vastaavalle johdolle painetta ajattelutavan muuttamiseen.
Tietosuojan nykytila-arvion ja tavoitetilan välinen kuilu – tietosuojatyön tekemisen tarpeen kartoittaminen
Tietosuojasta ei pidä puhua enää esteenä, vaan muun muassa digitalisaation onnistumisen välttämättömyytenä ja mahdollistajana. Asiakkaan luottamus ja koko henkilöstön tietosuojaosaaminen muodostavat organisaation operatiivisen toiminnan menestystekijän. Jotta asiakkaan luottamuksesta ja henkilöstön tietosuojaosaamisesta voidaan hyötyä käytännössä, organisaation vastaavalta johdolta edellytetään toimenpiteitä. Johdon on tehtävä organisaation henkilötietojen käsittelykäytänteiden ja tietosuojan nykytilan kartoitus ja arvio sen suhteesta tavoitetilaan. Tavoitetilan määrittää voimassa oleva lainsäädäntö eli ennen kaikkea EU:n yleisen tietosuoja-asetuksen asianomaisen organisaation henkilötietojen käsittelyyn kohdistamat riskiperusteiset vaatimukset ja velvoitteet.
Tietosuojatyön organisointi – tietosuojavastaavan ja -ryhmän nimittäminen
EU:n yleisen tietosuoja-asetuksen mukaan tietosuojavastaavan nimittäminen on pakollista julkisella sektorilla, pois lukien tuomioistuimet. Asetus velvoittaa myös yrityksiä nimittämään tietosuojavastaavan, jos yrityksen ydintoiminnassa seurataan henkilötietoja laajassa mitassa tai jos yrityksen ydintoiminnassa käsitellään arkaluontoisia henkilötietoja laajalti. Muulloinkin johto voi nimittää organisaatioonsa tietosuojavastaavan, mikäli katsoo sen tarpeelliseksi esimerkiksi edellä kuvatun tietosuojan nykytila-arvion ja tavoitetilan välisen suuren kuilun umpeen kuromisen takia. Taustalla on EU:n yleisen tietosuoja-asetuksen riskiperusteinen lähestymistapa.
Vaikka organisaation tietosuojan nykytila-arvion perusteella tietosuojatyö organisoitaisiin projektiksi tavoitetilaan pääsemiseksi, tulee tietosuoja- ja tietoturva-asiat muutoin organisoida prosessiksi, jota käytännön työssä toteutetaan hallitusti ja suunnitellusti. Organisoitu tietosuojatyö on yrityksen tuottavuuden ja tehokkuuden kivijalka. Tämä organisointi on johdon vastuulla. Varsinaista organisoitua tietosuojatyötä tekee joko johdon nimittämä tietosuojavastaava ja/tai tehtävää varten perustettu tietosuojaryhmä. Tietosuojatyön organisointi ja varsinainen tietosuojatyö eivät ole itsetarkoitus, vaan ne tähtäävät tuotanto- ja palveluprosessien laadun parantamiseen ja sitä kautta myös tehokkuuden ja tuottavuuden lisäämiseen. Esimerkiksi silloin, jos ei tunneta asianomaisen toimialan lainsäädäntöä riittävästi, ei uskalleta luovuttaa tai muutoin käsitellä tietoja niissäkään tilanteissa, kun siihen olisi oikeus. Tämä pätee esimerkiksi organisaation henkilötietojen käsittelyssä data-analytiikkaan sekä big data- ja open data -sovelluksiin. Tähän tavoitteeseen päästään, kun on varmistettu koko henkilöstön tietosuojaosaaminen ja sitä kautta kyky lailliseen joustavaan asiakastietojen käsittelyyn. Tavoite on parhaiten saavutettavissa hyödyntämällä osaavan tietosuojavastaavan asiantuntemusta ja työpanosta.
Tietosuojavastaavan työnkuva – itsenäinen erityisasiantuntija ja riittävät resurssit
Johdon näkökulmasta organisaation keskeiset riskit kohdistuvat kustannuksiin, sopimuksiin sekä henkilöstön toimintaan. Tietosuojavastaavan näkökulmasta keskeiset riskit kohdistuvat omaan osaamiseen, resursseihin ja jaksamiseen. EU:n yleisen tietosuoja-asetuksen mukaan tietosuojavastaavan työroolin pitää olla itsenäinen erityisasiantuntija. Tietosuojavastaavalle täytyy antaa mahdollisuus kouluttautua ja kehittyä työssään sekä antaa riittävät resurssit organisaation kokoon ja henkilötietojen käsittelyn määrään nähden. Näin ollen johdon tulee varata ja osoittaa tietosuojatyöhön riittävät työaika-, kouluttautumis- ja työvälineresurssit. Operatiivisen toiminnan henkilötietojen käsittelyn pitää olla suunniteltua ja ohjeistettua, ja työntekijät täytyy kouluttaa toimimaan ohjeiden mukaisesti. Kun johto nimeää organisaatiolle tietosuojavastaavan, tulee hänen työtehtävänsä määritellä erikseen kirjallisesti. Tietosuojavastaavan tehtävistä tulee informoida koko henkilöstöä, jotta jokainen työntekijä tietää, kenen puoleen voi kääntyä, jos operatiivinen toiminta ei suju osaamisen puutteen tai henkilötietojen käsittelyn epäselvyyksien takia.
OSAAVA TIETOSUOJAVASTAAVA JA EU:N YLEINEN TIETOSUOJA-ASETUS-KIRJA
Ylläoleva teksti on osa kirjan esipuhetta. Kirjan alussa on kuvattu oikein toteutetun tietosuojan riskiperusteista lähestymistapaa ja tavoitetilaa EU:n yleisen tietosuoja-asetuksen perustan osalta. Kirjassa esitellään tietotilinpäätöstä (sekä tietoturvan ja tietosuojan omavalvontasuunnitelmaa ja sen toteutumista, muun muassa silloin kun osaava tietosuojavastaava niiden avulla käytännössä raportoi organisaation tietosuojan tilasta johdolle. Niitä hyödynnetään organisaation tietosuojavelvoitteiden noudattamisen apuvälineinä myös valvoviin viranomaisiin päin. Kirjassa käsitellään myös osaavan tietosuojavastaavan suhdetta johtoon, henkilöstöön ja ulkopuoliseen asiantuntija-apuun oikein mitoitetun tietosuojan toteuttamiseksi. Johdon ja tietosuojavastaavan välinen suhde tulisi olla molemmin puolin luottamusta herättävä ja toimiva. Organisaation tuottavuuden sekä henkilöstön osaamisen ja jaksamisenkin kannalta osaavan tietosuojavastaavan tulisi toimia henkilöstön tukena, jos operatiivinen toiminta ei suju osaamisen puutteen tai henkilötietojen käsittelyn epäselvyyksien takia.
Tietosuojavastaavankin osaamisen rajat voivat kuitenkin tulla vastaan, jolloin harkittavaksi tulee tarve ulkopuoliseen asiantuntija-apuun. Käytännössä on hyvin mahdollista, että erityisesti sopimusoikeudelliset ja uusimmat tietotekniset kysymykset ovat ongelmallisia kokeneellekin tietosuojavastaavalle. Tällöin aloittelevan ja usein kokeneemmankin tietosuojavastaavan voi olla perusteltua turvautua ulkopuoliseen asiantuntija-apuun, varsinkin jos oman talon sisältä ei riittävää asiantuntemusta löydy. Tämä voi olla myös tietosuojavastaavan työtaakkaan ja jaksamiseen liittyvä asia.
Kirjan lopussa kartoitetaan vielä tietolähteitä, joista osaava tietosuojavastaava saa lisätietoa oman osaamisensa ja ammattitaitonsa ylläpitoon ja kehittämiseen. Kirjan loppuun on liitetty myös EU:n yleisen tietosuoja-asetuksen (EU 2016/679) artikla-osuus. Näin kirja toimii kompaktisti tietosuojavastaavan työkaluna monipuolisissa ja tärkeissä tehtävissä.
Kirjan on kustantanut Tietosanoma Oy (2019) ja sitä on saatavilla kustantajan ja monen muun kirjakaupan verkkokirjakaupoista.
Terveisin: Ari Andreasson, kirjan yksi kirjoittajista