GDPR, loppusuora häämöttää vai häämöttääkö?

28.1.2018 8.00, Kirjoittanut Leila Hanhela-Lappeteläinen
 

Tänään vietetään jälleen vuosittaista Euroopan neuvoston tietosuojapäivää. Päivän tarkoituksena on lisätä tietämystä tietosuojasta sekä henkilötietojen käsittelyyn liittyvistä oikeuksista ja velvollisuuksista.


Tietosuojalainsäädäntö on uudistuksen alla ja tietosuojan näkökulmasta alkanut vuosi on merkittävä. EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) ryhdytään soveltamaan toukokuun 25. päivä kaikissa EU:n jäsenmaissa. Myös kansallinen tietosuojalainsäädäntömme on muutoksen alla. Hallituksen esitys uudeksi kansalliseksi tietosuojalaiksi valmistunee alkuvuodesta.

Mörkö vai kannustin?

Tietosuoja-asetus on luonut tietosuojan ympärille liiketoimintaa. Sähköpostiini on viimeisen vuoden aikana putkahdellut miltei päivittäin eri palveluntarjoajien markkinointia ja tarjontaa niin tietosuojakoulutuksista kuin tietosuojaosaamisesta. Tänä päivänä korkea tietosuojan taso on kilpailu- ja markkinavaltti. Se, joka kykenee osoittamaan olevansa tietosuojavaatimusten mukainen ja herättää toiminnallaan luottamusta, on markkinoilla etunenässä.

Asetuksen myötä tietosuojavelvoitteiden laiminlyönnistä voidaan määrätä hallinnollinen sakko. Välillä tietosuojainformaation äärellä on väistämättä syntynyt sellainen vaikutelma, että tietosuojakysymyksiä ja ylipäätään tietosuojaa lähestytään vain hallinnollisten seuraamusten pelossa ja niiden välttämiseksi. Herää kysymys, että emmehän vain ole tekemässä tietosuojasta mörköä? Sitä se ei nimittäin ole.

Miten asiaa sitten tulisi lähestyä? Vaikutetaan ja vaikuttamalla muutetaan asenteita. Häädetään mahdolliset möröt ja tehdään tietosuojasta kannustin.

Miten se sitten tapahtuu? Varmistamalla, että organisaatiossa on yhteinen ymmärrys tietosuojasta, ja siitä mitä sillä tavoitellaan ja miten sen avulla voidaan edistää organisaation strategisia päämääriä. Ottamalla lähtökohdaksi, että asetuksen jalkauttamisen yhteydessä opitaan ja oppimisen avulla pystytään luomaan tehokkaampia ja sujuvampia toimintatapoja henkilötietojen käsittelyyn. Mikäli henkilöstö ja organisaation johto ovat aidosti sitoutuneet tietosuoja-asioihin, on mahdollista luoda myönteistä asennetta tietosuojaa kohtaan.

Asiakas tietosuojan keskiössä

On hyvä muistaa, että asetuksen keskeiset tietosuojaperiaatteet ovat jo tällä hetkellä voimassa olevaa lainsäädäntöä. Se, mihin on syytä panostaa ja korostaa, on asiakas rekisteröitynä. Emme me vain itsellemme tätä tee.

Viranomaisena Trafi kerää ja käsittelee henkilötietoja sille laissa säädettyjen tehtävien toteuttamiseksi. Tietosuojan näkökulmasta arvioituna asiakaslähtöisessä ajattelussa lähtökohtana on asiakas rekisteröitynä ja hänen oikeuksiensa tehokas toteuttaminen. Tietosuoja-asetus korostaa rekisteröidyn asemaa, ja samalla asettaa rekisterinpitäjälle velvollisuuden toimia läpinäkyvästi ja kertoa henkilötietojen käsittelyyn liittyvät asiat avoimesti ja ymmärrettävällä tavalla. Rekisteröidyllä on myös oikeus saada pääsy omiin tietoihinsa.

Tietosuojassa on nimenomaan kyse rekisteröidyn yksityisyyden kunnioittamisesta. Tämän johdosta organisaatioissa tehtävää tietosuojatyötä ei tule tarkastella vain organisaation omasta näkökulmasta. Rekisteröity ei asiakkaana ole vain henkilötietojen käsittelyn kohde, vaan asiakaslähtöisyys tarkoittaa kiinteää yhteistyötä asiakkaan kanssa, ja hänen tarpeisiinsa vastaamista.

Tähän on tartuttu myös Trafissa. Keskitymme tällä hetkellä mm. kehittämään oma asiointi -palvelua, jossa asiakas voi katsoa omia rekisteritietojaan ja jatkossa hallita itse omien henkilötietojensa luovuttamista.

Suunnittelemme myös perinteisten tietosuojaselosteiden ohella uudenlaisia tapoja informoida asiakasta hänen henkilötietojen käsittelystä. Tarkoituksena on toteuttaa kokeiluna ajoneuvon rekisteröintiä ja ajokortin myöntämiseen liittyvien henkilötietojen käsittelyä koskevat animaatiot. Pyrimme siis toteuttamaan tietosuojaa asiakkaan tiedollista itsemääräämisoikeutta kunnioittaen ja tukien.

Neljä kuukautta aikaa, tekisinkö tuota vai tätä?

Siirtymäaika asetuksen soveltamiseen lähenee uhkaavasti. Kiire ja ehkäpä pienoinen epätoivokin on monessa organisaatiossa vallalla näin loppusuoralla. Pitäisikö tehdä tuota vai tätä, vai ehditäänkö tehdä enää mitään? Mikäli tunnistat tutuksi, on aika pysähtyä.

Keskity olennaiseen:

  • Tee keskeisistä henkilörekistereistä tietovirtakuvaukset, ja mieti näiden kuvausten avulla kyseisen rekisterin henkilötietojen elinkaari keräämisestä hävittämiseen tai arkistointiin asti.
  • Sijoita kuvaukseen mahdolliset henkilötietojen siirrot ja luovuttamiset, ja konkretisoi kuka on missäkin tilanteessa rekisterinpitäjä, henkilötietojen käsittelijä ja miten rekisteröidyn oikeudet toteutetaan.
  • Konkretisoi asiat visualisoimalla ja arvioi henkilötietojen käsittelyä oman organisaatiosi näkökulmasta.

Tietosuojatyö on vähän kuin palapelin kokoamista; pikkuhiljaa palaset löytävät oman paikkansa ja kokonaiskuva alkaa muodostua.

Trafissa aloitti tietosuoja-asetustyöryhmä työnsä loppuvuodesta 2016. Tietosuoja-asetuksen edellyttämien toimenpiteiden tunnistamiseksi teimme vaikutusanalyysin, jossa hyödynnettiin Trafin kokonaisarkkitehtuurin viitekehystä. Tunnistettujen vaatimusten ohella olemme määritelleet ne keinot ja toimintatavat, joilla asetuksen vaatimukset pyritään täyttämään.

Kaikesta jo tehdystä ja työn alla olevasta huolimatta, olemme kuitenkin todenneet, että se loppusuora ei vielä häämötä. Tietosuoja ei ole kertaluonteinen, vaan jatkuva prosessi. Koskaan ei ole liian myöhäistä aloittaa tai kehittää asioita. On vain luotettava, että kyllä se palapeli aikanaan valmistuu.

Mukavaa tietosuojapäivää!

#tietosuoja
#GDPR
#tieto

Trafin tietotilinpäätös

Lue myös Leila Hanhela-Lappeteläisen aikaisempi #Trafitalks-blogi tietosuojasta sekä Anu Ylä-Pietilän blogi Todellisuus vastaan kokonaisarkkitehtuuri 3-0

 

 

 

Leila Hanhela-Lappeteläinen

johtava asiantuntija, tietojohtajan esikunta

5 kommenttia "GDPR, loppusuora häämöttää vai häämöttääkö?"

Leila Hanhela-Lappeteläinen 5.11.2018 12.20

Trafin ylläpitämä liikenneasioiden rekisteri on julkinen rekisteri, josta jokaisella on lähtökohtaisesti oikeus saada tietoja. Tietojen luovuttamista voi halutessaan rajoittaa, mutta joissakin tilanteissa painavat yleiset edut puoltavat tietojen saamista. Tämä tilanne on esillä alla olevassa tapauksessa eli niin sanotussa yksittäiskyselyssä, joissa kielto oikeus ei kata luonnollisen henkilön nimitietoja. Tietoja käyttävät esimerkiksi yksityiset henkilöt, jotka mm. liikennevälineen kaupanteon yhteydessä haluavat selvittää rekisteriin merkittyjä, kyseessä olevaa liikennevälinettä ja sen omistajaa koskevia tietoja.

Mika 2.11.2018 13.41

Trafi on todentotta aivan pihalla yksityisyyden suojasta.

Jos kävelen, minulla ei ole velvollisuutta kertoa itsestäni satunnaiselle vastaantulijalle mitään.
Mutta jos liikun Trafin rekisteröimällä ajoneuvolla, minulla ei ole valinnanvaraa kuin nippanappa tuon osoitteen suhteen joka sekin on oletuksena julkinen.

Kävin klikkaamassa palvelussa kaikki kiellot päälle mutta niinpä vain se nimi tulee esille 16400 haussa, mitään vaikutusta tuolla ei siis ollut. Vissiin fonectalla joku ei avoin rajapinta.

Leila Hanhela-Lappeteläinen 2.5.2018 14.42

EU:n yleistä tietosuoja-asetusta ryhdytään soveltamaan 25.5.2018, ja sitä sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Henkilötietojen käsittelylle on aina oltava laista löytyvä peruste. Trafi kerää ja käsittelee henkilötietoja sille laissa säädettyjen tehtävien toteuttamiseksi. Trafia koskeva erityislainsäädäntö tukee ja mahdollistaa erilaisten palvelujen toteuttamisen. Voimme luovuttaa rekisteritietojamme myös markkinointitarkoituksiin. Henkilötietoja luovutamme vain sellaiseen markkinointiin, joka liittyy liikenteeseen liittyviin tarkoituksiin. Esimerkkinä voisi mainita mm. ajoneuvojen katsastusyritysten mainokset lähestyvästä katsastusajasta. Jos tällaista markkinointia ei halua, voi halutessaan omien yhteystietojen luovutuksen kieltää. Markkinointi- ja osoitteenluovutuskiellon voi tehdä mm. verkkopalvelussamme https://www.trafi.fi/tietopalvelut/trafin_rekisterit/tietojenluovutuskiellot
Se, että rekisterin tiedot ovat julkisia ja myös yksityishenkilöiden saatavissa, mahdollistaa erilaisten palveluiden tuottamisen kaikkien kansalaisten käyttöön. Esimerkiksi venekaupan yhteydessä on ostajan mahdollista tarkastaa veneen tekniset- ja omistajatiedot suoraan rekisteristä. Myös monissa autojen osia myyvissä liikkeissä hyödynnetään Trafin rekisteritietoja, jotta asiakas saa ostotilanteessa omaan ajoneuvoonsa soveltuvia varaosia.

Lauri51 1.5.2018 20.56

Vähän vanha kirjoitus, mutta ajankohtainen. Sain juuri paperipostissa(!) minulle osoitetun mainoslappusen, joka alkoi tekstillä "Vaihda Master-veneesi uuteen...". Osoitelähdettä ei mainittu, mutta kuka muu tietäisi minun vanhasta venäläisestä alumiiniveneestäni kuin Trafi. Ei sillä, että yksittäisestä mainoksesta sen kummempaa haittaa olisi, mutta koska minä en ole erikseen antanut lupaa luovuttaa henkilötietojani mainostarkoituksiin, loppuuko minun tiedoillani käytävä osoitekauppa 25.5.?

humu 12.4.2018 9.52

Trafi ei tunnu ymmärttävän ollenkaan GDPR'n henkeä ja tarkoitusta.
Teillä on siellä paljon sarkaa kynnettävänä. Olette toimineet juuri päinvastoin kuin GDPR ja terve järki sanoo.
Tiedot vuotavat kaikenmaailman huuhaa toimijoille ja teette bussinesta myymällä tietoja.
Viranomaisena teillä on paljon suurempi vastuu henkilötietojen suojaamisessa kuin jollain Facebookilla
jonne ihmiset suorastaan tyrkyttävät omia tietojaan.

Osallistu kommentoimalla

  • Voit kommentoida nimellä, nimimerkillä tai anonyymisti.
  • Kunnioita kanssakeskustelijoitasi. Haukkuminen, epäasiallinen kielenkäyttö ja nimittely on kiellettyä.
  • Älä julkaise omia tai muiden henkilötietoja. Kanavamme on julkinen.
  • Rasistiset tai muut ihmisiä, yhteisöä tai uskontoa loukkaavat viestit ovat kiellettyjä, samoin rikokseen yllyttävät ja muuten lainvastaiset viestit.

Asiattomat viestit poistetaan. Viestin poistamisesta ei ilmoiteta kirjoittajalle. 

Kommentoi

Antamaasi sähköpostiosoitetta ei julkaista sivustolla.

 

Haluan saada tiedon uusista kommenteista antamaani sähköpostiosoitteeseen.