Millaista on tietosuoja-asetuksen mukainen vaikutuksenarviointi ja riskiperusteinen toiminta?
Kirjoittanut
Teemu Suominen
8.1.2019 — Viimeistään viime vuoden toukokuussa niin pienten kuin suurten yritysten oli tarkistettava ja tarvittaessa muutettava henkilötietojen käsittelynsä EU:n tietosuoja-asetuksen mukaiseksi. Käytännössä yritykset käyttivät erittäin paljon resursseja sopimusten päivittämiseen, käsittelytoimien dokumentointiin ja asiakkaiden informoimiseen.
Koska ilmassa oli ns. kiireen tuntua, keskustelussa saivat vähemmän huomiota tietosuojaa koskeva vaikutuksenarviointi ja riskiperustainen toiminta. Voidaan kuitenkin olettaa, että kun Euroopan tietosuojavaltuutetut ja tuomioistuimet alkavat täydellä teholla käsitellä heille tulleita valituksia ja vahingonkorvauskanteita, tulee kysymys riskin huomioimisesta tai huomioimatta jättämisestä nousemaan merkittäväksi tekijäksi esimerkiksi hallinnollisen sakon suuruuden määrittelyssä.
Asetuksenmukaisessa riskienhallinnassa ja vaikutuksenarvioinnissa on pohjimmiltaan kysymys samasta asiasta, eli:
- asiakkaiden/rekisteröityjen yksityisyys tuodaan toiminnan keskiöön
- toiminnan epävarmuustekijät tuodaan näkyviksi riittävän järjestelmällisesti, tarkasti ja tehokkaasti
- varaudutaan ennalta häiriöihin ja seurataan säännöllisesti toteutumaa
- riskienhallinnalla pyritään erityisesti luomaan lisäarvoa toiminnalle ja asiakkaille
Tarkempaa oikeusperustaa. Sana ”riski” toistuu tietosuoja-asetuksessa 58 kertaa, kun taas kumoutuneessa henkilötietolaissa sanaa ei mainittu kertaakaan. Uuden kansallisen tietosuojalain hallituksen esityksessä todetaan, että yrityksille aiheutuu asetuksesta ennen kaikkea välillisiä compliance eli vaatimuksenmukaisuuskustannuksia, nykytilannetta tarkemman ennakollisen riskinhallinnan seurauksena.
Asetuksen 5 artikla edellyttää mm. käsittelyn läpinäkyvyyttä ja toisaalta että vaatimuksenmukaisuus voidaan osoittaa. Läpinäkyvyyttä täsmentää 39. resitaali, jonka mukaisesti käsittelyä koskeva asiakasviestintä on oltava helposti saatavilla, ymmärrettävää ja tällaisessa viestinnässä on käytettävä selkeää ja yksinkertaista kieltä. Lisäksi asiakkaille on tiedotettava erityisesti henkilötietojen käsittelyyn liittyvistä riskeistä.
Asetuksen 24 artikla velvoittaa rekisterinpitäjän mitoittamaan tekniset ja organisatoriset toimensa riskiä vastaavaksi, ja 32 artikla edellyttää käsittelyssä riskiä vastaavaa turvallisuustasoa.
Mitä tietosuoja-asetus tarkoittaa riskillä? Yllättävää kyllä, sanaa ”riski” ei ole määritelty asetuksen määritelmät sisältävässä 4 artiklassa. Myöskään sanaa ”vaikutuksenarviointi” ei ole erikseen määritelty, mutta 35 artikla 1 ja 7 alakohdassa on johdettavissa vaikutuksenarvioinnin elementit, jotka ovat 1) kuvaus käsittelytoimista ja tarkoituksista 2) tarpeellisuus ja oikeasuhtaisuusarvioi 3) käsittelyn, erityisesti uuden teknologian mukaan tuomat riskit 4) riskinhallintatoimenpiteet.
Johtolankaa riski−termin määrittämiseen on saatavissa asetuksen 76. resitaalista, jonka mukaan
”Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.” (kursiivi lisätty)
Tästä resitaalista voidaan nähdä se, että yrityksessä jo mahdollisesti olevaan riskinhallintatoimintoon on tuotava voimakkaasti asiakkaan yksityisyys- ja luottamusnäkökulma, eli ei riitä, että arvioidaan riskiä yrityksen tulos-, aikataulu- tai laatutavoitteiden näkökulmasta.
Lisäksi riskinarvioinnilta edellytetään nimenomaisesti objektiivisuutta. Tämä vaatimus avautuu miettimällä mikä ei täyttäisi objektiivisuuden vaatimusta, jos käsittelyä jälkikäteen esimerkiksi arvioitaisiin tuomioistuimessa. Objektiivisen ja osoitusvelvollisuuden vastaista riskinarvioita on täysin laiminlyöty tai dokumentoimaton riskiarvio, sekä subjektiivinen ja perustelematon riskiarvio, eli ns. ”mutu-tuntuma”.
Objektiivisen riskinarvion mittapuita onkin etsittävä asetuksen ulkopuolelta. Euroopan tietosuojaneuvosto (entinen WP 29 työryhmä) vahvisti ensi töikseen ennen asetuksen voimaantuloa annetut ohjeet vaikutuksenarvioinnista, jotka löytyvät osoitteesta http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
Vaikutuksenarviointiohjeen s.5 todetaan ohjeiden ammentavan mm. kansainvälisistä riskinhallintastandardeista, kuten ISO 31000:2009. Viime vuonna ohje päivitettiin versioon ISO 31000:2018, ostettavissa Suomen Standardisoimisliitto SFS ry:n sivuilta.
Suosituimmat kirjoitukset
Millaista on tietosuoja-asetuksen mukainen vaikutuksenarviointi ja riskiperusteinen toiminta?
8.1.2019 — Viimeistään viime vuoden toukokuussa niin pienten kuin suurten yritysten oli tarkistettava ja tarvittaessa muutettava henkilötietojen käsittelynsä EU:n tietosuoja-asetuksen mukaiseksi. Käytännössä yritykset käyttivät erittäin paljon resursseja sopimusten päivittämiseen, käsittelytoimien dokumentointiin ja asiakkaiden informoimiseen.
Työsopimus ja kilpailukielto
22.1.2019 — Nykyajan työelämässä on useita haasteita, jotka koskevat niin työsuhteiden solmimistilanteita kuin toimintaa työsuhteen aikana. Erityisesti yritysten ylemmissä tehtävissä työskentelevät henkilöt kohtaavat usein kilpailevaan toimintaan ja kilpailukieltoon liittyviä ongelmatilanteita. Kilpailukieltoon liittyvät kysymykset ovat tärkeitä myös henkilöille, jotka työskentelevät asiantuntijatehtävissä tai muutoin organisaation ylemmillä portailla toimialoilla, joissa kehitys on jatkuvaa ja uuden tiedon määrä on suuri. Tässä artikkelissa käsitellään yleisellä tasolla kilpailevan toiminnan kieltoa työsuhteessa sekä kilpailukieltosopimuksen laatimiseen liittyviä perusasioita ja keskeisiä ehtoja ja edellytyksiä.
Reims & Co
Töölönkatu 4, 00100 Helsinki | Laurinkatu 48 B, 08100 Lohja
Suomi
Facebook
LinkedIn
Instagram
Google Maps
T +358 9 622 0481 Helsinki | +358 19 323 944 Lohja
F +358 9 644 643
if.smier@smier