Yrityksen osoitusvelvollisuus: lue ensin tämä kohta 99 artiklan laajuisesta tietosuoja-asetuksesta

4privacyshieldEU:n tietosuoja-asetuksen saatua lopullisen muotonsa on aika pohtia, mitkä asetuksen velvoitteista on sisäistettävä mahdollisimman nopeasti ja mitkä niistä aiheuttavat suurimmat muutokset yrityksesi nykyiseen toimintamalliin. Artikloja on 99, joten mistä aloittaa?

Verkko on täynnä erilaisia listauksia ja todo-tyyppisiä esityksiä siitä, mihin toimenpiteisiin pitää ryhtyä juuri nyt. Nämä listat voivat olla apuna silloin, jos ei oikein tiedä mistä aloittaa. Useimmiten listoissa mainitaan esimerkiksi tietovirtojen (”data flows”) dokumentoiminen, prosessien suunnittelu tietoturvaloukkausten varalle jne. Kaikki nämä toimenpiteet ovat sinänsä tärkeitä kokonaisuuksia, joihin on syytä kiinnittää huomiota aikaisessa vaiheessa.

Asetuksessa on kuitenkin mielestäni yksi kohta, josta lukeminen on syytä aloittaa. Tämä kohta on Artikla 5, jossa listataan henkilötietojen käsittelyä koskevat periaatteet, joita rekisterinpitäjän on noudatettava:

  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys;
  • käyttötarkoitussidonnaisuus;
  • tietojen minimointi;
  • täsmällisyys;
  • säilytyksen rajoittaminen; ja
  • eheys ja luottamuksellisuus

Artikla päättyy toteamukseen, että rekisterinpitäjän tulee pystyä osoittamaan, että näitä kohtia on noudatettu. Tätä velvollisuutta on kutsuttu ”tilivelvollisuudeksi” (”accountability”) ja se on kääntynyt lopullisessa versiossa myös hauskasti ”osoitusvelvollisuudeksi”.

Tässä kohdassa on siis yksi asetuksen keskeisistä muutoksista: pelkkä lakien noudattaminen ei enää riitä. Asetuksen noudattaminen tulee pystyä osoittamaan yrityksen omien asiakirjojen avulla. Rekisterinpitäjänä toimivan yrityksen tulee esimerkiksi pystyä todistamaan, että sen keräämät henkilötiedot ovat ”asianmukaisia” ja rajoittuvat vain siihen, mikä on käsittely kannalta tarpeellista. Tätä edellyttää yllä mainittu ”tietojen minimoinnin” periaate.

Kun omia tietokantoja ja esimerkiksi asiakastietojen käsittelyprosesseja alkaa arvioida suhteessa näihin periaatteisin, tilivelvollisuuden ja ylipäätänsä koko asetuksen velvollisuudet alkavat konkretisoitua. Jos esimerkiksi asiakas- tai työntekijätietojen säilytysajasta ei löydy mitään dokumenttia, eikä yrityksellä ole käytännössä mitään toimintatapaa tähän liittyen, tilivelvollisuus ja periaatteet auttavat alkuun.

Osoitusvelvollisuuden/tilivelvollisuuden haltuunotto kannattaa siis aloittaa artiklasta 5 ja sen sisältämistä yleisistä käsittelyperiaatteista. Tämä myös helpottaa paljon asetuksen omaksumista, koska useat muutkin kohdat perustuvat näihin periaatteisiin (esimerkiksi ”sisäänrakennettua ja oletusarvoista tietosuojaa” koskevat määräykset).