Europarlamentin kansalaisvapauksien valiokunnan hyväksymä tietosuoja-asetus ja tietosuojadirektiivi astui voimaan 24.5.2016. Siirtymäaikaa asetuksen noudattamiselle annettiin kaksi vuotta, joten uusia tietosuojasääntöjä aletaan soveltaa 25.5.2018, myös Suomessa.

Vahinkovakuutusyhtiö Ifin elokuussa 2017 julkaisemasta kyselytutkimuksesta ilmenee, että lähes kaksi kolmesta pk- yrityksestä arvioi tietävänsä vähintään pääpiirteissään, mitä vaatimuksia sääntely tuo omalle yritykselle. Epäilen kyllä, että tuloksessa korostuu enemmän ymmärrys siitä, että tiedetään milloin tietosuoja-asetus astuu voimaan, ja että otsikkotasolla ymmärretään, mitä asioita ne tulevat koskettamaan. Huolestuttavaa tuon kyselyn tuloksissa oli, että joka seitsemäs vastaaja myönsi, ettei lainkaan tiedä asetuksen merkitystä.

Lähtökohtana uudella asetuksella on suojella kuluttajaa ja harmonisoida jäsenmaiden kansallinen lainsäädäntö sekä luoda yhteiset standardit pitkälle tulevaisuuteen. Asetus korvaa nykyisen EU –direktiivin sekä myös Suomen nykyisen henkilötietolain, ja edellyttää myös henkilötietolain muuttamista suurelta osin.

Mitä muutokset koskettavat?

EU:n yleinen tietosuoja-asetus on pakottavaa lainsäädäntöä ja tulee edellyttämään organisaatioilta perinteisten rekisteriselosteiden, tietoturvan ja tietosuojan lisäksi uusia prosesseja ja jopa aivan uudenlaista työnkuvaa. Eli merkittäviä muutoksia voi olla tiedossa monissa organisaatioissa.

Usein EU:n tietosuoja-asetus ymmärretään vain rekisteriselosteiden tarkennuksena, mutta se on paljon laajempi ja vaativampi velvoite. Vaatimuslistalla ovat myös erilaiset prosessikuvaukset sekä tietojärjestelmiin, tietovarantoihin ja näiden välisiin tietovirtoihin liittyvä dokumentaatio. Nämä kaikki liittyvät kiinteästi tilintekovelvollisuuteen, jossa määritetään, että organisaatiot ovat velvoitettuja osoittamaan ja todistamaan aktiivisesti noudattavansa lakia – asianmukaisesti ja rekisteröidyn henkilön kannalta läpinäkyvästi, ja että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa.

Kaikkien prosessien ja toimenpiteiden tulee olla dokumentoituja. Ja kun tarkastellaan kuvattujen dokumentoitavien toimenpiteiden listaa (mm. tietosuojapolitiikka, tietoarkkitehtuuri- ja tietovirtakuvaukset, koulutusmateriaalit, sertifioinnit, tietotilinpäätösraportointi, roolit, vastuut, työohjeet jne), on helppo todeta, että mistään pienestä asiasta ei ole kyse. Mitä enemmän organisaation liiketoiminta perustuu henkilötietojen keräämiseen ja hyödyntämiseen, ja mitä enemmän niitä koskevia prosesseja on olemassa, sitä suurempi työ uuden tietosuoja-asetuksen velvoitteiden täyttäminen on.

EU:n tietosuoja-asetuksessa on määritelty asiakirja, joka jokaisen rekisterinpitäjän on laadittava, ja pidettävä jokaisen saatavilla. Siitä tulee ilmetä mm. henkilötietojen käsittelyn tarkoitus, mihin tietoja säännönmukaisesti luovutetaan ja kuvaus rekisterin suojauksen periaatteista. Ja kun henkilötietoja ei enää tarvita, ne tulee hävittää järjestelmästä, ellei niiden jatkokäsittelylle ole laillista perustetta. Iso muutos on pystyä perustellusti todentamaan, miksi henkilötietoja ylipäänsä kerätään, mihin niitä käytetään ja miten sekä kuinka pitkään niitä säilytetään.

Henkilötietojen käsittelyn piirteitä uudessa asetuksessa

Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi tiedoiksi. Henkilötietoja ovat esimerkiksi nimi, valokuva, IP-osoite, henkilötunnus, nimi + työnantajan nimi, henkilö jäljitettynä sijaintiin esim. matkapuhelimen avulla ja joissakin tapauksissa myös puhelinnumero.

Henkilö voi vaatia, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niihin tarkoituksiin, joihin ne alun perin kerättiin, ellei käsittelylle ole laillista perustetta. Henkilötiedot saa pyynnöstä huolimatta säilyttää muun muassa silloin, jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Luonnollisella henkilöllä on myös oikeus saada omat tiedot käyttöönsä yleisesti käytettävässä tiedonsiirtomuodossa milloin tahansa pyydettäessä. Nämä velvoitteet todennäköisesti edellyttävät muutoksia niin toimintatapoihin kuin tietojärjestelmiinkin.

Jo nyt tunnistettuja riskejä olemassa olevissa prosesseissa on ollut mm. liian henkilötiedon kerääminen (suhteessa käyttötarkoitukseen), vanhojen tai virheellisten tai epärelevanttien tietojen käsittely, henkilötietojen käsitteleminen lainvastaisiin tai käsittelyn tarkoituksen vastaisiin tarkoituksiin sekä tyypillisesti useissa organisaatioissa se, että tietoihin pääsee käsiksi liian suuri joukko organisaation työntekijöitä. Uuden asetuksen mukaan käsittelijöiden piiriä tulee rajoittaa, ja myös tietojärjestelmien oikeuksia rajoittamalla varmistaa, että vain asianmukaisilla henkilöillä on pääsy henkilötietoihin.

Mitä on tietotilinpäätös?

Tietotilinpäätös on käytännössä yksi raportoinnin muoto yrityksille ja yhteisöille. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu. Se on myös oivallinen työkalu henkilötiedon haltuunottoon, sekä auttaa myös osoitusvelvollisuuden toteuttamisessa. Tietotilinpäätöksessä on kyse organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää. On kuitenkin korostetusti muistutettava, että tietosuojan toteuttaminen on jatkuva prosessi, ja että tietotilinpäätös on nimensä mukaisesti tietotilinpäätöshetken tilanne. Yksi hyvä tapa voisi olla sitoa tietotilinpäätös organisaation vuosikelloon, niin että ajantasainen tietotilinpäätös voidaan kätevästi liittää taloudellisen tilinpäätöksen ”liitteeksi”.

Kun tarkastellaan tietotilinpäätökseen sisältyviä kokonaisuuksia, huomataan, että asianmukaisesti toteutettuna se vaatii paljon työtä, joko organisaation sisäistä työtä, asiaan perehtyneiden konsulttien osaamista tai näiden yhdistelmää. Joka tapauksessa siihen on varattava paljon aikaa, koska jokainen organisaation henkilötietoja käsittelevä prosessi on kuvattava, tarkasteltava ja dokumentoitava erikseen.

Tietotilinpäätökseen laajuuteen vaikuttavia asiakokonaisuuksia ovat mm. liiketoiminnan luonne, koko ja sen vaikutukset tietosuojalle, verkkopalveluihin liittyvät prosessit ja dokumentit, tietosuojan alaista tietoa käsittelevät prosessit ja järjestelmät, tietosuojaan liittyvät ohjeistukset ja dokumentaatio sekä henkilötietojen käsittelyyn liittyvien sopimusten katselmointi.

Lopputuloksena tietotilinpäätöksessä syntyy analysoidut dokumentit ja ohjeistukset, analysoidut henkilötietoja käsittelevät prosessit ja niihin liittyvät tietojärjestelmät, tietovarannot ja tietovirrat, kehityssuunnitelma ja suunnittelun etenemisen varmistavat auditoinnit. Varsinkin, jos tietotilinpäätös tehdään kokonaan organisaation omin voimin, on auditoinnin osoittaminen ulkopuolisen toteuttamana suositeltavaa. Yksi tietotilinpäätöksen eduista on myös se, että jo sen ensimmäistä versiota voidaan hyödyntää osoitusvelvollisuuden täyttämisen todentamiseen.

Kenellä on vastuu tietosuoja-asetuksen velvollisuuksien täyttämisestä?

Vastaus otsikon kysymykseen on yksinkertainen. Vastuu on organisaation johdolla. Jotta asetusta aletaan varmasti noudattaa sen määrittelemässä laajuudessa, on sen noudattamatta jättämisestä määritelty merkittävät sanktiot. Asetuksessa määritellään myös, että organisaatioissa on nimettävä asiasta vastaava henkilö. On myös tärkeää, että määritellään tietoturvaan liittyvät roolit ja vastuut yleisesti. Yksi henkilö ei voi olla koko organisaation tietoturva ja tietosuoja, eli yrityksissä tulisi olla oma määritelty tietoturvaorganisaationsa. Koulutukset aiheesta koko henkilöstölle tulisi pitää jatkuvasti ajan tasalla, jotta kaikki voisivat ja osaisivat toimia astuksen vaatimusten ja yrityksen määrittelemän toimintatavan mukaisesti.

Vaikka tietosuoja-asetuksen noudattamista aletaan vaatia vasta 25.5.2018 alkaen, on hyvä ymmärtää, että kyseessä on prosessi, ei projekti. Ja jos teidän organisaatiossanne ei ole vielä aloitettu ensimmäisen kierroksen projektia asioiden kuntoon saattamiseksi ja dokumentoimiseksi (esim. tietotilinpäätös), nyt alkaa olla viimeiset hetken hihojen käärimiseksi.


Veli-Matti Heiskanen, Senior Advisor, Pro CIO Oy, on toiminut 1990 –luvun puolesta välin lähtien ICT –alan organisaatioiden johtoryhmien jäsenenä. Nykyään Veli-Matti edistää robotiikan leviämistä ja käyttöönottoa Suomessa, valmentaa organisaatioiden myyntiorganisaatioita tekemään arvopohjaista myyntiä ja edesauttaa organisaatioita EU:n tietosuoja-asetusten velvoitteiden täyttämisessä.