14. toukokuuta 2019 | Max Atallah

Tietosuoja & Corporate

Yrityksesi tietosuojastrategia

Koska tietosuoja-asetus soveltuu jokaiseen yritykseen (ks. aiempi artikkelimme aiheesta), on jokaisen yrityksen noudatettava tietosuojalakien määräyksiä. Relevantteja tietosuojalakeja Suomessa ovat mm. tietosuoja-asetus (679/2016)tietosuojalaki (105/2018) ja laki yksityisyyden suojasta työelämässä (759/2004).

Tietosuojastrategialla tarkoitamme yrityksen kokonaisvaltaista suunnitelmaa, jolla se toteuttaa henkilötietojen suojaa lain vaatimalla tavalla. Siten tietosuojastrategialla pyritään ennen kaikkea noudattamaan tietosuoja-asetuksen osoitusvelvollisuuden periaatetta, jonka mukaan jokaisen yrityksen on:

  • ensinnäkin noudatettava relevantteja tietosuojalakeja; ja
  • toiseksi kyettävä osoittamaan, että se noudattaa relevantteja tietosuojalakeja.

Osoitusvelvollisuuden periaatteen noudattaminen on ensiarvoisen tärkeää, sillä sen loukkaaminen voi johtaa mm. niihin kuuluisiin miljoonien eurojen sakkoihin.

Lähestymme aihetta jakamalla sen kolmeen alakategoriaan: (1) lain mukainen tietosuojadokumentaatio, (2) tietosuojan toteuttaminen käytännössä ja (3) tietosuojan lain mukaisuuden säännöllinen arviointi. Nämä kolme alakategoriaa luovat yhdessä kaikkien tietosuojastrategioiden selkärangan, sillä niiden avulla yritykset pystyvät ensinnäkin noudattamaan relevantteja tietosuojalakeja ja toisekseen osoittamaan, että ne noudattavat relevantteja tietosuojalakeja. Toisin sanoen, oikein laaditulla tietosuojastrategialla voidaan noudattaa osoitusvelvollisuuden periaatetta.

(1) Lain mukainen tietosuojadokumentaatio

Tietosuojastrategian ensimmäinen osa on lain mukaisen tietosuojadokumentaation laadinta. Tämä johtuu siitä, että tietosuojastrategian asianmukainen toteuttaminen vaatii ensinnäkin sitä, että yrityksellä on lain vaatimat tietosuojadokumentit olemassa, sillä ilman niitä on mahdotonta toteuttaa tietosuojalakien vaatimuksia. 

Lain mukainen tietosuojadokumentaatio voi vaihdella eri yrityksillä, mutta pääsääntöisesti kaikilla yrityksillä on oltava ainakin seuraavat tietosuojadokumentit:

  • ns. tietosuojailmoitukset, joilla pyritään toteuttamaan tietosuoja-asetuksen artiklojen 13 ja 14 määräyksiä;
  • Rekisterinpitäjän Seloste, jolla pyritään toteuttamaan tietosuoja-asetuksen artiklan 30(1) määräyksiä; ja
  • sisäiset manuaalit, joilla yrityksen henkilöstö kykenee paremmin noudattamaan tietosuoja-asetuksen vaatimuksia (itse velvoite tähän syntyy tietosuoja-asetuksen artikloista 5(2) ja 24(2)).

Monesti yrityksiltä vaaditaan myös muita tietosuojadokumentteja kuin yllä listattuja, joten siksi suosittelemmekin yrityksiä kääntymään tietosuoja-asiantuntijan puheille ennen tietosuojadokumentaation laadintaa.

(2) Tietosuojan toteuttaminen käytännössä

Tietosuojastrategian toinen osa on tietosuojan toteuttaminen käytännössä. Eli toisin sanoen, kun yrityksellä on lain mukainen tietosuojadokumentaatio olemassa, tulee yrityksen toteuttaa sen tietosuojadokumentaation mukaiset tietosuojatoimet myös käytännössä. Pelkkä tietosuojadokumentaation olemassaolo ei riitä tietosuojalakien noudattamiseksi.

Esimerkkinä tietosuojan toteuttamisesta käytännössä voinee todeta tilanteen, jossa yrityksen on tietosuojadokumentaation nojalla poistettava henkilötiedot kahden vuoden kuluttua asiakassuhteen päättymisen jälkeen. Tällöin yrityksen on noudatettava tietosuojadokumentaationsa määräyksiä ja tosiasiassa poistettava henkilötiedot kahden vuoden kuluttua asiakassuhteen päättymisen jälkeen. Lain näkökulmasta ei ole riittävää, että yrityksen tietosuojadokumentaatiossa todetaan tietojen säilytysajat, jos niitä ei noudateta.

(3) Tietosuojan lain mukaisuuden säännöllinen arviointi

Tietosuojastrategian kolmas osa on tietosuojan lain mukaisuuden säännöllinen arviointi. Tavoitteena on siis varmistaa, että yrityksen tietosuoja on todellisuudessa järjestetty lain mukaisesti. Yksinkertaistetusti todettuna yrityksen tietosuojan lain mukaisuus voidaan arvioida esimerkiksi tietosuoja-asiantuntijan suorittamalla auditoinnilla. Tällöin arvioidaan etenkin sitä, onko yrityksen tietosuojadokumentaatio lain vaatimalla tasolla ja toteuttaako yritys sen tietosuojadokumentaation tietosuojatoimet myös käytännössä. Arvioinnin perusteella yrityksen tulee reagoida havaittuihin puutoksiin.

Tietosuojan lain mukaisuus tulisi arvioida säännöllisesti, minkä vuoksi suosittelemme, että tietosuoja arvioitaisiin vuosittain. Tietosuojan arviointi tulisi siis ymmärtää tilintarkastuksen tavoin säännölliseksi tapahtumaksi, jossa arvioidaan sitä, onko yritys käsitellyt henkilötietoja lain mukaisella tavalla. Kuten yllä todetaan, arvioinnissa havaittuihin puutoksiin on reagoitava. Näin toimimalla voidaan etenkin osoittaa, että yritys noudattaa relevantteja tietosuojalakeja (huomaa viittaus osoitusvelvollisuuden periaatteeseen).

Yhteenveto

Tietosuojastrategialla yritys pyrkii varmistamaan, että se käsittelee henkilötietoja lain mukaisesti. Tietosuojastrategia tulisi ymmärtää elävänä politiikkana, joka ei ole lukkoon lyöty, vaan se muuttuu aina henkilötietojen käsittelytoimien muutosten mukana. Kyse on siten ennen kaikkea yrityksen sitoutumisesta henkilötietojen lain mukaiseen suojaamiseen.

Lain mukaista tietosuojastrategiaa ei siis voi laatia ns. kerralla kuntoon, vaan sitä tulee päivittää säännöllisesti. Siten tietosuojastrategian yllä kuvatut vaiheet (1) – (3) tulee toistaa meidän suositusten mukaisesti vähintään vuosittain.

Olemme menestyksekkäästi avustaneet useita asiakkaittamme laatimaan juuri heille sopivan tietosuojastrategian. Joten mikäli kiinnostuksesi heräsi, ole meihin yhteydessä. Autamme yritystäsi laatimaan juuri sille sopivan tietosuojastrategian.

14.05.2019 MAX

Nordic LawWeb3- ja Fintech-oikeuden pioneeri