Muuttunut maailmantilanne on nostanut tietosuojakysymykset jälleen erityiseen valokeilaan. Yrityksiin kohdistuu yhä enemmän erilaisia tietosuojaan ja tietoturvaan liittyviä uhkia, ja riskit tällä alueella ovat korostuneet. Se, että yrityksellä on tietosuoja-asiat prosesseineen hyvin suunniteltu ja osana toimintaa, on olennainen seikka erilaisten uhkien torjunnassa, vahvistaa tietoturvaa sekä on myös kilpailutekijä. Myös yrityksen henkilöstön osaamisen ja tietoisuuden taso näissä asioissa on keskeistä ja osa yritysten turvallisuuspolitiikkaa.
Tietosuoja on perusoikeus ja sen tarkoituksena on turvata rekisteröidyn oikeuksia sekä antaa perusteet henkilötietojen käsittelylle. Tietoturva taas on esimerkiksi teknisin menetelmin tapahtuvaa henkilötietojen suojaamista. Yrityksen kannalta on tärkeää turvata sen toimintojen ja henkilötietojen suoja ja luottamuksellisuus sekä varautua mahdollisten riskien realisoitumiseen. Käytännön esimerkki on mm. sen varmistaminen, että yrityksen palveluksesta lähteneet työntekijät eivät enää pääse työnantajan järjestelmiin.
Suunnitellut toimintamallit ja henkilöstö avainasemassa
Säännöllinen henkilöstön kouluttaminen tietosuoja- ja tietoturva-asioissa on yrityksen kannalta tärkeää ennakointia ja riskienhallintaa. Tällä tavoin varmistetaan henkilöstön tietosuojan ja tietoturvan osaamisen taso ja voidaan myös testata, että politiikka ja toimintaohjeet ovat kaikilla tiedossa ja sisäistetty. Erilaisten tilanteiden tunnistaminen nopeuttaa myös negatiivisiin tapahtumiin puuttumista ja vähentää mahdollisen vahingon suuruutta.
Riskien toteutuessa tietosuojaan liittyvät prosessit ovat merkittävässä roolissa. Prosessien toimivuus ja niiden dokumentointi onkin hyvä saattaa ajan tasalle. Koko henkilöstön tulee tunnistaa riskit ja osata reagoida niihin tarvittaessa. Vastuun ymmärtäminen ja ottaminen on keskeinen osa prosessia ja nopeuttaa tarvittavia toimenpiteitä.
Tietosuoja ja tietoturva eivät ole yrityksen muusta toiminnasta erillisiä osia, vaan niiden tulee olla osa koko organisaation toimintaa ja arkea. Tietosuojan ja tietoturvan sisältö ja määritelmät myös tarkentuvat ja muuttuvat jatkuvasti. Siksi jatkuva seuranta ja osaamisen ylläpito sekä tarvittavien päivitysten tarkastelu on tärkeää ja tarpeen yhä useammin.
Yritysten on hyvä varmistaa ainakin seuraavat asiat:
-
- Osataanko henkilötiedot ja erilaiset henkilötietojen luokittelut tunnistaa?
- Onko vaikutustenarviointi (työkalu henkilötietojen käsittelyn riskien kartoitusta varten) tehty/päivitetty?
- Täyttyykö tarpeellisuusvaatimus henkilötietojen käsittelyn osalta?
- Onko muun lainsäädännön edellyttämät velvoitteet hoidettu?
- Onko työntekijöitä tiedotettu?
- Onko prosessit dokumentoitu ja informointivelvoite täytetty?
- Onko tietoturvaloukkauksiin varauduttu?
Riippumatta siitä, että yrityksessä on tiettyjä nimettyjä rooleja tietosuojan alueella, ovat tietosuoja ja tietoturva aina yrityksen johdon vastuulla. Esimerkiksi tietosuojavastaavan rooli on tukea yritystä, neuvoa ja opastaa sekä seurata, että yrityksessä noudatetaan tietosuojalainsäädäntöä, mutta vastuu tietosuojan toteutumisesta on yrityksellä ja sen johdolla. Tärkeää on toki myös se, että yrityksen henkilöstö on sitoutunut tietosuojan ja tietoturvan varmistamiseen kaikessa yrityksen toiminnassa. Tietosuoja on kaikkien asia ja osa päivittäistä elämää.
EU:n tietosuoja-asetus (GDPR) tuli sovellettavaksi vuonna 2018. Tämän lisäksi Suomessa sovelletaan tietosuojalakia, ja sen avulla on tietosuoja-asetuksen rajoissa täydennetty asetuksen säännöksiä. Suomessa on myös muuta lainsäädäntöä tietosuojan alueella, esimerkiksi työelämää koskeva laki yksityisyyden suojasta työelämässä. Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) on viranomainen EU-tasolla, joka varmistaa, että tietosuoja-asetuksen soveltaminen jäsenmaissa noudattaa yhteisiä periaatteita ja linjauksia. Tietosuojaneuvoston tehtäviin kuuluvat myös valvontaviranomaisten välisen yhteistyön seuranta ja ohjeistaminen. Lisäksi EU:n tietosuojaneuvosto ohjeistaa ja tulkitsee tietosuoja-asetusta mm. rajat ylittävän henkilötietojen käsittelyn osalta. Kansallisella tasolla tietosuojavaltuutetun toimisto valvoo tietosuojalainsäädännön noudattamista.
