EU GDPR eli yleinen tietosuoja-asetus ja sen vaatimuksia ei pystytä ratkaisemaan kaupallisella tuotteella, vaan yrityksen on mietittävä kokonaisuutta ja toimittava lainsäädännön ja asetuksien mukaisesti. Regulaation vaatimuksiin ei voi vastata yksittäisellä asialla, tuotteella tai jäämällä odottamaan valmiita ratkaisuja – niitä ei tule olemaan. Miettimällä asioita prosessien kautta, voit valmistautua vaatimuksiin askelittain.
Sanomalan uutisten otsikot huutavat EU tietopyyntöjä ja käsittelypyyntöjä – mistä oikein on kyse? Mitkä käsittelyajat nyt voisivat olla ongelmallisia? Aloitetaan ensin taustalta eli miten EU:n GDPR eli EU:n yleinen tietosuoja-asetus koskee myös minua yksilönä? Miksi prosessit liittyvät tietosuoja-asetukseen ja tietopyyntöihin yhtenä keskeisenä asiana?
Lähestymällä EU GDPR:ää oikeuksien ja vaatimuksien kautta, olennaisessa osassa tiedonhallinnan ja -käsittelyn vaatimuksissa ovat henkilön:
- Oikeus nähdä omat tietonsa ja mahdollisuus niiden korjaamiseen
- Oikeus tulla unohdetuksi
- Oikeus tietojen siirrettävyyteen sähköisesti luettavassa muodossa
EU:n yleinen tietosuoja-asetus asettaa vaatimuksia ja velvoitteita, johon tietojen tallentajien sekä käsittelijöiden on vastattava määräajoissa. Rekisterinpitäjällä on velvollisuus vastata tietopyyntöön ”ilman aiheetonta viivytystä” ja viimeistään kuukauden kuluessa.
Käytännössä kyselyn pitäisi käynnistää prosessi, joka on suunniteltu, testattu ja toimivaksi todettu – GDPR:ssä tiedon tallentajalla/käsittelijällä on toteennäyttötaakka – todista, miten, mistä, millä tavalla. Henkilön/yksilön tietopyynnössä yrityksen pitää miettiä:
- Miten tarjotaan henkilölle pääsy omiin tietoihin – onko helpompi tarjota esimerkiksi nettilomaketta, jonka kautta käynnistyy laskuri sisäisesti palvelutasoon.
- Miten pyynnön tekijän henkilöllisyys varmennetaan, jolla vältetään tietojen antaminen väärälle henkilölle aiheuttamatta samalla uutta tietorikkoumusta.
- Hyväksytyn tunnistamisen jälkeen prosessi jakaantuu tietopyyntöihin yrityksen sisällä sekä yhteistyökumppaneille.
- Tietojen arviointi ja luokittelu – mitä voidaan antaa, mikä on yhtiön sisäistä, mikä on henkilön omaa.
- Miten tiedot rajataan, jos esimerkiksi aineistossa on useita henkilöitä koskevia tietoja, on muut tiedot rajattava luotettavalla tavalla.
- Miten aineisto kerätään sähköisesti luettavaan muotoon
- Valmistella toimitus, varmistetaan ettei aineistossa ole ylimääräistä ja samalla huolehditaan lainsäädännön mukaisuudesta myös itse selvitykselle (pääsynhallinta, säilytys…).
- Luotettava tiedon jakamistapa tietopyynnön tekijälle. Tavallinen sähköposti on kuin postikortti – kuka tahansa ylläpitäjä pystyy lukemaan postia myös viestiketjun varrelta. Salattu sähköposti tai muuten luotettava tiedonjakotapa ja esimerkiksi kertakäyttöisten salasanojen käyttö tiedonjakopalvelussa on suositeltavaa (vai onko suositus)
- Toimitetaan aineisto tietopyynnön tekijälle.
Kaikki nämä vaiheet ovat EU GDPR:n mukaan suoritettava jäljitettävällä tavalla, jolloin voidaan todentaa mitä missäkin vaiheessa on tehty.
Oletko valmis – EU GDPR:n kovennettu voimaantulo on toukokuussa 2018. Oletko testannut, että pystyt vastaamaan tietopyyntöihin? Olennaista on huomata, että jos pystyt, huomaat samalla, että sisäiset prosessit ovat parantuneet ja tieto onkin löydettävissä helposti.
Juha Sallinen toimii GDPR Tech yhtiössä konsulttina ja kouluttajana. Hän on taustaltaan nykyaikainen moniosaaja, jota EU GDPR:ssä oleviin vaatimuksiin tarvitaan. Työtehtävissä hän on ollut pienestä koulutusyhtiöstä suuriin monikansallisiin jätteihin kuten HP, Unisys, Wipro ja ulkoistuspuolella mm. Tiedolla.