Tulostusversio

1/2014

Asiantuntijalta: Elinkaarimalli auttaa henkilötietojen käsittelyssä

Teksti: Eija Warma

Jotta henkilötietoja käsitellään asianmukaisesti, tietosuojalainsäädäntö tulee ottaa huomioon jo ennen käsittelyn aloittamista sekä myös sitten, kun perustetta tietojen käsittelemiselle ei enää ole.

EU-komission ehdotus uudeksi tietosuojalainsäädännöksi on herättänyt vilkasta keskustelua uudistusten puolesta ja vastaan. Vaatimusten noudattamisen varmistamiseksi komissio ehdottaa, että valvova viranomainen voisi jatkossa määrätä hallinnollisen sanktiomaksun vaatimusten noudattamatta jättämisestä joko rekisterinpitäjälle tai henkilötietojen käsittelijälle.

Viimeisimmän ehdotuksen mukaan sanktiomaksut voisivat enimmillään nousta sataan miljoonaan euroon tai viiteen prosenttiin konsernin maailmanlaajuisesta liikevaihdosta. Maksettavaksi tulisi korkeampi vaihtoehto.

Muuttuvan lainsäädännön ja viime aikoina esiin tulleiden väärinkäytösten seurauksena tietosuoja kiinnostaa entistä enemmän paitsi kansalaisia, myös liike-elämää. Yrityksissä ja muissa organisaatioissa pohditaan yhä useammin, miten tietosuoja-asiat on otettu huomioon.

Niin ikään herää kysymyksiä siitä, mitä nykyisen lainsäädännön vaatimukset tarkoittavat kunkin organisaation ja työntekijän kannalta sekä miten hyvin vaatimuksista edes ollaan tietoisia. Yrityksen johdon tiedon tasoa voi saman tien testata kysymällä siltä, miten tietosuojalainsäädännön vaatimukset on huomioitu yrityksen toiminnassa.

Kaikki eivät noudata nykyistäkään lakia

Käytännössä olen itse useasti törmännyt rekisterinpitäjien tietämättömyyteen muun muassa siitä, missä rekisterin tiedot tosiasiallisesti sijaitsevat ja kenellä kaikilla on pääsy rekistereissä oleviin tietoihin. Lisäksi hyvin usein henkilötietojen poistaminen tietojärjestelmistä on hankalaa tai jopa mahdotonta. Silloin ollaan tilanteessa, jossa kerran järjestelmään tullutta tietoa ei sieltä koskaan poisteta.

Aina ei myöskään ymmärretä, miten laaja tietojoukko kuuluu henkilötietolain soveltamisalan piiriin. Seurauksena on, että lainsäädännön vaatimuksia ei kyseissä toiminnossa ole välttämättä mietitty lainkaan.

Ensin suunnitellaan, sitten vasta käsitellään

Organisaation nykytilan selvittäminen on syytä aloittaa analysoimalla eri yksiköiden toiminnot ja niiden tosiasialliset tarpeet käsitellä henkilötietoja.

Käyttötarpeiden määrittelyn jälkeen henkilötietojen käsittelyprosessi tulee suunnitella huolellisesti aina käsittelyperusteen määrittämisestä tiedon siirtämiseen tai tuhoamiseen saakka. Itse kutsun tätä toimenpidekokonaisuutta henkilötiedon elinkaaren suunnitteluksi ja määrittelyksi.

Elinkaarimallissa henkilötietojen käsittelyprosessi suunnitellaan ja dokumentoidaan huolellisesti jo ennen kuin tietoja aletaan kerätä ja käsitellä. Suunnittelu auttaa varmistumaan siitä, että rekisterinpitäjä on huomioinut kaikki lakiin perustuvat velvollisuutensa. Lisäksi se auttaa organisaatiota hyödyntämään henkilötietoja mahdollisimman laajasti ja tehokkaasti.

Tiedot pitää pystyä poistamaan

Varsinaisen tietojen keräämisen ja käsittelyn alettua rekisterinpitäjän tulee aktiivisesti seurata ja varmistaa, että käsittelytoimet tehdään suunnitelman mukaisesti. Relevantti dokumentaatio tulee myös pitää ajan tasalla.

Rekisterinpitäjän tulee myös varmistaa, että tietojen käsittelyyn on rekisteröityjen suostumus ja että rekisteröity voi käyttää hänelle kuuluvia oikeuksia tehokkaasti. Niin ikään rekisterinpitäjän on hallinnoitava henkilötietojen siirtoja ja luovutuksia niin sopimusten tasolla kuin käytännössäkin – erityisesti silloin, kun tietoja siirretään EU:n ja Euroopan talousalueen ulkopuolelle. Asianmukaisesta tietoturvasta on myös huolehdittava.

Kun henkilötiedot eivät enää ole tarpeellisia alun perin suunniteltua käyttötarkoitusta varten tai niille ei enää ole käsittelyperustetta, ne pitää poistaa rekisteristä. Tietojen luonteesta ja käsittelyperusteesta riippuen ne tulee joko siirtää tuhota tai siirtää toiselle taholle, joka jatkaa niiden käsittelyä.

Joskus rekisterinpitäjällä saattaa olla lakiin perustuva velvollisuus säilyttää tietoja tietyn määräajan. Silloin on erityisen tärkeää varmistaa, että tiedot poistuvat oikea-aikaisesti määräajan kulumisen jälkeen. Valitettavan usein kuulee sanottavan, että tietoja ei voida poistaa järjestelmästä, koska se on teknisesti hyvin hankalaa ja joissain tilanteissa jopa mahdotonta.

Prosessit kuntoon asetusta odotellessa

Mikäli henkilötietojen käsittelyprosessit ja siinä käytettävät tietojärjestelmät eivät täytä voimassaolevan lain asettamia vaatimuksia, joutuu rekisterinpitäjä jatkossa maksamaan huomattaviakin hallinnollisia sanktioita. Toisaalta vielä ei ole selvillä, milloin ja minkä sisältöisenä uusi henkilötietojen käsittelyä sääntelevä asetus tulee voimaan, joten uusien toimenpiteiden ja toimintaprosessien suunnittelua ei vielä siltä osin kannata viedä kovin pitkälle.

Oma vinkkini onkin, että asetuksen lopullista sisältöä odotellessa rekisterinpitäjien tulisi laittaa henkilötietojen käsittely nykyisen henkilötietolain vaatimuksia vastaavaan kuntoon. Tiedän, että tässä on monelle töitä riittämiin.

------

[KIRJOITTAJA]

Asianajaja, LL.M. Eija Warma työskentelee Asianajotoimisto Castrén & Snellmanilla tietosuojaan ja yksityisyydensuojaan liittyvien toimeksiantojen parissa. Hän on yksi hiljattain julkaistun kirjan Henkilötietojen suoja kirjoittajista.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.