Haluan omistaa tämän artikkelin edesmenneelle veljelleni Villelle, joka oli yksi Suomen johtavista tietosuoja-asiantuntijoista ja sai myös minut kiinnostumaan aiheesta tarkemmin. Koska en ole juristi vaan informaatioalan ammattilainen, oma näkökulmani aiheeseen on tietolähtöinen ja siihen on voimakkaasti vaikuttanut iso tietosuojahanke, jossa olen ollut mukana viimeisen vuoden ajan.
Ymmärtääksemme tietosuojan asettamia vaatimuksia tiedon hallinnalle, pitää tuntea tietosuoja-asetuksen perusperiaatteet: mitä tietoa organisaatiossa on, mikä tästä on henkilötietoa ja mitkä ovat sen käsittelyperusteet. Oikein tulkittuna ja toteutettuna tietosuoja-asetus voi tuoda liiketoiminnallista kilpailuetua, kun yrityksen tietopääomaa hyödynnetään asiakkaan palvelun parantamiseksi esimerkiksi hänen suostumuksellaan.
Ensi vuoden toukokuussa voimaan astuva tietosuoja-asetus tuo suuria muutoksia henkilötietojen käsittelyyn. Asetuksessa henkilötieto nähdään kuuluvan loogiseen rekisteriin. Yksi looginen rekisteri voi sisältää yhden tai useamman tietojärjestelmän, jonne tiedot on fyysisesti tallennettu. Toinen mahdollisuus on, että yksi tietojärjestelmä pitää sisällään usean eri rekisterin tietoja. Esimerkiksi samassa asiakasjärjestelmässä voi olla usean organisaatio-osan tietoja.
On huomattava, että tietosuoja-asetus ei kohdistu vain ulkoisiin asiakkaisiin, vaan sen piirissä ovat kaikki liiketoiminnassa mukana olevat eri henkilöosapuolet henkilökunnan tiedot mukaan lukien. Osapuolen käsitteeseen liittyen on tärkeää ymmärtää osapuolen elinkaari sekä prosessi- että tietonäkökulmasta. Esimerkiksi kun henkilö perustetaan asiakasjärjestelmään, hänestä tulee asiakasosapuoli, ja järjestelmästä on tällöin pystyttävä tunnistamaan, mitkä tiedot henkilö antaa itse ja mitkä haetaan muita kanavia pitkin. Asetuksen mukaan henkilöllä on oikeus omiin tietoihinsa, jopa niin, että tiedot voidaan siirtää toiselle palveluntarjoajalle.
Jokaisesta rekisteristä tulee tehdä rekisteri-/tietosuojaseloste, jossa kuvataan, mitä henkilötietoa rekisterissä voi olla ja millä tavoin tätä tietoa voidaan käsitellä. Asetuksessa ei tähän oteta suoraan kantaa, vaan kunkin organisaation on tämä tulkittava omista toimintaprosesseistaan, esimerkiksi hyödyntämällä liiketoiminnan käsite- tai tietomallia.
Henkilötiedon käsite on laaja. Siihen kuuluvat toisaalta perustiedot kuten nimi, osoite ja puhelinnumero, mutta myös kaikki henkilöön liittyvä toiminnallinen tieto sekä sellainen tieto, josta henkilön voi tunnistaa joko suoraan tai yhdistämällä useita tietoja toisiinsa. Tästä päästään siihen johtopäätökseen, että erityisesti tieto-orientoituneessa organisaatiossa lähes kaikki tieto on henkilötietoa. Asetuksen mukaan rekisteröidyllä eli henkilöllä on oikeus tehdä omista tiedoistaan rekisterikohtaisia tietopyyntöjä. Tällöin henkilölle on toimitettava lähes kaikki häneen liittyvä tieto, poislukien esimerkiksi liikesalaisuuksiin ja rikosepäilyilhin liittyvät tiedot.
Myös vapaamuotoiset kommenttikentät kuuluvat henkilötietoihin, joten tästä voi seurata tarve ohjeistaa, mitä tietoa työntekijät organisaation sisällä kirjoittavat näihin kenttiin. Erityisen tarkkana on oltava arkaluonteisen tai muuten liiketoiminnassa salassapidettävän tiedon kohdalla. Asetuksen artiklassa 9 mainitaan erityiset henkilötietoryhmät, jotka tarkoittavat henkilöön kohdistuvia arkaluonteisia tietoja. Näitä ovat mm. terveyteen, uskontoon, rotuun ja seksuaaliseen suuntautumiseen liittyvät tiedot sekä myös tieto ammattiliittoon kuulumisesta.
Tietosuoja-asetus ei siis pelkästään ohjaa tietojen käyttämistä, vaan myös vahvistaa, että toimitaan oikein muiden liiketoimintaa ohjaavien lakien puitteissa. Esimerkiksi jos henkilö haluaa poistaa tietojaan (“oikeus tulla unohdetuksi”), voivat muut liiketoiminnan säilytysaikavaateet estää tämän. Pisimmillään säilytysaika voi eräiden vakuutuslajien osalta olla jopa 100 vuotta, kun taas potentiaalisen asiakkaan tietoja saa säilyttää esimerkiksi vain puoli vuotta. Myös erityisesti riskienhallinnalla on omia velvoitteita asiakkaiden tietojen säilytykseen.
Asetuksessa käytetään termiä tietojen käsittelyperuste, jolla varmistetaan henkilötietojen oikea käyttötarkoitus eri liiketoimintaprosesseissa. Jotta käyttötarkoitukset voidaan ymmärtää, pitää myös selvittää, miten tieto liikkuu organisaatiossa: missä järjestelmissä se tuotetaan ja, ennen kaikkea, mitkä liiketoiminnan prosessit sitä käyttävät. Esimerkiksi kun asiakas käyttää oikeuttaan oikaista tietojaan, pitää tietojen korjaus viedä läpi koko prosessin. Tärkeää on siis ymmärtää asiakasprosessi kokonaisuutena.
Kun siirrytään yleisistä periaatteista yksittäisen henkilötietoelementin kuvaamiseen, on tietosuojan näkökulmasta tunnistettava useita eri ulottuvuuksia. Perinteisten kuvauksen ja muodon lisäksi merkittävässä roolissa ovat ainakin tiedon elinkaari sekä miten tietoa syntyy, hallitaan ja poistetaan. Tässä ulottuvuudessa voidaan huomioida myös henkilön osapuolirooli ja siihen liittyvät elinkaaren vaiheet: mikä on tiedon lähde, antaako rekisteröity tiedon itse vai saadaanko se esimerkiksi virallisesta lähteestä ja kauanko tietoa kuuluu säilyttää. Toinen ulottuvuus on tiedon käyttövaltuus eli kuka tietoa saa nähdä ja mahdollisesti myös muuttaa. Lisäksi on selvitettävä, onko tieto arkaluonteista. Näiden lisäksi tietoelementtejä voidaan myös luokitella liiketoiminnan muiden tarpeiden mukaan.
Miten tiedonhallinta ja tietosuoja liittyvät toisiinsa? Onko tiedonhallinnan tavoitteena yrityksen tietopääoman tuntemus, tietojen oikeellinen käyttö, tiedon oikeellisuus vai tiedon laadun parantaminen? Nämä kaikkihan kuuluvat myös tietosuoja-asetuksen tavoitteisiin. Ainoa ero, jonka itse löydän, on se, että tietosuojan kohteena on henkilötieto ja tiedonhallinnassa laajasti koko liiketoimintatieto. Siksi voidaan sanoa, että tiedonhallinnan roolin on oltava vahva myös tietosuoja-asetuksen tulkinnassa.
Perustellusti voidaan siis sanoa, että hyvä tiedonhallinta on tietosuojan ja muidenkin regulaatioiden onnistumisen edellytys. Näin varmistetaan myös, että asiakkaiden ja muidenkin rekisteröityjen saama asiakaskokemus saadaan onnistumaan ja he voivat luottaa omien tietojensa osalta suojattuun toimintamalliin. He voivat siis astella luottavaisesti digitalisaation suojateitä pitkin.
Minna Oksanen on tiedon hallinnan asiantuntija, jolla on kokemusta regulaatioihin liittyvistä hankkeista erityisesti finanssisektorilla. Viimeisen vuoden hän on osallistunut laajaan tietosuojahankkeeseen tiedon hallinnan näkökulmasta. Hänen vahvuuksiaan on myös ymmärrys liiketoimintatiedon mallintamisesta ja hyödyntämisestä.