Ranskan tietosuojaviranomainen Commission Nationale de l'Informatique et des Libertés (CNIL) antoi hiljattain uusia suosituksia tilanteisiin, joissa henkilötietojen käsittelijä, yleensä kolmas osapuoli, hyödyntää rekisterinpitäjän tietoja toissijaiseen tarkoitukseen. Viranomaisen suositus sallii käsittelijän hyödyntää henkilötietoja esimerkiksi palvelun kehittämiseen, mutta asettaa henkilötietojen käsittelijälle uusia rajoituksia, joita noudattaakseen moni yritys joutuu päivittämään käytäntöjään. Henkilötietojen käsittelijän suorittamaan toissijaiseen käsittelyyn tulisi viranomaisen suositusten mukaan olla rekisterinpitäjän nimenomainen lupa. Lisäksi rekisterinpitäjän tulisi arvioida jokainen käsittelytoimi erikseen sen osalta, onko toissijainen käsittelytarkoitus yhteensopiva alkuperäisen käsittelyn tarkoituksen kanssa. Pysyäkseen päivittyvän sääntelyn ja ohjeiden perässä yrityksiltä vaaditaankin oma-aloitteisuutta ja osaavaa resurssia sääntelyn tulkitsemiseen yrityksen kontekstissa. IAPP-EY tutkimuksen mukaan yritykset odottivatkin tietosuojabudjettien kasvavan edelleen ja lähes puolet tutkimukseen osallistuneista organisaatioista odotti organisaationsa lisäävän tietosuojaan kohdennettuja resursseja lähitulevaisuudessa.
Tietosuoja-asetus koskee vain tietoa, joka on yhdistettävissä luonnolliseen henkilöön. Ratkaisuina henkilötietojen toissijaisen käsittelyn haasteisiin yritykset ovatkin hyödyntäneet muun muassa tiedon anonymisointia, sillä täysin anonymisoitu tieto ei kuulu tietosuoja-asetuksen piiriin. Verkottuneessa maailmassa täysin anonyymin tiedon saavuttaminen on tietenkin kiistanalainen asia, mutta esimerkiksi datan aggregoinnin avulla yritykset pystyvät luomaan anonyymiksi katsottua dataa. Erilaiset anonymisointiin tarkoitetut työkalut ja ominaisuudet sovelluksissa ovatkin lisääntyneet viime vuosina merkittävästi. Myös pseudonymisoimisella pystytään pienentämään tiedon käsittelyyn liittyviä riskejä. Toisin kuin anonymisoitua tietoa, tietosuoja-asetuksen vaatimukset kuitenkin koskevat myös pseudonymisoitua henkilötietoa.
Yritykset ovat ratkaisseet datan käyttöön liittyviä ongelmia myös pyytämällä käyttäjältä erillisen suostumuksen tietojen käsittelyyn. Nimenomaisen suostumuksen perusteella käsitelty henkilötieto ei toki ole enää toissijaista vaan ensisijaista käsittelyä ja tiedon rekisterinpitäjyyttä tuleekin pohtia. Suomen apulaistietosuojavaltuutettu muistuttaa, ettei henkilön antama suostumus käsittelyyn kuitenkaan syrjäytä asetuksen vaatimuksia. Sijaintitiedon tarpeettomaan keräämiseen liittyvässä tapauksessa suomalaisen korkeakoulun työntekijät käyttivät kolmannen osapuolen sovellusta leimatakseen työaikansa etätyössä. Sijaintitietoa ei aktiivisesti käytetty mihinkään, vaan kehitetty sovellus vaati käyttäjän laitteen sijaintitietoja toimiakseen. Apulaistietosuojavaltuutetun näkemys sijaintitiedon keräämiseen järjestelmäteknisistä syistä oli, ettei tietosuojaa vaarantavia palveluita tai järjestelmiä tulisi ylipäätään ottaa käyttöön.
Lopuksi
Tietosuojasääntelyä leimaa dynaamisuus ja pirstaleisuus, eikä se todennäköisesti ole lähitulevaisuudessakaan yksinkertaistumassa. Lisäksi digitalisaatioon aiotaan myös jatkossa panostaa vahvasti, mikä tulee lisäämään myös tietosuojaan vaadittavien resurssien määrää. Haasteista huolimatta yhä useampi yritys tuntuu kuitenkin ymmärtäneen, ettei tietosuojasta huolehtiminen ole uhka yrityksen kasvustrategialle – päinvastoin, se on sen edellytys.
Tietosuojasta huolehtiminen tulisikin siis nähdä voimavarana eikä taakkana, jonka vuoksi muista tavoitteista joudutaan tinkimään. Laadukkaat tietosuojakäytännöt turvaavat sekä yksilön että yrityksen selustaa.
EY:n 1300 kyberturvallisuuden ja riskienhallinnan ammattilaista ympäri Eurooppaa ovat valmiita auttamaan asiakkaitamme kaikissa kyberturvallisuuteen liittyvissä haasteissa. Ota yhteyttä, mikäli tietosuojakäytännöt mietityttävät!