Miten otan haltuun tietosuoja-asetuksen vaatimukset?
EU:n tietosuoja-asetus (EU) 2016/679 tulee voimaan 25.5.2018. IT-hankinnoissa asetuksen voimaantulon lähestyminen on herättänyt kasvavaa pohdintaa siitä, mitä pitäisi tehdä ja miten asetus huomioidaan sopimuksissa. Usein kysytty kysymys on, minkälaisella sopimusehdolla asetuksen vaatimukset huomioidaan. Kysymys on hyvä, vaikka vastaaminen onkin hieman mutkikkaampaa.
Jossain mielessä tilanne on hieman samankaltainen kuin vuosituhannen vaihteen tienoilla, jolloin kysymyksiä herättivät laatujärjestelmät. Mitä pitäisi tehdä? Kyse ei ole lopunperin yksittäisistä lausekkeista tai toimista, vaan kokonaisesta järjestelmästä. Tietosuoja-asetuksen osalta tilanteen tekee haasteelliseksi se, että ISO 9001 standardiin verrattuna tietosuoja-asetuksen noudattaminen on pakollista. Lisäksi asetuksen rikkominen johtaa tietyissä tilanteissa sanktioihin.
Mikä sitten tekee tietosuoja-asetuksen soveltamisesta mutkikasta? Ajatellaan teoreettisena esimerkkinä, että ostetaan Excel-ohjelma. Ohjelma on täysin laillinen, eikä tähän liity erityisiä kysymyksiä. Tietosuoja-asetus ei lähtökohtaisesti liity Excelin käyttöön, mutta jos Exceliin laitetaan henkilötietoja, päästäänkin asetuksen piiriin.
Voidaanko asia hoitaa lisäämällä hankintasopimukseen ehto, jonka mukaan toimittaja vastaa siitä, että Excel täyttää tietosuoja-asetuksen vaatimukset? Tämä ei liene tarkoituksenmukaista. Tietosuoja-asetuksen vaatimuksia ei nimittäin voida kokonaan täyttää siirtämällä vastuuta toimittajalle, vaan kyse on toimittajan toimittaman järjestelmän ja järjestelmää käyttävän organisaation toiminnan yhteistuloksesta.
Lisäksi järjestelmä voi olla rakennettu siten, että se kyllä itsessään täyttää tietosuoja-asetuksen vaatimukset. Järjestelmää käyttävä organisaatio voi kuitenkin rikkoa tietosuoja-asetusta esimerkiksi niin, että henkilörekisterille ei ole asetuksen mukaista perustetta tai sitä käytetään asetuksen periaatteiden vastaisesti. Yksittäisen henkilötiedon käsittelylle taas kohdistuu asetuksessa erilaisia vaatimuksia järjestelmätasolla esimerkiksi sen mukaan, kerätäänkö henkilötietoja lakisääteisen velvoitteen noudattamiseksi vai rekisteröidyn suostumuksen perusteella.
Tämän vuoksi tietosuoja-asetuksen soveltamista täytyy lähestyä henkilörekisterin käytön näkökulmasta: mitä henkilötietoja käsitellään, miksi, millä perusteella, miten ja kuinka kauan. Vasta näistä lähtökohdista päästään asettamaan tarkempia yksittäisiä vaatimuksia esimerkiksi järjestelmän hankinnassa.
Tietosuoja-asetus näyttää mutkikkaalta ja abstraktilta. Lähestymällä asiaa per rekisteri ja paloittelemalla kokonaisuutta pienempiin osiin päästään kuitenkin hyvin liikkeelle. Aluksi kannattaa selvittää, mitä henkilörekistereitä on käytössä ja mitä henkilötietoja rekistereissä on. Lisäksi suosittelemme lyhyiden ja yksinkertaisten muistilistojen tekemistä asioista, jotka:
- ylipäätään pitää huomioida uuden asetuksen myötä; ja
- toimenpiteistä, joita asetus vaatii juuri sinun toiminnassasi.
Asiaan perehtymällä tietosuoja-asetus ei osoittaudukaan niin hankalaksi kuin nyt on peloteltu. Yksinkertaistaminen ja to do -listat helpottavat huomattavasti.
Joka tapauksessa asetus on tulossa voimaan alle vuoden päästä ja toimeen on ryhdyttävä heti. Kokeneet asiantuntijamme Tapio Lahtinen, tapio.lahtinen@ptcs.fi, puh. 050 490 4424 ja Minna Eskola, minna.eskola@ptcs.fi, puh. 040 720 0588 auttavat Teitä mielellään asiaan lähestymisessä ja tietosuojaan liittyvissä kysymyksissä. Huomaathan myös koulutustarjontamme aihepiiristä:
Lisäksi järjestämme aiheesta juuri teidän tarpeisiinne räätälöityjä koulutuksia. Pyydä meiltä tarjous tilauskoulutuksesta (jaana.kovalainen@ptcs.fi, puh. 040 350 6067).
Tags: tietosuojatietosuoja-asetus