Mistä tietosuojassa ja tietosuojatyössä on kyse?

Tietosuojassa ei ole kyse tiedon panttaamisesta, kätkemisestä tai salaamisesta, vaan jostain paljon suuremmasta. Henkilötietojen käsittelyssä olennaista ja kaikkien edun mukaista on se, että asiakkaan tietosuoja ei ole tarpeettoman tiukka eikä liian heikko. Tietosuojassa on kyse myös tietosuojan oikein mitoittamisesta ja toteuttamisesta asiakastietojen käsittelykäytänteissä.

Tietosuoja on minusta:

  • Henkilötietojen oikeaoppista käsittelyä
  • Digitalisaation mahdollistaja
  • Menestystekijä ml. hyvä imago
  • Riskienhallintaa ml. varautuminen häiriöihin ja niistä toipumista
  • Sopimushallintaa
  • Rekisteröityjen oikeuksien toteuttamista
  • Organisaation, työntekijöiden sekä asiakkaiden oikeusturvaa

Tietosuojaa on viime vuosina Euroopassa uudistettu ja uudistetaan edelleen. Euroopan unionin (EU) mukaan henkilötietojen suojaa koskevaa sääntelyä oli tarpeen uudistaa ja nykyaikaistaa, koska teknologisen kehityksen ja globalisoitumisen myötä henkilötietoja kerätään yhä enemmän. Korkeatasoisella tietosuojalla voidaankin parantaa luottamusta verkkopalveluihin ja tietosuojaosaamisella hyödyntää digitaalitalouden ja digitalisaation tarjoamia mahdollisuuksia.

Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) tavoitteena on riittävän perusteellisella johdon ja henkilöstön tietosuojaosaamisella lisätä organisaatioiden tuottavuutta ja tehokkuutta sekä saada aikaan kustannussäästöjä. Tämän varmistamiseksi EU:n yleinen tietosuoja-asetus toi rekisterinpitäjille osoitusvelvollisuuden, jonka mukaan rekisterinpitäjä on kysyttäessä velvollinen osoittamaan ja antamaan näyttöä tietosuojavelvoitteidensa hoitamisesta käytännössä. Mikäli velvoitteiden toteutuksessa ja dokumentoinnissa on vakavia puutteita, valvovalla tietosuojaviranomaisella on oikeus ja velvollisuus asetuksessa säädetyissä tilanteissa antaa rekisterinpitäjälle sanktioita kuten määrätä korjaavia toimenpiteitä tai hallinnollinen sakko.

Lisäksi organisaatioiden toimintaa ohjaavat periaatteet, joiden mukaan tuotanto- ja palveluprosessien tietosuoja on suunniteltava huolellisesti niihin sisäänrakennetusti (data protection by design) ja toteutettava teknisillä ja hallinnollisilla toimenpiteillä jo oletusarvoisesti (data protection by default). Rekisterinpitäjän ja sen lukuun toimivan henkilötietojen käsittelijän välistä suhdetta, velvollisuuksia ja vastuita säädellään EU:n yleisessä tietosuoja-asetuksessa osin uudella tavalla. EU:n yleisessä tietosuoja-asetuksessa määritellyt rekisteröidyn oikeudet vastaavat suurelta osin Suomessa jo aiemmin käytössä ollutta sääntelyä. Henkilöllä tulee jatkossakin olla oikeus esimerkiksi tarkastaa itseään koskevat tiedot. Pääosin niin kuin aiemminkin, rekisterinpitäjän on myös oikaistava virheelliset tiedot ja poistettava esimerkiksi tarpeeton tai vanhentunut henkilötieto. EU:n yleisellä tietosuoja-asetuksella luodaan myös uusia oikeuksia. Rekisteröity voi saada itseään koskevia tietoja sähköisesti, ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen (right to data portability) asetuksen säätämissä tilanteissa.

EU:n yleinen tietosuoja-asetus perustuu riskipohjaiseen lähestymistapaan. Vähäisen riskin toiminta ei aiheuta merkittävää uhkaa rekisteröidyn yksityisyyden suojalle, eduille, oikeuksille tai vapauksille. Asetuksen mukaan korkeamman riskin henkilötietojen käsittely edellyttää organisaatiolta enemmän panostamista teknisiin ja hallinnollisiin toimenpiteisiin riittävän tietosuojan takaamiseksi muun muassa henkilöstön asiakastietojen käsittely- ja tietosuojakäytänteissä.

Tietosuojan tavoitetila voidaan kiteyttää seuraavasti:

  • osoita teknisillä ja hallinnollisilla toimilla, että noudatat EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelylainsäädäntöä velvoitteineen
  • mitoita ja toteuta tietosuoja oikein asiakastietojen käsittelykäytänteissä -saavutat näin myös lisää tuottavuutta ja tehokkuutta
  • hallinnoi riskit -voit välttää valvontaviranomaisen sakot ja muut sanktiot
  • lopputuloksena kaikki osapuolet hyötyvät.

Oikein mitoitetun ja toteutetun tietosuojan merkitys

Tietosuoja on parhaimmillaan oikein mitoitettua ja toteutettua asiakastietojen käsittelyä organisaatiossa. Kaikki hyötyvät, kun asiakkaan tietosuoja ei ole tarpeettoman tiukka eikä liian heikko. Tietosuojasta huolehtiminen ja tietojen lainmukainen käsittely tukevat myös luottamuksellisen asiakassuhteen syntymistä. Organisaation koko henkilöstön tietosuojaosaaminen on tuotanto- ja palveluprosessissa tarvittava ”öljy”. Jos henkilöstön tietosuojaosaamisessa on puutteita, tuotanto- ja palveluprosessi on tehoton ja käy osin tyhjäkäynnillä. Oikein toteutettuina johdon tietosuojatyön organisointi, tietosuojavastaavan tietosuojatyö ja koko henkilöstön tietosuojaosaaminen ovat organisaation menestystekijöitä, jotka pienentävät organisaation ja johdon riskejä, parantavat työntekijöiden osaamista ja oikeusturvaa, lisäävät operatiivisen toiminnan tuottavuutta ja tehokkuutta sekä säästävät kustannuksia. Tietosuojaosaamisensa varmistanut organisaatio näyttäytyy ulospäin luotettavana palvelujen antajana ja houkuttelevana yhteistyökumppanina. Tämän kaiken suunnittelussa ja käytännön toteutuksessa osaavalla tietosuojavastaavalla on merkittävä rooli.

Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin. Tieto on arvokas ja ainoa voimakkaasti kasvava tuotannontekijä. Erilaisten tietovarantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle. Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä toiminnan menestymiselle kaikilla aloilla.

Tietosuojan nykytila-arvion ja tavoitetilan välinen kuilu – tietosuojatyön tekemisen tarpeen kartoittaminen

Tietosuojasta ei pidä puhua enää esteenä, vaan muun muassa digitalisaation onnistumisen välttämättömyytenä ja mahdollistajana. Asiakkaan luottamus ja koko henkilöstön tietosuojaosaaminen muodostavat organisaation operatiivisen toiminnan menestystekijän. Jotta asiakkaan luottamuksesta ja henkilöstön tietosuojaosaamisesta voidaan hyötyä käytännössä, organisaation vastaavalta johdolta edellytetään toimenpiteitä. Johdon on tehtävä organisaation henkilötietojen käsittelykäytänteiden ja tietosuojan nykytilan kartoitus ja arvio sen suhteesta tavoitetilaan. Tavoitetilan määrittää voimassa oleva lainsäädäntö eli ennen kaikkea EU:n yleisen tietosuoja-asetuksen asianomaisen organisaation henkilötietojen käsittelyyn kohdistamat riskiperusteiset vaatimukset ja velvoitteet.

Tietosuojatyön organisointi – tietosuojavastaavan ja -ryhmän nimittäminen

EU:n yleisen tietosuoja-asetuksen mukaan tietosuojavastaavan nimittäminen on pakollista julkisella sektorilla, pois lukien tuomioistuimet. Asetus velvoittaa myös yrityksiä nimittämään tietosuojavastaavan, jos yrityksen ydintoiminnassa seurataan henkilötietoja laajassa mitassa tai jos yrityksen ydintoiminnassa käsitellään arkaluontoisia henkilötietoja laajalti. Muulloinkin johto voi nimittää organisaatioonsa tietosuojavastaavan, mikäli katsoo sen tarpeelliseksi esimerkiksi edellä kuvatun tietosuojan nykytila-arvion ja tavoitetilan välisen suuren kuilun umpeen kuromisen takia. Taustalla on EU:n yleisen tietosuoja-asetuksen riskiperusteinen lähestymistapa.

Vaikka organisaation tietosuojan nykytila-arvion perusteella tietosuojatyö organisoitaisiin projektiksi tavoitetilaan pääsemiseksi, tulee tietosuoja- ja tietoturva-asiat muutoin organisoida prosessiksi, jota käytännön työssä toteutetaan hallitusti ja suunnitellusti. Organisoitu tietosuojatyö on yrityksen tuottavuuden ja tehokkuuden kivijalka. Tämä organisointi on johdon vastuulla. Varsinaista organisoitua tietosuojatyötä tekee joko johdon nimittämä tietosuojavastaava ja/tai tehtävää varten perustettu tietosuojaryhmä.

Tietosuojatyön organisointi ja varsinainen tietosuojatyö eivät ole itsetarkoitus, vaan ne tähtäävät tuotanto- ja palveluprosessien laadun parantamiseen ja sitä kautta myös tehokkuuden ja tuottavuuden lisäämiseen. Esimerkiksi silloin, jos ei tunneta asianomaisen toimialan lainsäädäntöä riittävästi, ei uskalleta luovuttaa tai muutoin käsitellä tietoja niissäkään tilanteissa, kun siihen olisi oikeus. Tähän tavoitteeseen päästään, kun on varmistettu koko henkilöstön tietosuojaosaaminen ja sitä kautta kyky lailliseen joustavaan asiakastietojen käsittelyyn. Tavoite on parhaiten saavutettavissa hyödyntämällä osaavan tietosuojavastaavan asiantuntemusta ja työpanosta.

Tietosuojavastaavan työnkuva – itsenäinen erityisasiantuntija ja riittävät resurssit

Johdon näkökulmasta organisaation keskeiset riskit kohdistuvat kustannuksiin, sopimuksiin sekä henkilöstön toimintaan. Tietosuojavastaavan näkökulmasta keskeiset riskit kohdistuvat omaan osaamiseen, resursseihin ja jaksamiseen. EU:n yleisen tietosuoja-asetuksen mukaan tietosuojavastaavan työroolin pitää olla itsenäinen erityisasiantuntija. Tietosuojavastaavalle täytyy antaa mahdollisuus kouluttautua ja kehittyä työssään sekä antaa riittävät resurssit organisaation kokoon ja henkilötietojen käsittelyn määrään nähden. Näin ollen johdon tulee varata ja osoittaa tietosuojatyöhön riittävät työaika-, kouluttautumis- ja työvälineresurssit. Operatiivisen toiminnan henkilötietojen käsittelyn pitää olla suunniteltua ja ohjeistettua, ja työntekijät täytyy kouluttaa toimimaan ohjeiden mukaisesti. Kun johto nimeää organisaatiolle tietosuojavastaavan, tulee hänen työtehtävänsä määritellä erikseen kirjallisesti. Tietosuojavastaavan tehtävistä tulee informoida koko henkilöstöä, jotta jokainen työntekijä tietää, kenen puoleen voi kääntyä, jos operatiivinen toiminta ei suju osaamisen puutteen tai henkilötietojen käsittelyn epäselvyyksien takia.

Ihmiset ovat valveutuneita

Kaikkien, jotka käsittelevät asiakkaiden tai työntekijöiden henkilötietoja työssään on muistettava se, ettei pidä aliarvioida sitä kuinka kiinnostuneita ihmiset ovat yksityisyyden suojastaan. Luottamuksen voi menettää vain kerran. Jos organisaatioon aletaan kohdistamaan enenevästi selvityspyyntöjä ja kanteluita, joissa kummastellaan henkilötietojen käsittelyyn liittyvää tapaa tai sitä, että rekisterinpitäjänä toimiva organisaatio ei pysty toteuttamaan rekisteröidyn oikeuksia, seuraa siitä myös mainehaitta. Mainehaitalla on kauskantoisia vaikutuksia ja pikkuhiljaa organisaatio saattaa menettää yhteistyökumppaninsa ja liiketoiminta voi ajautua vaikeuksiin. Tietoturva- ja tietosuojapuutteet ovat Suomessakin aiheuttaneet jo konkursseja ja sitä kautta monien ihmisten osalta myös työpaikkojen menettämisen. Senpä vuoksi kaikkien pitää kantaa kortensa kekoon ja pyrkiä aina käsittelemään henkilötietoja oikeaoppisesti. Tällöin tietosuojasta tulee menestystekijä ja organisaatio näyttäytyy luotettavana palvelunantajana, joiden palveluja asiakkaat uskaltavat ja haluavat käyttää.

 

Tekstin kirjoittaja on Tampereen kaupungin tietosuojavastaava ja sivutoiminen tietokirjailija Ari Andreasson.

Ari Andreassonin pohdintaa pääset kuuntelemaan lisää 15.6. järjestettävässä Toimistotyö kunnassa -koulutuspäivässämme!

Ari Andreasson

LUE MYÖS