back

Pystytkö osoittamaan, että henkilötietojen käsittelyssä noudatetaan EU:n yleistä tietosuoja-asetusta?

EU:n yleinen tietosuoja-asetus eli GDPR, edellyttää jokaista organisaatiota toteuttamaan toimenpiteitä, joilla voidaan osoittaa, että henkilötietojen käsittelyssä noudatetaan GDPR:n vaatimuksia. Tämän osoitusvelvollisuuden myötä rekisterinpitäjien on pystyttävä muun muassa osoittamaan, että

 

  • Rekisteröidyt ymmärtävät, kuinka heidän henkilötietojaan käsitellään,
  • Kaikki henkilötietojen käyttötarkoitukset on etukäteen yksilöity, eikä henkilötietoja käsitellä keräyshetkellä määritettyjen käyttötarkoitusten kanssa yhteensopimattomalla tavalla,
  • Käsiteltävät henkilötiedot rajoittuvat siihen, mikä on todella tarpeellista kunkin käyttötarkoituksen toteuttamiseksi,
  • Eri henkilötiedoille on määritetty säilytysajat ja että henkilötiedot todella poistetaan käyttötarkoitusten toteuttamisen jälkeen

 

Tietosuojavaltuutetun toimisto on listannut sivuillaan erilaista dokumentaatiota, jota jokaiselta organisaatiolta tulisi löytyä. Me PrivacyAntillä olemme perustamisestamme lähtien auditoineet erilaisia yrityksiä ja toteuttaneet lukuisia tietosuojan vaikutustenarviointeja erilaisiin tuotteisiin, palveluihin ja prosesseihin.

 

Monelta organisaatiolta löytyy lähtökohtaisesti iso pino Tietosuojavaltuutetun toimiston odottamia dokumentteja, mutta monesti ongelmat liittyvät siihen, kuinka hyvin näiden dokumenttien sisältö vastaa niitä henkilötietojen käsittelytoimia, joita organisaatiossa tehdään. Alle olemme listanneet usein toistuvia ongelmia osoitusvelvollisuutta varten laaditun dokumentaation suhteen.

 

1. Dokumentaation ajantasaisuus ja tietosuojatyön säännöllisyys

 

Kun GDPR tuli sovellettavaksi vuonna 2018, tuli monelle organisaatiolle melkoinen hoppu. Tällöin laadittu dokumentaatio on monesti tuotettu melkoisella kiireellä ja lopputuloksena on usein kovin sekalainen joukko erilaisia excel -tiedostoja.

 

Kevään 2018 jälkeen oli aikaa hengähtää ja jäädä seuraamaan, kuinka valvontaviranomaiset ryhtyvät soveltamaan GDPR:ää. Tämä hengähdystauko näyttää jatkuneen vielä tähänkin päivään saakka.

 

Liiketoiminta ei ole kuitenkaan pysähtynyt tässä välissä, vaan on mennyt kovaa vauhtia eteenpäin. On hankittu uusia järjestelmiä markkinoinnin automaatioon sekä ryhdytty keräämään henkilötietoja täysin uusilla tavoilla.

 

Usein isoilla resursseilla tuotettua tietosuojadokumentaatiota ei ole muistettu kuitenkaan pitää ajantasaisena. Toisilla se on päässyt vanhentumaan niin, ettei sitä edes kannata lähteä päivittämään, vaan se kannattaa laatia kokonaan uudelleen.

 

Vertaamme auditoinneissamme tunnistettuja henkilötietojen käsittelytarkoituksia tai kolmansia osapuolia aina laadittuun tietosuojadokumentaatioon. Puutteet dokumentaatiossa kertoo usein siitä, että tietosuojatyö organisaatiossa ei ole jatkuvaa, mitä GDPR:ssä edellytetään.

 

2. Henkilötietojen käsittelytoimia ei tunneta

 

Henkilötietojen käsittelytoimet on monesti kuvattu erilaisiin excel -tiedostoihin. Moni organisaatio kykenee, ainakin ylätasoisesti, osoittamaan millaisiin tarkoituksiin se henkilötietoja käsittelee.

 

Harva kuitenkaan pystyy osoittamaan, kuinka henkilötietoja tosiasiassa käsitellään. Esimerkiksi "markkinointi" henkilötietojen käyttötarkoituksena näyttää kovinkin erilaiselta excel -tiedoston rivillä verrattuna dokumentaatioon, jossa erilaiset markkinointitoimen piteet on kuvattu esimerkiksi tietovirtakaavioin tai prosessikaavioin.

 

Kun käyttötarkoituksia lähdetään dokumentoimaan yhdellä lauseella, käy useimmiten niin, ettei kaikkia henkilötietojen käsittelyyn osallistuvia IT-järjestelmiä tai kumppaneita tunnisteta. Käyttötarkoitusten dokumentoinnissa pätee ikivanha sanonta "kuva kertoo enemmän kuin 1000 sanaa".

 

3. Riskiarvioinnit perustuvat todellisuuden sijasta oletuksiin

 

GDPR Artiklan 32 mukaan organisaatioiden on toteutettava 'riskiä vastaavan' turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet suojatakseen henkilötiedot luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

 

Ensinnäkin riskiarvioinnit on laadittu usein organisaation näkökulmasta unohtaen GDPR:n edellyttämän rekisteröidyn näkökulman kokonaan. Kun sitten jotain sattuukin, organisaatio ei tällaisen dokumentaation avulla kykene osoittamaan, että vallinnut tietoturvallisuuden taso olisi mitoitettu oikein rekisteröidyille aiheutuvien riskien näkökulmasta.

 

Toisekseen, riskiarviointeja on saatettu tehdä "käyttötarkoituksen näkökulmasta". Tässä ei ole sinänsä mitään väärää, mutta merkittävä osa GPDR:n tarkoittamista rekisteröidyille aiheutuvista riskeistä ei välttämättä johdu itse käyttötarkoituksesta vaan nimenomaan siitä, miten käyttötarkoitus toteutetaan.

 

Kyse on siis käsittelyyn käytetyistä menetelmistä, jotka ylempänä mainitun 2. kohdan perusteella ei tunneta / niitä ei ole dokumentoitu. Toisiin käyttötarkoituksiin liittyy riskiä jo käyttötarkoituksen nimen perusteella. Esimerkiksi automaattinen päätöksenteko sisältää usein tällaisia riskejä.

 

Entä muut henkilötietojen käyttötarkoitukset? Kovin usein törmäämme väittämiin, että eihän rekrytoinnissa tai markkinoinnissa ole mitään tietosuojariskejä. Nämä väittämät voidaan kuitenkin kumota kuvaamalla kuinka nämä käyttötarkoitukset tosiasiassa tehdään.

 

Ei ole harvinaista, että nykypäivän rekrytoinnissa hyödynnetään useita kolmansia osapuolia, useita IT-järjestelmiä, alustoja tai jopa videohaastattelutyökaluja. Näiden käytön myötä kertyvä tieto on monesti kaukana siitä, mitä excel -tiedoston rivillä kohdassa "rekrytonti" on kerrottu käsiteltävän.

 

Ei ole myöskään tavatonta, että näinkin yksinkertaisen käyttötarkoituksen kohdalla henkilötietoja siirtyy Yhdysvaltoihin tai että nämä kolmannet osapuolet varaavat itselleen oikeuksia hyödyntää kertynyttä henkilötietoja omiin tarkoituksiinsa.

 

Kaikkiin edellä mainittuihin liittyy riskejä, jotka tulisi ottaa huomioon dokumentaatiossa. Nykyajan markkinointi on tietosuojan tulokulmasta niin laaja aihe, että se vaatii erillisen kirjoituksen.

 

4. Tietosuojaselosteet eivät vastaa todellisuutta

 

Kuvitellaan tilannetta, jossa henkilötietojen käsittelytoimiin käytettyjä menetelmiä ei ole dokumentoitu. Kaikkia IT-järjestelmiä tai käsittelyyn liittyviä kolmansia osapuolia ei olla tunnistettu. Kuinka tällaisessa tilanteessa rekisteröityjä edes pystyttäisiin informoimaan henkilötietojen siirroista kolmansiin maihin, henkilötietojen vastaanottajista tai henkilötietojen todellisista säilytysajoista? Käytännössä ei mitenkään.

 

On kuitenkin ymmärrettävää, että tietosuojaselosteen ollessa käytännössä organisaation näkyvin tietosuojaan liittyvä dokumentti, se on yksinkertaisesti vain väännetty kuntoon ennen 25.5.2018.

 

Osoitusvelvollisuus kuntoon PrivacyAnt Softwarella

 

PrivacyAnt Software on kehitetty nimenomaan GDPR:n osoitusvelvollisuuden näkökulmasta. On totta, että viiden minuutin klikkailu PrivacyAnt Softwarella ei riitä täydellisen tietosuojadokumentaation tuottamiseen. Oikeaoppisesti laadittu tietosuojadokumentaatio edellyttää henkilötietojen käsittelytoimiin käytettyjen menetelmien selvittämistä. Tämä ei onnistu hetkessä, mutta tehty työ palkitsee lopussa.

 

Kyllähän kirjanpitokin perustuu usein (toivottavasti) täydelliseen ymmärrykseen rahaliikenteestä. Kun rahaliikenne on ymmärretty ja dokumentoitu oikein, myös tilinpäätös perustuu oikeaan tietoon. Sama pätee tietosuojassa. Kun ymmärrät ja dokumentoit kuinka henkilötietoja tosiasiassa käsitellään, perustuu myös Artiklan 30 vaatima seloste käsittelytoimista oikeisiin faktoihin. Juuri tähän PrivacyAnt Software tuo apua.

 

PrivacyAnt Softwaren avulla saat ymmärryksen henkilötietojen käsittelytoimista organisaatio- sekä yksikkötasolla. Näet yhden näkymän kautta, millaisia henkilötietojen käsittelytoimia organisaatiossasi tehdään sekä millaisia uusia henkilötietojen käsittelyyn liittyviä projekteja tai hankkeita on vireillä.

 

 

Kun kokonaiskuva alkaa hahmottua, pääset syventymään erilaisiin käsittelytoimiin todella yksityiskohtaisesti. Sen sijaan, että tiedät mihin tarkoituksiin henkilötietoja käsitellään, saat ymmärryksen miten henkilötietojen käsittely tosiasiassa suoritetaan. Kykenet käytännössä osoittamaan valvontaviranomaiselle, mitä henkilötietotyyppejä eri järjestelmien välillä liikkuu käyttötarkoituksittain.

 

 

Tarjoamme tietosuojaa myös jatkuvana palveluna

 

Tarjoamme asiakkaillemme tietosuojaa nyt myös jatkuvana palveluna. Dokumentoimme tarvittaessa henkilötietojen käsittelytoimet ja muun osoitusvelvollisuuteen liittyvän dokumentaation kätevästi PrivacyAnt Softwareen ja pidämme sen ajantasaisena.

 

Tuomme pöytään myös vuosien kokemuksen 'tietosuojakentältä', kerromme mitä tietosuojassa tapahtuu ja kuinka erilaisiin viranomaisratkaisuihin ympäri Eurooppaa tulisi reagoida. Autamme tehtävien priorisoinnissa riskien mukaisesti ja järjestämme henkilöstöllenne heidän työtään vastaavaa koulutusta. 

 

Ennen kaikkea pyrimme siihen, että tietosuojan osaamistaso organisaatiossanne nousee ja tietosuojasta tulee GDPR:n edellyttämällä tavalla säännöllistä ja jatkuvaa.

 

Ota yhteyttä jättämällä yhteystietosi alle. Kerromme mielellämme lisää myös muista tietosuojaan liittyvistä palveluistamme.