Miltä kuulostaa Excelissä ylläpidetty seloste henkilötiedon käsittelytoimista? Toukokuussa 2018 voimaan tullut EU:n yleinen tietosuoja-asetus (GDPR) edellyttää lähes kaikkia organisaatioita laatimaan artiklan 30 mukaisen selosteen henkilötietojen käsittelytoimista.
Lopputuotos täyttää ensisijaisesti rekisterinpitäjän ja henkilötiedon käsittelijän osoitusvelvollisuuden, mutta huolellisen selosteen laatimisella ja ylläpidolla voi olla monia muitakin hyötyjä liiketoiminnalle. Tietoisuus hyvin tehdystä käsittelyn dokumentaatiosta lisää asiakkaan luottamusta yritystä kohtaan, ja yritys voi ylpeänä seistä lähes jokaiseen tietosuojalausekkeeseen kirjatun ”pidämme asiakkaidemme tietosuojaa tärkeänä” -lauseen takana.
Parhaimmillaan selosteen laatiminen ja ylläpito muistuttaa olennaisilta osilta mitä tahansa datahanketta. Kyse ei olekaan missään nimessä yksinomaan teknologiaprojektista, vaan selosteen käyttöön ja ylläpitoon on suunniteltava prosessit, jotka määrittävät ylläpidettävän tiedon sisällön.
Teknisellä alustalla ei ole suurtakaan merkitystä, kunhan se täyttää organisaation tietosuojavastaavan vaatimukset ja tiedon ylläpitäjien on riittävän helppo tarkistaa ja ylläpitää omistamaansa tietoa. Palaan kirjoituksen lopussa selosteen suunnitteluvaiheisiin ja käyttöön, mutta aluksi on syytä perehtyä siihen, mitä GDPR:n artikla 30 oikeastaan vaatii ja mitä hyötyä näiden tietojen ylläpidosta on.
Tätä kaikkea selosteelta vaaditaan
GDPR:n artikla 30:n mukaan rekisterinpitäjän selosteen käsittelytoimista tulee sisältää seuraavat asiat:
- Rekisterinpitäjän tiedot
- Käsittelytarkoitukset
- Rekisteröityjen ja henkilötietojen luokat
- Vastaanottajien luokat
- Siirrot EU:n ulkopuolelle
- Tietojen säilytysajat
- Seloste tietoturvasta
Henkilötietojen käsittelijän osalta selosteesta tulee käydä ilmi, mille rekisterinpitäjälle tehdään ja mitä, kenelle tietoa luovutetaan sekä miten tietoturva on hoidettu. Tässä kirjoituksessa keskityn nimenomaan rekisterinpitäjän velvollisuuksiin, joissa painotetaan enemmän, minkä tyyppistä tietoa käsitellään.
Henkilötietojen käsittely on määritelty laissa, mutta käsittelytoimea ei. Sen voi hyvin käsittää liiketoimintaprosessiksi, mutta viime kädessä päätös käsittelytoimen määrittelystä tehdään organisaation sisällä ja sen tarpeiden perusteella.
Toiseksi lakitekstistä ei itsessään käy ilmi, että edellä mainituilla lain vaatimilla asioilla tulisi olla yhteys keskenään. Toisin sanoen lakia voisi tulkita siten, ettei tarvitsisi esimerkiksi listata, mitä henkilötietoja käsitellään mitäkin käyttötarkoitusta varten.
Tässä on kuitenkin hyvä pohtia tietosuojalainsäädännön lain henkeä ja etenkin tietosuojavaltuutetun toimiston tulkintaa aiheesta. Valtuutetun sivuilta on ladattavissa mallipohja selosteen laatimisesta. Siinä edellä mainitut artikla 30:n vaatimukset liittyvät selvästi toisiinsa, ja siksi selostetta laativan yrityksen tietosuojavastaavan tulisi myös seurata tätä tulkintaa. Lisäksi koska selosteeseen kirjatut tiedot liittyvät toisiinsa, voidaan niitä hyödyntää muuhunkin kuin osoitusvelvollisuuden täyttämiseen.
Seloste käsittelytoimista toimii ponnahduslautana yrityksen datan hallintaan
Yleisin kohtaamani mielikuva selosteesta liittyy eräänlaiseen datainventaarioon eli koko yrityksen kattavaan datan hakemistoon. Tämänkaltainen katalogi voikin olla yksi tapa toteuttaa seloste, ja jos tällainen on jo tehtynä ilman tietosuojaan liittyvää tietoa, se voi tarjota erinomaisen alustan selosteen vaatimukset täyttävälle järjestelmälle.
Yleisesti ottaen seloste käsittelytoimista voi toimia tehokkaana ponnahduslautana yrityksen datan hallintaan, jos siinä on valmiiksi toivomisen varaa. Tietosuojan ydin on kuitenkin datassa ja sen oikeanlaisessa käsittelyssä. Siksi seloste käsittelytoimista auttaa sekä lisäämään tietoisuutta organisaation hyödyntämästä datasta että tuomaan lisäarvoa jo olemassa olevan datan hallintaan täyttämällä lain vaatimat velvoitteet. Selosteen laatimiseen tarvitaan usein liiketoiminnalta apua tietojen keräämiseen, ja yhteistyö avaa erinomaisen mahdollisuuden tietosuojakysymyksistä tiedottamiseen ja organisaation käytäntöjen tietosuojaistamiseen.
Seloste käsittelytoimista auttaa sekä lisäämään tietoisuutta organisaation hyödyntämästä datasta että tuomaan lisäarvoa jo olemassa olevan datan hallintaan.
Jos seloste laaditaan jo tehdyn datainventaarion päälle tai tietojärjestelmissä olevat tiedot luokitellaan erikseen, on mahdollista osoittaa, että tiedot on minimoitu henkilötietojen käsittelyä koskevien periaatteiden (artikla 5) mukaisesti. Jos osana selosteen laadintaa kunkin IT-järjestelmän sisältämät tiedot ikään kuin merkitään esimerkiksi tiettyyn käsittelytarkoitukseen, voidaan yhtä lailla nähdä, mitä henkilötietoja käsitellään ilman asianmukaista syytä. Samaan tapaan erityisiä henkilötietoryhmiä koskevan käsittelyn (artikla 9) riskejä ja laillisuutta on mahdollista arvioida, jos tämänkaltaisen datan sijainti on oikeasti tiedossa.
GDPR:n artikla 6 vaatii, että kaikelle käsittelylle on olemassa laillinen perusta, ja listaa kuusi eri perustetta, joihin henkilötietojen käsittely voi pohjautua. Koska kaikkea henkilötietoa harvemmin käsitellään vain yhteen näistä perustuen, olisi hyvä eritellä, mitä tietoa käsitellään milläkin perusteella ja mahdollisuuksien mukaan missä liiketoimintaprosessissa.
Kullekin lailliselle perusteelle on omat asetukseen pohjautuvat vaatimuksensa, joten kunkin käyttötapauksen laillisuutta tulisi arvioida muun muassa sen suhteen, mitä tietoluokkia käsitellään missäkin tapauksessa. Yhtenä esimerkkinä on oikeutettuun etuun perustuva käsittely, jossa tulisi tehdä arvio käsittelyn vaikutuksista rekisteröidyn perusoikeuksiin.
Parhaan mahdollisen selosteen laatiminen käytännössä
Millainen seloste käsittelytoimista on sitten paras? Vastaus on lattea ”se riippuu”. Valmiita malleja ja jopa juuri tätä tarkoitusta varten tehtyjä ohjelmistoja on useita, ja monet niistä ovat hyviä ja käyttökelpoisia. Väitän kuitenkin, että huolella laadittu datamalli ja tiedon ylläpitoon määritellyt ylläpitoprosessit tuottavat pitkällä aikavälillä enemmän lisäarvoa kuin mikään valmis ratkaisu. Etenkin alussa tähän joutuu näkemään melko lailla vaivaa.
Ensimmäinen askel on selvittää, kuka henkilötietojen käsittelytoimiin liittyviä kirjauksia käyttää ja millä tavalla. Yleensä tiedon hyödyntäjä on ensisijaisesti organisaation tietosuojavastaava, joten hänen tarpeensa määrittävät, millainen tietomalli selosteen ympärille muodostuu. Myös käsittelytoimen määrittely on tärkeää. Tarkoitetaanko sillä yrityksen oman määritelmän mukaista liiketoimintaprosessia vai jotain muuta?
Huolella laadittu datamalli ja tiedon ylläpitoon määritellyt ylläpitoprosessit tuottavat pitkällä aikavälillä enemmän lisäarvoa.
Kun tarpeet ja käsittelyn määrittely ovat selvillä, on tietosuojavastaavan ja mahdollisten muiden liiketoiminnan vastuuhenkilöiden istuttava saman pöydän ääreen tietomallintajien kanssa. Tässä työpajassa on kehitettävä tarpeita vastaava käsitemalli, jossa tarkennetaan, mitä elementtejä selosteessa on ja miten ne liittyvät toisiinsa. Halutaanko esimerkiksi, että kullakin käsittelytarkoituksella on aina tietty laillinen perusta? Vai liittyykö laillinen perusta esimerkiksi henkilötiedon kategoriaan jossakin tietyssä käsittelytapauksessa?
Liiketoiminnan kanssa on hyvä käydä läpi, mitä käyttötarkoituksia yrityksessä on. Parhaassa tapauksessa käyttötarkoitukset ovat samoja, jotka on kirjattu yrityksen tietosuojaselosteisiin. Lisäksi on päätettävä, millä tasolla henkilötiedot halutaan kuvata.
Asetuksen mukaan on kirjattava henkilötiedon kategoriat, jolloin yrityksen vastuulle jää määrittää, mitä tämä tarkoittaa. Kuten käyttötarkoitukset, myös lista kategorioista on hyvä laatia aluksi. On kuitenkin hyvä jättää joustavuutta, jolla käyttötarkoituksia ja henkilötiedon kategorioida voidaan myöhemmin muokata ja lisätä, koska liiketoiminnalla on tapana muuttua vuosien varrella.
Artiklan listaamien asioiden lisäksi tietosuojavastaavan on hyvä pohtia, mitä muita GDPR:n vaatimuksia hän haluaa täyttää selosteessa ja mitkä artikla 30:n asiat voidaan toteuttaa muissa järjestelmissä tai muilla keinoin. Esimerkiksi tietoturvaan liittyvät käytännöt ja teknologiat saattavat olla jo valmiiksi kirjattuna, jolloin niitä voidaan hyvässä tapauksessa liittää yksittäisiin henkilötiedon käyttötapauksiin. Samoin siirrot kolmansille osapuolille voidaan saada esimerkiksi sopimustiedoista.
Jos on aikaa ja resursseja, selosteen voi laatia siten, että sitä voi hyödyntää rekisteröidyn oikeuksien eli kansankielellä niin sanottujen tietopyyntöjen täyttämisessä. Kun selosteen käyttöön yhdistetään ripaus monikanavaista sisällönhallintaa, voidaan sen tietoja hyödyntää vaikka tietosuojaselosteen muodostamisessa eri kanavissa.
Selosteen käsittelytoimista on myös pysyttävä ajan tasalla. On määriteltävä roolit ja vastuut tiedon luomiselle ja ylläpidolle sekä ennen kaikkea prosessit, joilla tätä toteutetaan. Tämä voi tarkoittaa jonkinlaista vuosikelloa tiedoista vastaaville henkilöille mutta myös muutamia lisäkohtia olemassa oleviin IT- ja liiketoimintaprosesseihin.
Kun selosteen käyttöön yhdistetään ripaus monikanavaista sisällönhallintaa, voidaan sen tietoja hyödyntää vaikka tietosuojaselosteen muodostamisessa eri kanavissa.
Vasta kun käyttötarpeet, tietomallit, määrittelyt ja ylläpito on määritelty, voidaan lopulta arvioida kokonaisuutta tietojärjestelmän osalta. Viime kädessä vastataan siis kysymykseen, halutaanko seloste laatia pelkkään Excel-taulukkoon, muokataanko jotain olemassa olevaa ohjelmaa tai tietokanta-alustaa palvelemaan GDPR:n tarkoituksia vai hankitaanko markkinoilta kokonaan uusi järjestelmä.
Selosteen laatiminen on tärkeä osa koko organisaation tietosuojakulttuuria
Paras seloste käsittelytoimista syntyy, kun perusasiat ovat kunnossa. Hanketta kannattaa harkita toiseen kertaan, jos ei ole edes miettinyt, mihin selostetta aiotaan käyttää. Teknologiapuoli pitää miettiä tiedon käyttäjän tarpeita silmällä pitäen. Excel ei luultavasti ole tällöin paras työkalu, mutta jonkin tietyn ohjelmiston valitseminen tulee perustella juuri käyttäjän tai käyttäjien tarpeiden mukaan.
Kun perusasiat ja tietomalli on mietitty tarkkaan, on perusta jo laskettu. Selosteen laatimiseen ei tule suhtautua kertaluontoisena harjoituksena, vaan sen on oltava osa koko organisaation tietosuoja- ja tiedonkäsittelykulttuuria. Katse tulee olla tulevaisuudessa. Jos selostetta haluaa myöhemmin hyödyntää myös johonkin toiseen käyttötarkoitukseen, kuten rekisteröidyn oikeuksien prosessien tukemiseen tai tietosuojaselosteen ylläpitämiseen, perinpohjaisesti suunniteltu datamalli ja prosessit tuovat joustavuutta ja mahdollisuuksia tulevaan. Hyvä tiedonhallinta ja henkilötiedon kunnioittaminen tiedon koko elinkaaren ajan vaikuttaa vääjäämättä positiivisesti yrityskuvaan ja asiakastyytyväisyyteen.
Tarvitsetko tukea hyvän käsittelytointen selosteen laatimiseen? Laske perusta tietosuojaan ja datan hallintaan erikoistuneiden konsulttiemme avustuksella. Alkuun pääset täällä.
Esa Karppinen (kirjoittaja työskenteli Loihde Advancella elokuuhun 2020).
