EY Aallonharjalla -keskustelusarjassa vieraina EY:n asiantuntijat Reino Hyvärinen, Partner, Head of Law Finland; Lucy Saim, Associate Legal Counsel ja Joe Gummerus, Senior Legal Counsel. Keskustelun aiheina tietosuojan ajankohtaiset haasteet ja kuinka teknologialla voidaan mahdollistaa tietosuojan hallinta.
Tietosuojan hallintamalleissa on merkittäviä eroja
Tietosuojaan liittyvät muutostilanteet ovat tuoneet esille sen, että tietosuojavaatimusten toteutustavoissa on merkittäviä eroja yritysten välillä. Hyvänä esimerkkinä voidaan ottaa edellä mainittu Schrems II -päätös. Kuinka moni yritys pystyi kartoittamaan kaikki henkilötietojen siirrot EU:n ulkopuolelle ilman päivien manuaalista työtä? Entä kuinka moni yritys kykeni edelleen yksilöimään henkilötietojen siirtoperusteet ja tunnistamaan mahdolliset lisätoimenpiteet? Muutokset voivat tulla yllättäen ja niihin on pystyttävä reagoimaan nopeasti.
Tietosuojavaatimusten toteuttamistavat eroavat yrityksissä myös siinä, kuinka hyvin tietosuojan hallinta on tietosuoja-asetuksen voimaantulon jälkeen integroitu osaksi yrityksen liiketoimintaa. Isossa osassa yrityksistä painopiste on siirtynyt ”rasti ruutuun” -tyyppisistä kartoituksista ja projekteista tietosuojan jatkuvaan seurantaan ja kehittämiseen. On kuitenkin myös yrityksiä, joissa tietosuojaan liittyvät toimenpiteet ovat unohtuneet tai jääneet muutoin kesken. Yhtenä keskeisenä ajatuksena tietosuoja-asetuksessa on kuitenkin vaatimus tiedon ajantasaisuudesta ja ylläpidosta.
Eroja on havaittavissa myös siinä, millä menetelmillä ja työkaluilla yritykset hallinnoivat tietosuojavaatimuksia. Osa yrityksistä tukeutuu tietosuojan hallinnassa perinteiseen Exceliin ja muihin vastaaviin ratkaisuihin. Näissä ei itsessään ole mitään vikaa, mikäli yritys pystyy niiden avulla hoitamaan tietosuojaan liittyvät vaatimukset. Osa yrityksistä on kuitenkin siirtynyt käyttämään erilaisia teknologisia ratkaisuja, jotka mahdollistavat systemaattisen tavan hallinnoida tietosuojaan liittyviä vaatimuksia, vastata asiakkaiden tarpeisiin nopeasti ja visualisoida johdolle tietosuojan tila yrityksessä reaaliajassa.
Teknologia mahdollistaa tehokkaan käytännön toteutuksen
Yritykset tuntevat yleensä hyvin tietosuojalainsäädännön yritykselle asettamat vaatimukset. Sen sijaan yrityksillä voi olla merkittäviä haasteita, miten nämä vaatimukset toteutetaan käytännössä. Ongelmana ei ole siis mitä, vaan miten.
Miten teknologian avulla voidaan sitten edistää tietosuojan hallintaa yrityksissä? Tietosuojavastaavien pöydällä oleva tehtävä- ja vastuulista on varsin pitkä. Lisäksi samaan aikaan pitäisi pystyä seuraamaan tietosuojalainsäädännön muutoksia osana yrityksen globaalia liiketoimintaa. Teknologisten ratkaisujen avulla tietosuojavastaavan ja muiden tietosuojasta vastaavien henkilöiden tehtävät ja vastuut voidaan sisällyttää osaksi yrityksen tiedonhallintaa.
Teknologian avulla kokonaiskuvan hahmottaminen helpottuu,
kun ajantasainen tieto on saatavilla nopeasti.
Tämä mahdollistaa nopean reagoimisen esimerkiksi lainsäädännön muuttuessa tai liiketoiminnan muutostilanteissa. Tämä on tärkeää erityisesti globaalisti toimivissa yrityksissä, jotka käsittelevät henkilötietoja ympäri maailmaa.
Teknologia mahdollistaa myös monen päivittäisen tietosuojaan liittyvän toimenpiteen automatisoinnin. Näin tietosuojavastaavien ja muiden tietosuoja-asioiden kanssa työskentelevien henkilöiden aikaa vapautuu tärkeimpiin tehtäviin. Lisäksi teknologian avulla tietosuojan hallinta voidaan integroida osaksi yrityksen liiketoimintaa ja riskienhallintaprosesseja. Esimerkiksi tuotekehityksen yhteydessä tehtävät riskienarvioinnit voidaan automaattisesti tuoda tietosuojavastaavan hyväksyttäväksi. Vastaavasti muutokset yrityksen käyttämissä ulkopuolisissa käsittelijöissä huomioidaan automaattisesti henkilötietojen käsittelykuvauksissa.
Yhteenveto
Tietosuojavaatimukset tulevat muuttumaan jatkossakin. Kun yrityksellä on tiedossa, mitä sen pitää tehdä, ja miten, on yrityksellä paremmat mahdollisuudet reagoida muutostilanteisiin. Toimivat prosessit ja niiden ylläpitoa tukeva teknologiaratkaisu mahdollistavat yritykselle jatkokehitysalustan yrityksen tietosuojastrategian muuttamiseksi pysyväksi kilpailueduksi luotettavana kumppanina.