Tietosuoja, Opsec Oy

Ovatko yrityksen tietosuojaan liittyvät dokumentit ja toimintatavat ajan tasalla?

Näin vuoden 2020 alussa tulisi kiinnittää huomiota yrityksen tietosuojatyöhön. Tietosuoja-asetuksen voimaantulon jälkeen monessa yrityksessä on jäänyt tietosuojaan liittyvät asiat päivittämättä, koska tietosuojatyölle ei ole löytynyt sopivia resursseja, oikeanlaisia prosesseja tai muita hyviä toimintatapoja. Yrityksessä tulisi siis nyt viimeistään huolehtia, että tietosuojaan liittyvät dokumentit ja toimintatavat olisivat päivitettyjä ja vastaisivat tietosuojalainsäädännön vaatimuksia. 

Jos yrityksessä on tehty tietosuojatyötä, tässä kohdassa olisi hyvä tehdä edellisen vuoden tietotilinpäätös, toimintakertomus tai vastaava koonti tietosuojaan liittyvistä toimenpiteistä, henkilötietorekistereistä, rekisteröityjen oikeuksien toteutumisesta, mahdollisista ongelmista ja kehittämiskohteista. Raporttiin yritys voi koota vuoden aikana tietosuojatyöhön liittyvät asiat ja tällä tavoin täyttää tietosuojalainsäädännön vaatiman osoitusvelvollisuuden.   

Tietosuojan toteutuminen vaatii jatkuvaa tekemistä

Välinpitämättömyys henkilötietoihin kohdistuvia uhkia kohtaan, henkilötietojen käsittelyyn liittyvät laiminlyönnit ja muu lainsäädännön noudattamatta jättäminen eivät ole jälkeenpäin selitettävissä, joten yrityksissä tietosuojatyötä tulisi tehdä lainsäädännön vaatimalla tavalla. Yritys ei voi välttää mahdollisia tietosuojaan liittyviä ongelmia tai sanktioita toimimalla jälkikäteen.

Tietosuojan tehtävä on suojella henkilötietoja ja tietosuojalainsäädäntö asettaa suojelulle vaatimuksia, joiden täyttäminen vaatii yrityksissä jatkuvaa työtä. Muualla Euroopassa tehdään tällä hetkellä tietosuojaan liittyviä tarkastuksia ja annetaan tietosuojarikkomuksista sanktioita. Suomen tietosuojaviranomainen on aloittanut viime vuonna henkilötietojen käsittelyä koskevien valitusten läpikäynnin ja valituksista on julkaistu ensimmäiset tietosuojavaltuutetun päätökset. Suomessa tullaan hieman muuta Eurooppaa jäljessä tarkastusten ja sanktioiden osalta, mutta asia tulee varmasti muuttumaan. Ja, tietynlainen maineeseen kohdistuva “sanktio” on tällä hetkellä sekin, että viranomainen antaa julkisia päätöksiä yritysten vääränlaisesta henkilötietoihin liittyvästä toiminnasta.

Jos yrityksen tietosuojan parissa tehdyt dokumentit ja toimintatavat ovat kokonaan tai osittain tarkistamatta, päivittämättä tai tekemättä vuoden tai parin vuoden takaa, on yrityksen tehtävä toimintasuunnitelma asian korjaamiseksi. Tässä esimerkkilistaa asioista, jotka usein muuttavat yrityksessä henkilötietojen käsittelyä tai muuten tuovat esille tietosuojatyön tarpeen.

Yrityksessä..   

  • …on otettu käyttöön uusia tai poistettu käytöstä järjestelmiä, ohjelmistoja ja palveluita
  • on tehty uudenlaisia sopimuksia asiakkaiden tai toimittajien kanssa
  • …on tarvetta vaikutustenarvioinneille, joilla voidaan tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn sisältyviä riskejä
  • …on tarvetta tasapainotesteille, joilla voidaan arvioida käykö oikeutettu etu perusteena henkilötietojen käsittelylle
  • …on otettu käyttöön esimerkiksi kamera- tai kulunvalvonta
  • …on henkilöstöhallinto muuttanut tietojen käsittelyyn liittyviä toimintatapoja tai järjestelmiä
  • …on otettu käyttöön uusia sähköiseen markkinointiin liittyviä kanavia tai palveluita
  • …on ulkoistettu mainostoimistolle sähköisten markkinointikanavien ylläpitoa
  • …on otettu käyttöön uusi nettisivusto tai verkkokauppa 
  • …on nettisivusto tai verkkokauppa, joka kerää uusia henkilötietoja tai profiloi käyttäjiä
  • …on nettisivusto tai verkkokauppa, johon on tullut uusia ominaisuuksia tai palveluita
  • …on tullut henkilöstömuutoksia, joka ovat lisänneet tietosuojakoulutuksen, -ohjeiden ja -perehdytyksen tarvetta
  • …on ilmennyt uusia riskejä, jotka kohdistuvat henkilötietoihin tai vanhatkin riskit ovat tunnistamatta
  • …on jäänyt huomioimatta, että tietoturva on yksi tietosuojan toteuttamiskeinoista
  • …on pulaa henkilöistä, jotka osaisivat tai ehtisivät tehdä tietosuojatyötä
  • …ei ole tarkistettu ja päivitetty tietosuojaselostetta 
  • …ei ole vakiintunutta tapaa pitää tietosuoja-asioita ajan tasalla

Yrityksissä on huolehdittava riittävistä tietosuojaresursseista

Yrityksissä ei saa jättää tietosuoja-asioista vastaavia henkilöitä yksin tietosuojaan liittyvien asioiden kanssa, koska jo lainsäädäntö velvoittaa työnantajia huolehtimaan riittävistä tietosuojaresursseista. Kukaan ei myöskään yksin pysty toteuttamaan kaikkia yrityksen toimintoja ja kehitysvaiheita, joihin tietosuoja liittyy. 

Jos yrityksessäsi kaivataan apua yrityksen tietosuojatyöhön, tietosuojatilanteen arviointiin tai tietosuojaraportoinnin tekemiseen, ota yhteyttä jari.ala-varvi@opsec.fi. Opsec Oy:n tietosuojavastaava Jari Ala-Varvi on työskennellyt yli 20 vuotta tietoturvaan ja tietosuojaan liittyvissä tehtävissä ICT-palvelutuotannossa. Hän on mukana sekä kansallisissa että kansainvälisissä tietosuoja-asetuksen vaatimusten mukaisuuteen tähtäävissä projekteissa ja on suorittanut arvostetun CIPP/E -sertifioinnin. 

Opsec Oy:n tietosuojapalveluiden avulla voit huolehtia jatkuvasta tietosuojan toteutumisesta yrityksessäsi.