3 minuutin lukuaika 11 helmik. 2021
Kuinka teknologia mahdollistaa tietosuojan hallinnan?

Kuinka teknologia mahdollistaa tietosuojan hallinnan?

Reino Hyvärinen
Kirjoittaja Reino Hyvärinen

EY Finland, Partner, Head of Law Finland

Juridisten, teollisten, liiketoiminnallisten ja kaupallisten toimintojen erinomainen hallinta, jota hyödynnän yhteensovittaessani asiakkaiden strategioita ja tarpeita toteutuskelpoisiksi hankkeiksi.

3 minuutin lukuaika 11 helmik. 2021
Samankaltaisia aiheita Lakipalvelut Digitaalisuus Konsultointi Kyberturvallisuus
Tykkää

Näytä

Tietosuojalainsäädännön yritykselle asettamat vaatimukset tunnetaan hyvin, mutta haasteena on niiden toteuttaminen käytännössä.

Lyhyesti
  • Tietosuojavaatimukset muuttuvat ja kehittyvät.
  • Suurimpana riskinä ei enää nähdä tietosuojaviranomaisten määräämiä seuraamusmaksuja vaan maineriskiä.
  • Teknologisten ratkaisujen avulla voidaan edistää tietosuojan hallintaa yrityksissä.

Tietosuojalainsäädännössä tapahtuu jatkuvaa kehitystä sekä EU:ssa että sen ulkopuolella, ja yritysten on kyettävä pysymään ajan tasalla eri toiminta-alueidensa regulaatioista ja vastaamaan niiden vaatimuksiin. Samalla kun datan määrä kasvaa entisestään ja kuluttajien odotukset tietosuojasta ovat muuttumassa, kokonaisvaltaisen tietosuojan hallinnan merkitys korostuu. 

EU:n tietosuoja-asetuksen voimaantulon jälkeen tietosuojaan liittyvä lainsäädäntö ja soveltamiskäytännöt ovat monelta osin tarkentuneet. Kansalliset tietosuojaviranomaiset ja Euroopan tietosuojaneuvosto ovat antaneet tarkentavia ohjeita tietosuojalainsäädännön soveltamisesta. Samalla kansalliset tietosuojaviranomaiset ovat määränneet lukuisia seuraamusmaksuja tietosuoja-asetuksen vastaisesta toiminnasta. Viime kesänä myös Suomen tietosuojavaltuutettu määräsi ensimmäiset seuraamusmaksut tietosuoja-asetuksen vastaisesta toiminnasta. Rikkomukset koskivat mm. rekisteröityjen puutteellista informointia ja puutteita vaikutustenarviointien suorittamisessa. Tapausten perusteella on selvää, että seuraamusmaksuja voi saada hyvin erilaisista rikkomuksista ja laiminlyönneistä.

Viranomaisten päätöksillä on myös ollut välittömiä vaikutuksia henkilötietoja käsittelevien yrityksien toimintaan. Esimerkiksi apulaistietosuojavaltuutetun toukokuussa 2020 antama päätös verkkosivujen evästeiden käytöstä laittoi evästekäytännöt uusiksi monessa yrityksessä. Lisäksi Euroopan unionin tuomioistuimen heinäkuussa 2020 antamalla tuomiolla (ns. Schrems II -päätös), joka kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, on ollut merkittävä vaikutus lähes kaikkiin yrityksiin. Päätöksen seurauksena yritykset joutuivat tilanteeseen, jossa niiden oli nopeasti kartoitettava henkilötietojen siirrot EU:n ulkopuolelle ja samalla arvioitava siirtojen lainmukaisuus päätöksen tarkennettujen vaatimusten mukaisesti.

Muutosta on havaittavissa myös siinä, miten yritykset suhtautuvat tietosuojaan liittyviin riskeihin. Suurimpana riskinä ei välttämättä enää pidetä tietosuojaviranomaisten määräämiä seuraamusmaksuja vaan maineriskiä. Asiakkaiden ja kumppanien luottamuksesta on tullut entistä tärkeämpää. EY:n globaalista EY Global Consumer Privacy Survey 2020 selvityksestä selviää, että COVID-19 pandemian myötä lisääntynyt riippuvuus digitaalisista palveluista ja alustoista on muuttanut kuluttajien asenteita yksityisyyden suojaa kohtaan. Yrityksien on ymmärrettävä, kuinka sopeuttaa käytäntönsä vastatakseen kuluttajien muuttuneisiin odotuksiin.

EY Aallonharjalla -keskustelusarjassa vieraina EY:n asiantuntijat Reino Hyvärinen, Partner, Head of Law Finland; Lucy Saim, Associate Legal Counsel ja Joe Gummerus, Senior Legal Counsel. Keskustelun aiheina tietosuojan ajankohtaiset haasteet ja kuinka teknologialla voidaan mahdollistaa tietosuojan hallinta.

Tietosuojan hallintamalleissa on merkittäviä eroja

Tietosuojaan liittyvät muutostilanteet ovat tuoneet esille sen, että tietosuojavaatimusten toteutustavoissa on merkittäviä eroja yritysten välillä. Hyvänä esimerkkinä voidaan ottaa edellä mainittu Schrems II -päätös. Kuinka moni yritys pystyi kartoittamaan kaikki henkilötietojen siirrot EU:n ulkopuolelle ilman päivien manuaalista työtä? Entä kuinka moni yritys kykeni edelleen yksilöimään henkilötietojen siirtoperusteet ja tunnistamaan mahdolliset lisätoimenpiteet? Muutokset voivat tulla yllättäen ja niihin on pystyttävä reagoimaan nopeasti.

Tietosuojavaatimusten toteuttamistavat eroavat yrityksissä myös siinä, kuinka hyvin tietosuojan hallinta on tietosuoja-asetuksen voimaantulon jälkeen integroitu osaksi yrityksen liiketoimintaa. Isossa osassa yrityksistä painopiste on siirtynyt ”rasti ruutuun” -tyyppisistä kartoituksista ja projekteista tietosuojan jatkuvaan seurantaan ja kehittämiseen. On kuitenkin myös yrityksiä, joissa tietosuojaan liittyvät toimenpiteet ovat unohtuneet tai jääneet muutoin kesken. Yhtenä keskeisenä ajatuksena tietosuoja-asetuksessa on kuitenkin vaatimus tiedon ajantasaisuudesta ja ylläpidosta.

Eroja on havaittavissa myös siinä, millä menetelmillä ja työkaluilla yritykset hallinnoivat tietosuojavaatimuksia. Osa yrityksistä tukeutuu tietosuojan hallinnassa perinteiseen Exceliin ja muihin vastaaviin ratkaisuihin. Näissä ei itsessään ole mitään vikaa, mikäli yritys pystyy niiden avulla hoitamaan tietosuojaan liittyvät vaatimukset. Osa yrityksistä on kuitenkin siirtynyt käyttämään erilaisia teknologisia ratkaisuja, jotka mahdollistavat systemaattisen tavan hallinnoida tietosuojaan liittyviä vaatimuksia, vastata asiakkaiden tarpeisiin nopeasti ja visualisoida johdolle tietosuojan tila yrityksessä reaaliajassa. 

Teknologia mahdollistaa tehokkaan käytännön toteutuksen

Yritykset tuntevat yleensä hyvin tietosuojalainsäädännön yritykselle asettamat vaatimukset. Sen sijaan yrityksillä voi olla merkittäviä haasteita, miten nämä vaatimukset toteutetaan käytännössä. Ongelmana ei ole siis mitä, vaan miten.

Miten teknologian avulla voidaan sitten edistää tietosuojan hallintaa yrityksissä? Tietosuojavastaavien pöydällä oleva tehtävä- ja vastuulista on varsin pitkä. Lisäksi samaan aikaan pitäisi pystyä seuraamaan tietosuojalainsäädännön muutoksia osana yrityksen globaalia liiketoimintaa. Teknologisten ratkaisujen avulla tietosuojavastaavan ja muiden tietosuojasta vastaavien henkilöiden tehtävät ja vastuut voidaan sisällyttää osaksi yrityksen tiedonhallintaa. 

Teknologian avulla kokonaiskuvan hahmottaminen helpottuu,
kun ajantasainen tieto on saatavilla nopeasti.

Tämä mahdollistaa nopean reagoimisen esimerkiksi lainsäädännön muuttuessa tai liiketoiminnan muutostilanteissa. Tämä on tärkeää erityisesti globaalisti toimivissa yrityksissä, jotka käsittelevät henkilötietoja ympäri maailmaa.

Teknologia mahdollistaa myös monen päivittäisen tietosuojaan liittyvän toimenpiteen automatisoinnin. Näin tietosuojavastaavien ja muiden tietosuoja-asioiden kanssa työskentelevien henkilöiden aikaa vapautuu tärkeimpiin tehtäviin. Lisäksi teknologian avulla tietosuojan hallinta voidaan integroida osaksi yrityksen liiketoimintaa ja riskienhallintaprosesseja. Esimerkiksi tuotekehityksen yhteydessä tehtävät riskienarvioinnit voidaan automaattisesti tuoda tietosuojavastaavan hyväksyttäväksi. Vastaavasti muutokset yrityksen käyttämissä ulkopuolisissa käsittelijöissä huomioidaan automaattisesti henkilötietojen käsittelykuvauksissa. 

 

Yhteenveto

Tietosuojavaatimukset tulevat muuttumaan jatkossakin. Kun yrityksellä on tiedossa, mitä sen pitää tehdä, ja miten, on yrityksellä paremmat mahdollisuudet reagoida muutostilanteisiin. Toimivat prosessit ja niiden ylläpitoa tukeva teknologiaratkaisu mahdollistavat yritykselle jatkokehitysalustan yrityksen tietosuojastrategian muuttamiseksi pysyväksi kilpailueduksi luotettavana kumppanina. 

Tästä artikkelista

Reino Hyvärinen
Kirjoittaja Reino Hyvärinen

EY Finland, Partner, Head of Law Finland

Juridisten, teollisten, liiketoiminnallisten ja kaupallisten toimintojen erinomainen hallinta, jota hyödynnän yhteensovittaessani asiakkaiden strategioita ja tarpeita toteutuskelpoisiksi hankkeiksi.

Lisää aiheesta Lakipalvelut Digitaalisuus Konsultointi Kyberturvallisuus
Tykkää