Tietotilinpäätös työkaluna tietosuoja-asetukseen valmistautumisessa

Tietotilinpäätös työkaluna tietosuoja-asetukseen valmistautumisessa

Tietotilinpäätös on käytännössä yksi raportoinnin muoto yrityksille ja yhteisöille. Perinteiseen taloudelliseen tilinpäätökseen verrattuna tietotilinpäätös keskittyy muun muassa tietosuojakysymyksiin, tietovarantoihin ja tieturvallisuuteen. Sinänsä tietotilinpäätöksen laatiminen on vapaaehtoista. Nyt tietotilinpäätökset ovat nousseet taas uudelleen keskusteluun, koska EU:n tietosuoja-asetus edellyttää tietojenkäsittelytoimintojen kattavaa dokumentoimista.

Suomessa tietotilinpäätöksiä on laadittu jo useiden vuosien ajan ja esimerkiksi tietosuojavaltuutettu on kannustanut organisaatioita tilinpäätösten tekemiseen. Tietosuojavaltuutetulla on asiasta erillinen opas ”Laadi tietotilinpäätös”.

Tietosuojavaltuutetun oppaan mukaan tietotilinpäätöksen tavoitteena on antaa kuvaus tietojen käsittelyn nykytilasta sekä arvio tietosuojan ja tietoturvan toteutumisesta. Oppaassa myös todetaan, että tietotilinpäätöksen on tarkoitus toimia organisaation ”dynaamisena työkaluna”. Toisin sanoen organisaatiot voivat tehdä tietotilinpäätöksestä omiin tarpeisiinsa mukautetun työkalun, joka tukee parhaiten muuta toimintaa. Ohje myös kannustaa yhteistyöhön organisaatioiden eri yksiköiden välillä eli tietotilinpäätöksen laatimisvastuussa tulisi olla ainakin organisaation tietotekniikasta, tietosuojasta ja tieturvasta sekä ”varsinaisesta substanssitoiminnasta” vastaavat tahot.

Tietosuojavaltuutetun ohje listaa seuraavat esimerkit tietotilinpäätöksen sisällöstä

  • Mitä tietovarantoja organisaation hallussa on?
  • Mikä on organisaation tietoarkkitehtuuri?
  • Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys?
  • Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan?
  • Miten tiedot on suojattu?
  • Miten tietojen käyttöä valvotaan?
  • Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan?

Edellä olevasta listasta voidaan huomata, että myös EU:n tietosuoja-asetus ja erityisesti asetuksen ”osoitusvelvollisuus”/”tilivelvollisuus” edellyttää vastaavien seikkojen dokumentoimista.

Yksi esimerkki tietotilinpäätöksestä on liikenteen turvallisuusvirasto Trafin tietotilinpäätös vuodelta 2015, joka julkaistiin 16.5.2016. Trafi on myös ottanut EU:n tietosuoja-asetuksen vaikutukset huomioon. Lehdistötiedotteessa Trafi toteaa EU:n tietosuoja-asetuksen merkityksestä seuraavasti:

”Euroopan unionin tietosuoja-asetus, jota ryhdytään soveltamaan toukokuussa 2018, edellyttää organisaatiolta tilintekokykyisyyden osoittamista. Tietotilinpäätös on yksi työkalu ja informaatioväylä, jonka avulla Trafi osoittaa organisaationa tilintekokykyisyytensä ja kasvattaa omaa informaatio-oikeudellista osaamistaan sekä oikeutta tietoon. Tietotilinpäätös asemoi Trafia myös tietoviranomaisena.”

Myös Väestörekisterikeskus laatii tietotilinpäätöksen vuosittain. Väestörekisterikeskuksen tietotilinpäätös ei ole kokonaisuudessaan julkinen, mutta niiden tiivistelmät löytyvät vuodesta 2010 Väestörekisterikeskuksen sivuilta. Väestörekisterikeskus painottaa sitä, että tietotilinpäätös on heillä tarkoitettu ensisijaisesti viraston johdolle toiminnan ja tietosuojan kehittämisen työkaluksi.  Väestörekisterikeskuksen johtava asiantuntija Annina Hautala myös totesi äskettäisessä VAHTI-seminaarissa, että tietotilinpäätös on heillä työkalu tietosuoja-asetuksen osoitusvelvollisuuden täyttämiseen.

Vaikka Trafi ja Väestörekisterikeskus käsittelevät moniin yrityksiin verrattuna määrällisesti paljon enemmän henkilötietoja ja kyse on viranomaistoiminnasta, voi tietotilinpäätöksistä ottaa hyvin mallia organisaation kerätessä asetuksen edellyttämiä dokumentteja kasaan. Tietotilinpäätös kannattaa kuitenkin aina mukauttaa omaan organisaatioon ja miettiä sopivat tunnusluvut ja mittarit. Vain tällä tavalla sitä voi aidosti käyttää johdon työkaluna tietosuoja-asetukseen valmistautumisessa ja asetuksen velvoitteiden hallinnassa tulevaisuudessa.