Paltan verkostoitumistilaisuus tietosuoja-asetuksesta keräsi paikalle täyden salin kuulijoita. Aiheen käsittelylle oli selvä tilaus, ja esiintyjäkaarti koostui parhaista asiantuntijoista.

Tietosuojavaltuutettu Reijo Aarnio avasi puheenvuorossaan sekä tietosuoja-asetuksen taustoja, että sen mukana tulevia velvoitteita. Muutosten taustalla vaikuttaa moni asia, ennen kaikkea EU:n digitaaliset sisämarkkinat ja kilpailun edistäminen, minkä vuoksi maiden kirjavia säännöksiä halutaan yhtenäistää. Viime vuosien digikehityksen myötä myös käytännöt ja ekosysteemi ovat muuttunet niin paljon, että tietosuojaa koskeva sääntely vaatii päivittämistä.

Yksi selkeistä yrityksiä koskevista muutoksista on se, että pelkkä sääntöjen noudattaminen ei riitä. Toimijoiden täytyy pystyä osoittamaan noudattavansa tietosuojasäännöksiä. Tämä vaatii varautumista ja suunnittelua.  Esimerkiksi palveluntarjoajan täytyy jatkossa taata asiakkailleen turvallinen asioiminen. Tietoturva ei siis ole käyttäjästä kiinni vaan, sen tulee olla sisäänrakennettu palveluntarjoajan järjestelmiin. Palveluntarjoajalle tulee myös velvollisuus ilmoittaa tietoturvaloukkauksista.

Myös kansalaisten oikeudet lisääntyvät. Jokaisella on jatkossa oikeus tulla unohdetuksi, eli erilaisten rekisterien tiedot tulee pystyä poistamaan. Lisäksi henkilöillä on tietyissä tilanteissa oikeus siirtää omat tietonsa palveluntarjoajalta toiselle. Valvontaviranomaisen rooli vahvistuu ja sille tulee oikeus sakottaa tietoturvarikkomuksista.

– Miten aiotte vastata kasvavaan kansainväliseen kilpailuun, kun lainsäädännölliset esteet kilpailun laajenemiseen poistuvat? Miten aiotte jatkossa osoittaa, että noudatatte uutta sääntelyä? Miten huolehditte osaamisesta ja tietoturvasta? Ovatko sisäiset prosessinne uuden sääntelyn edellyttämässä kunnossa ja toimintatavat määritelty, tietosuojavaltuutettu Aarnio herätteli kuulijoita.

Tietotilinpäätös työkaluna

Tieto liittyy olennaisesti Trafin toimintaan, sillä tieto on nostettu yhdeksi liikennemuodoksi perinteisten liikennemuotojen rinnalle. Tietojen käsittelyyn liittyvää materiaalia, prosessikuvauksia ja käytänteitä on paljon, mutta aiemmin Trafissa ei ole ollut selkeää ja yksinkertaista kokonaiskuvausta siitä, mitkä ovat keskeiset Trafin ylläpitämät tietovarannot ja miten niihin sisältyviä tietoja hoidetaan vastuullisesti.

Tietotilinpäätös sisältää muun muassa rekisterinpitäjän vastuisiin ja rekisteröidyn oikeuksiin liittyvien toimintatapojen kuvaamisen siten, että vastuisiin ja oikeuksiin liittyvät toimintatavat ovat koko organisaation tiedossa.

– Meille tietotilinpäätös on vuosittainen raportti, joka syntyy oman toiminnan tarkastelun tuloksena, oman organisaation näköiseksi, mutta palvelee myös sidosryhmiämme. Sen avulla raportoimme mitä tiedon käsittelyä koskeville asioille on tehty ja mitä pitäisi vielä tehdä. Se myös auttaa meitä osoittamaan, että noudatamme tietosuoja-asetusta, Trafin johtava asiantuntija Leila Hanhela-Lappeteläinen sanoi

– Tilinpäätös toimii valvonnan apuna, johdon työkaluna, mutta se on myös keskeinen työkalu luottamuksen rakentamisessa ja oman organisaation kehittämisessä. Johdon sitoutuminen tärkeää, mutta koko henkilöstö on saatava mukaan. Kaikkien on tiedettävä miksi tilinpäätös tehdään, ja mikä on oma rooli tiedonkäsittelyyn liittyvissä prosesseissa, Hanhela-Lappeteläinen muistutti.

Suomen malli on rakenteilla

Tietosuoja-asetuksen toimeenpanoa varten oikeusministeriöön on perustettu työryhmä, jonka tavoitteena on laatia Suomen malli asetuksen toimeenpanosta ja käytännöistä.

– Tulevan lainsäädännön osalta monet yksityiskohdat vaativat vielä täsmentämistä, mutta neuvoisin silti aloittamaan jo valmistautumisen. Lainsäädännön tuomat velvollisuudet tulee integroida osaksi arjen käytäntöjä ja sopia rooleista ja toimintatavoista eri tilanteissa, työryhmän puheenjohtaja Pekka Nurmi muistutti.

Myös EK:n asiantuntija Veli Sinda patisti paikallaolijoita tarttumaan toimeen. Muutosvaihe vaatii ennakointia ja kykyä osoittaa, että tietosuoja-asiat on suunniteltu valmiiksi.

– Vaikka muutos vaatiikin toimenpiteitä lähes jokaiselta toimijalta, samalla se myös kehittää yritysten tiedonkäsittelyvalmiuksia. Tietojenkäsittely voi jatkossa tuottaa myös aivan uudenlaista lisäarvoa, joten tämä on samalla myös mahdollisuus, Sinda muistutti.

Erityiskysymykset vaativat vielä täsmennyksiä

Avarn Securityn toimitusjohtaja Juha Murtopuro kommentoi tietosuojalain muutoksia oman yrityksensä näkökulmasta. Puheenvuorossaan hän muistutti siitä, kuinka monitahoisia tietosuojaan liittyvät kysymykset voivat olla.

– Turvallisuusalalla yksi keskeinen kysymys liittyy videomateriaaliin ja sen tietosuojasääntelyyn. Miten käsitellään turvakameroiden videomateriaalia, ihmisten tunnistettavuutta videolla ja videomateriaalin jatkokäyttöä? Miten tietojen siirrettävyys toteutetaan? Miten varaudumme siihen, jos ihmiset alkavat enenevässä määrin pyytää itseään koskevaa materiaalia nähtäväkseen? Kuinka helposti sanktioita tullaan jakamaan ja kuinka suuria sakot ovat? Monet tietosuojaan liittyvät käytännöt ovat edelleen auki, mutta onneksi asiaan on vielä aikaa varautua, Murtopuro pohti.

Mistä liikkeelle?

Tietosuojalain muutoksiin tulisi siis varautua, mutta mistä lähteä liikkeelle? Paltan asiantuntija Pia-Maria Pesonen esitti listan hyviä kysymyksiä.

  • Tiedättekö jo, onko yritykseenne nimitettävä tietosuojavastaava?
  • Mikä on peruste, jolla käsittelette mitäkin henkilötietoja?
  • Missä kaikkialla yrityksenne henkilötietoja säilytetään?
  • Miten tietojen käsittelystä informoidaan asiakkaita ja työntekijöitä?
  • Koska tietoja poistetaan ja saadaanko ne oikeasti poistettua järjestelmistä?
  • Miten on määritelty, ketkä pääsevät tietoihin käsiksi?
  • Miten ja kuinka nopeasti kaikki asiakkaan tai työntekijän henkilötiedot saadaan toimitettua hänelle, kun hän haluaa tarkastaa ne?
  • Oletteko käyneet jo läpi ulkoistamissopimuksenne ja alkaneet neuvotella niihin tietosuoja-asetuksen edellyttämiä asioita?
  • Oletteko suunnitelleet prosessin, jolla ilmoitatte tietoturvaloukkauksista?

– Tietosuojakysymyksiä ei voi ulkoistaa tai vastuuttaa vain yhdelle henkilölle. Se on koko organisaation vastuulla ja vaikuttaa keskeisesti yrityksen maineeseen ja brändiin, Pesonen muistutti.

Uusi tietosuojalainsäädäntö tulee voimaan 25.5.2018.

Lisämateriaalia:

Puhujien esitysmateriaalit ja tallenne tilaisuudesta löytyvät Paltan Jäsensivuilta.

Lisätietoja: tiia.lemmetti@palta.fi

Päivän esiintyjäkaarti: Avarn Securityn toimitusjohtaja Juha Murtopuro (vas.), tietosuojavaltuutettu Reijo Aarnio, EK:n asiantuntija Veli Sinda, Paltan asiantuntija Pia-Maria Pesonen, Trafin johtava asiantuntija Leila Hanhela-Leppeteläinen, Paltan toimitusjohtaja Riitta Varpe ja TATTI-työryhmän puheenjohtaja Pekka Nurmi.