Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.

Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua. Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.

Webinaarissa käsittelimme mm. seuraavia asioita:

  • Mitä tietotilinpäätös tarkoittaa?
  • Mitä hyötyjä se tarjoaa?
  • Miten tietotilinpäätös tehdään?

Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää. Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.

Katso webinaarin nauhoite alta

Webinaarin kalvosarja

Webinaarissa esitetyt kysymykset ja niiden vastaukset

K1:
Onko tietotilinpäätöksellä englanninkielistä nimeä? Pitäis myydä ajatus emoyritykseen…

V1:
Tietosuojavaltuutetun toimiston sivuilla on ohje: Laadi tietotilinpäätös ja sama englanniksi Prepare a Data Balance Sheet. Kyseinen käännös on validi. Samaan, tai lähes samaan, asiaan voidaan viitata myös termeillä Data inventory, Data catalog tai Data mapping. Näiden suhteen on vaikea antaa kiveenhakattuja ohjeita, sillä käännökset ja tulkinnat vaihtelevat usein tapauskohtaisesti.

K2:
Millaisissa rooleissa työskenteleviä ihmisiä tyypillisesti kuuluu tietosuojaorganisaatioon? Kyseessä lienee kuitenkin yleensä virtuaalinen tiimi eikä erillinen funktionsa organisaatiossa?

V2:
Tietosuoja-asetuksen toteuttamista käsittelevä VAHTI 1/2016 -ohje neuvoo seuraavasti: ”Yksiköitä, joista tietosuojaorganisaatio on suositeltavaa muodostaa, ovat henkilötietoja käsittelevät yksiköt, kuten esimerkiksi asiakaspalvelu, henkilöstöhallinto, palvelutuotanto, myynti ja markkinointi, sekä yksiköt, jotka vastaavat henkilötietoja käsittelevien järjestelmien, sovellusten tai palvelujen hankinnasta, kehityksestä, käyttöönotosta tai ylläpidosta, kuten esimerkiksi hankinta-, IT-, tietoturva- ja tuotekehitysyksikkö. Tietosuojaorganisaation tavoitteena on viedä tietosuojatyö osaksi organisaation operatiivista toimintaa ja raportoida esimerkiksi uusista henkilötietojen käsittelyä koskettavista hankkeista, muutoksista ja haasteista, jotta asetuksen määrittelemä osoitusvelvollisuus voidaan toteuttaa. Täten tietosuojaorganisaatio ja sen tehtävät kannattaa suunnitella siten, että organisaation olemassa olevaa organisaatiorakennetta, yhteistyörakenteita ja prosesseja hyödynnetään mahdollisimman paljon.”

K3:
Mikä on jatkossa kansallinen johtava valvontaviranomainen?

V3:
Tällä hetkellä Suomessa valvova viranomainen on Tietosuojavaltuutettu (Tietosuojavaltuutetun toimisto). Hallinnossa on parasta aikaa meneillään organisaatiomuutos, joten on myös mahdollista että vastuu siirtyy jollekin muulle olemassa olevalle tai perustettavalle viranomaiselle.

K4:
Milloin pitää tehdä? Pitääkö tietotilinpäätös toimittaa johonkin?

V4:
Tietotilinpäätös on pääosin organisaation sisäinen työkalu. Tilanteessa jossa viranomaisen toimesta arvioidaan organisaation tietosuojan tasoa (esimerkiksi tietovuodon tutkinnan yhteydessä), voidaan sitä käyttää myös osaltaan osoittamaan tietosuojan määrätietoista hallintaa ja kehittämistä (ks. osoitusvelvollisuus).

K5:
Onko EU tietosuoja-asetus uusi jätevesiasetus valtavassa mittakaavassa? Erittäin kireä sääntely, joka aiheuttaa paljon kustannuksia ja josta lopulta joudutaan toteamaan, ettei kukaan pysty vaatimuksia täyttämään.

V5:
Asetuksen astuessa voimaan 25.5.2018 on se suoraan sovellettavaa lainsäädäntöä kaikissa EU-maissa, ja kansallisten viranomaisten tulee sen toteutumista sellaisenaan valvoa. Toki seuraukset ja sanktiot lain rikkomisesta riippuvat siitä miten vakavan viranomainen kulloinkin kyseessä olevaa rikkomusta pitää.

Asetus itsessään mahdollistaa merkittävien sanktioiden asettamisen yrityksille ja yhteisöille, jotka sitä rikkovat. Viime kädessä asetuksen tulkinta tulee tarkentumaan lopullisesti ennakkotapausten myötä. Kuitenkin jo nyt on eri puolilla Eurooppaa nähty merkkejä kansallisten valvontaviranomaisten kiristyneestä tulkinnasta tietosuoja-asioiden suhteen.

K6:
Ymmärsin, että kaiken ei tarvitse olla valmista vuoden päästä, vaan riittää kun kaikki on aloitettu, eli organisaatio voi osoittaa että sillä on prosessit menossa tietosuojan parantamiseksi?

V6:
Tietosuoja-asetusta aletaan soveltamaan 25.5.2018. Tällöin siitä tulee velvoittavaa lainsäädäntöä, ja organisaatioiden on noudatettava sitä. Kansallinen valvontaviranomainen, ja viime kädessä EU-tuomioistuin, linjaavat lopulta sen, missä laajuudessa aloitettu mutta keskeneräinen työ tietosuojan kehittämiseksi tulkitaan lieventäväksi seikaksi mahdollisissa sanktiotapauksissa.

K7:
Voiko henkilötietotilinpäätöksen teon ’ulkoistaa’ niin kuin tietosuojavastaavan hommankin vai onko se organisaation homma?

V7:
Voi, mutta siihen on suositeltavaa kohdistaa myös sisäisiä resursseja, jotta siitä saadaan sisäisesti irti kaikki mahdolliset hyödyt. Tietotilinpäätöksen motiivina tulisi ensisijaisesti olla sisäisen tietoon ja sen hallintaan liittyvä selvitys-/kehitystyö. Tietosuoja-asetus itsessään ei vaadi tietotilinpäätöksen tekemistä.

K8:
Voidaanko geneettisten tai biometristen tietojen käsittelyä henkilön tunnistamista varten käyttää henkilötietona?

V8:
Kyllä, nämä luetaan asetuksessa henkilötiedoiksi.

K9:
Eikö asetus ole jo voimassa ja nyt ollaan menossa siirtymävaihetta?

V9:
Asetus on julkaistu, mutta sen soveltaminen alkaa 25.5.2018. Asetus julkaistiin 4.5.2016, ja nyt on käynnissä kaksivuotinen siirtymäaika. Huomionarvoinen seikka on myös, että Suomen kansallinen lainsäädäntö sisältää jo nykyisellään suuren osan tietosuoja-asetuksen sisällöstä, ja tietosuojavaltuutettu voi jo nyt asettaa sanktioita rikkomuksista.

K10:
Jos elät pellossa -> joudut varmemmin vastuuseen. Jos yrität parhaasi -> saat lähinnä neuvoja tietosuojaviranomaiselta?

V10:
Lähtökohtaisesti tietosuojaa ei kannata rakentaa tietosuojaviranomaisen ohjauksen varaan. Nyt käynnissä olevaa siirtymävaihetta on ehdottoman järkevää hyödyntää yksityiskohtien selvittämiseksi ja tarkennusten pyytämiseksi. Huomionarvoista on, että asetuksessa määrätyt sanktiot kohdistuvat etenkin tilanteisiin joissa rekisteröityjen tietoja vuotaa ulkopuolisille, tai niitä kerätään/käsitellään perusteettomasti (laki- & sopimusperusta). Kun maito on jo niin sanotusti läikkynyt, voi olla myöhäistä alkaa kyselemään neuvoja.