Tietosuoja-asetus – mistä on kyse?

Mikko Viemerö, Kyberturvallisuuden tietosuojatiimin vetäjä, KPMG Oy Ab

EU:n yleinen tietosuoja-asetus tuo kaikille asiakastietoja ja henkilöstönsä tietoja käsitteleville organisaatioille uusia, entistä haastavampia vaatimuksia. Uuden lainsäädännön soveltaminen alkaa 25. toukokuuta 2018. Organisaatioissa on kuitenkin jo nyt hyvä olla käsitys mahdollisista puutteista tietosuojan hallinnassa ja henkilötietojen käsittelyssä. Näin ne ehtivät käynnistää ajoissa varsinaisen kehitystyön.

Uusia velvoitteita – keskiössä rekisterinpitäjän osoitusvelvollisuus

Tietosuoja-asetus tuo rekisterinpitäjille ja tietojenkäsittelijöille uusia velvoitteita. Asetuksen keskiössä on rekisterinpitäjän osoitusvelvollisuus, joka velvoittaa täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä hallinnollisesti että teknisesti. Organisaation on myös pystyttävä tarvittaessa osoittamaan, että näin on todella toimittu – organisaation on dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset ja millä perusteilla toimenpiteet on valittu.

Tietosuoja-asetus velvoittaa nimittämään tietyissä tapauksissa tietosuojavastaavan, jonka tehtävä on muun muassa arvioida organisaation tietosuojan tilaa ja kehittämistarpeita sekä raportoida niistä suoraan johdolle. Nimittämisvelvollisuus koskee esimerkiksi sellaisia organisaatioita, jotka käsittelevät paljon arkaluonteisia henkilötietoja.

Kehitystyö – mahdollisuus eikä uhka

Organisaation kypsyystaso vaikuttaa siihen, kuinka paljon aikaa menee tarvittaviin muutoksiin ja tietosuojan hallinnoinnin sekä henkilötietojen käsittelyn käytäntöjen päivittämiseen. Kevyimmillään kehitysprojekti tarkoittaa politiikkojen, prosessien ja sopimusten päivittämistä, mutta haastavissa tapauksissa tarvitaan myös investointeja järjestelmäkokonaisuuteen.

”On hyvä huomata, että ”riittävä” taso jää osittain jokaisen organisaation itse arvioitavaksi.”

Monet organisaatiot ovat jo siirtyneet nykytilan arvioinnista kehitystyön pariin. Arviointiin on tärkeää panostaa, sillä se lisää johdon ja henkilöstön tietämystä henkilötietojen käsittelystä sekä auttaa tunnistamaan henkilötietojen käsittelyyn liittyviä kriittisiä prosesseja ja puutteita. Tietosuoja-asetuksen sanktiot esimerkiksi tietovuototapauksissa voivat nousta jopa neljään prosenttiin organisaation liikevaihdosta.

Tyypillisiä tietosuojan kipu- tai kehityskohteita ovat hallinnointirakenteiden ja politiikkojen kehittäminen, riskianalyysien tekeminen sekä sisäänrakennettu tietosuoja tiedon elinkaaren hallinnassa. Kehittämisen varaa on usein myös rekisteröityjen oikeuksien toteuttamisessa, henkilöstön osaamisessa, sopimusten hallinnassa sekä teknisissä ratkaisuissa.

Riskilähtöisyys auttaa mitoittamaan toimenpiteet

Osa asetuksen vaatimuksista vaatii vielä tarkennusta, ja toisaalta on hyvä huomata, että ”riittävä” taso jää osittain jokaisen organisaation itse arvioitavaksi. Asetuksen riskilähtöisyyden periaate ohjaa valitsemaan hallinta- ja suojauskeinot muun muassa käsiteltävien henkilötietojen luonteen, niihin kohdistuvien uhkien, teknologian tason sekä käytettävissä olevien resurssien mukaan.

Riskilähtöisyys edellyttää siis etukäteistä riskien ja vaikutusten arviointia, mutta tuo myös liikkumavaraa toimintatapojen valintaan.