GDPR, loppusuora häämöttää vai häämöttääkö?

28.1.2018 8.00, Kirjoittanut Leila Hanhela-Lappeteläinen
 

Tänään vietetään jälleen vuosittaista Euroopan neuvoston tietosuojapäivää. Päivän tarkoituksena on lisätä tietämystä tietosuojasta sekä henkilötietojen käsittelyyn liittyvistä oikeuksista ja velvollisuuksista.


Tietosuojalainsäädäntö on uudistuksen alla ja tietosuojan näkökulmasta alkanut vuosi on merkittävä. EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) ryhdytään soveltamaan toukokuun 25. päivä kaikissa EU:n jäsenmaissa. Myös kansallinen tietosuojalainsäädäntömme on muutoksen alla. Hallituksen esitys uudeksi kansalliseksi tietosuojalaiksi valmistunee alkuvuodesta.

Mörkö vai kannustin?

Tietosuoja-asetus on luonut tietosuojan ympärille liiketoimintaa. Sähköpostiini on viimeisen vuoden aikana putkahdellut miltei päivittäin eri palveluntarjoajien markkinointia ja tarjontaa niin tietosuojakoulutuksista kuin tietosuojaosaamisesta. Tänä päivänä korkea tietosuojan taso on kilpailu- ja markkinavaltti. Se, joka kykenee osoittamaan olevansa tietosuojavaatimusten mukainen ja herättää toiminnallaan luottamusta, on markkinoilla etunenässä.

Asetuksen myötä tietosuojavelvoitteiden laiminlyönnistä voidaan määrätä hallinnollinen sakko. Välillä tietosuojainformaation äärellä on väistämättä syntynyt sellainen vaikutelma, että tietosuojakysymyksiä ja ylipäätään tietosuojaa lähestytään vain hallinnollisten seuraamusten pelossa ja niiden välttämiseksi. Herää kysymys, että emmehän vain ole tekemässä tietosuojasta mörköä? Sitä se ei nimittäin ole.

Miten asiaa sitten tulisi lähestyä? Vaikutetaan ja vaikuttamalla muutetaan asenteita. Häädetään mahdolliset möröt ja tehdään tietosuojasta kannustin.

Miten se sitten tapahtuu? Varmistamalla, että organisaatiossa on yhteinen ymmärrys tietosuojasta, ja siitä mitä sillä tavoitellaan ja miten sen avulla voidaan edistää organisaation strategisia päämääriä. Ottamalla lähtökohdaksi, että asetuksen jalkauttamisen yhteydessä opitaan ja oppimisen avulla pystytään luomaan tehokkaampia ja sujuvampia toimintatapoja henkilötietojen käsittelyyn. Mikäli henkilöstö ja organisaation johto ovat aidosti sitoutuneet tietosuoja-asioihin, on mahdollista luoda myönteistä asennetta tietosuojaa kohtaan.

Asiakas tietosuojan keskiössä

On hyvä muistaa, että asetuksen keskeiset tietosuojaperiaatteet ovat jo tällä hetkellä voimassa olevaa lainsäädäntöä. Se, mihin on syytä panostaa ja korostaa, on asiakas rekisteröitynä. Emme me vain itsellemme tätä tee.

Viranomaisena Trafi kerää ja käsittelee henkilötietoja sille laissa säädettyjen tehtävien toteuttamiseksi. Tietosuojan näkökulmasta arvioituna asiakaslähtöisessä ajattelussa lähtökohtana on asiakas rekisteröitynä ja hänen oikeuksiensa tehokas toteuttaminen. Tietosuoja-asetus korostaa rekisteröidyn asemaa, ja samalla asettaa rekisterinpitäjälle velvollisuuden toimia läpinäkyvästi ja kertoa henkilötietojen käsittelyyn liittyvät asiat avoimesti ja ymmärrettävällä tavalla. Rekisteröidyllä on myös oikeus saada pääsy omiin tietoihinsa.

Tietosuojassa on nimenomaan kyse rekisteröidyn yksityisyyden kunnioittamisesta. Tämän johdosta organisaatioissa tehtävää tietosuojatyötä ei tule tarkastella vain organisaation omasta näkökulmasta. Rekisteröity ei asiakkaana ole vain henkilötietojen käsittelyn kohde, vaan asiakaslähtöisyys tarkoittaa kiinteää yhteistyötä asiakkaan kanssa, ja hänen tarpeisiinsa vastaamista.

Tähän on tartuttu myös Trafissa. Keskitymme tällä hetkellä mm. kehittämään oma asiointi -palvelua, jossa asiakas voi katsoa omia rekisteritietojaan ja jatkossa hallita itse omien henkilötietojensa luovuttamista.

Suunnittelemme myös perinteisten tietosuojaselosteiden ohella uudenlaisia tapoja informoida asiakasta hänen henkilötietojen käsittelystä. Tarkoituksena on toteuttaa kokeiluna ajoneuvon rekisteröintiä ja ajokortin myöntämiseen liittyvien henkilötietojen käsittelyä koskevat animaatiot. Pyrimme siis toteuttamaan tietosuojaa asiakkaan tiedollista itsemääräämisoikeutta kunnioittaen ja tukien.

Neljä kuukautta aikaa, tekisinkö tuota vai tätä?

Siirtymäaika asetuksen soveltamiseen lähenee uhkaavasti. Kiire ja ehkäpä pienoinen epätoivokin on monessa organisaatiossa vallalla näin loppusuoralla. Pitäisikö tehdä tuota vai tätä, vai ehditäänkö tehdä enää mitään? Mikäli tunnistat tutuksi, on aika pysähtyä.

Keskity olennaiseen:

  • Tee keskeisistä henkilörekistereistä tietovirtakuvaukset, ja mieti näiden kuvausten avulla kyseisen rekisterin henkilötietojen elinkaari keräämisestä hävittämiseen tai arkistointiin asti.
  • Sijoita kuvaukseen mahdolliset henkilötietojen siirrot ja luovuttamiset, ja konkretisoi kuka on missäkin tilanteessa rekisterinpitäjä, henkilötietojen käsittelijä ja miten rekisteröidyn oikeudet toteutetaan.
  • Konkretisoi asiat visualisoimalla ja arvioi henkilötietojen käsittelyä oman organisaatiosi näkökulmasta.

Tietosuojatyö on vähän kuin palapelin kokoamista; pikkuhiljaa palaset löytävät oman paikkansa ja kokonaiskuva alkaa muodostua.

Trafissa aloitti tietosuoja-asetustyöryhmä työnsä loppuvuodesta 2016. Tietosuoja-asetuksen edellyttämien toimenpiteiden tunnistamiseksi teimme vaikutusanalyysin, jossa hyödynnettiin Trafin kokonaisarkkitehtuurin viitekehystä. Tunnistettujen vaatimusten ohella olemme määritelleet ne keinot ja toimintatavat, joilla asetuksen vaatimukset pyritään täyttämään.

Kaikesta jo tehdystä ja työn alla olevasta huolimatta, olemme kuitenkin todenneet, että se loppusuora ei vielä häämötä. Tietosuoja ei ole kertaluonteinen, vaan jatkuva prosessi. Koskaan ei ole liian myöhäistä aloittaa tai kehittää asioita. On vain luotettava, että kyllä se palapeli aikanaan valmistuu.

Mukavaa tietosuojapäivää!

#tietosuoja
#GDPR
#tieto

Trafin tietotilinpäätös

Lue myös Leila Hanhela-Lappeteläisen aikaisempi #Trafitalks-blogi tietosuojasta sekä Anu Ylä-Pietilän blogi Todellisuus vastaan kokonaisarkkitehtuuri 3-0

 

 

 

Leila Hanhela-Lappeteläinen

johtava asiantuntija, tietojohtajan esikunta