EU:n tietosuoja-asetus ja tilivelvollisuuden periaate

Joulukuussa koitti vihdoin se hetki, jota kaikki tietosuoja-ammattilaiset ja varmasti muutkin tietosuojan kanssa työskentelevät ovat hartaasti odottaneet. Miltei neljän vuoden tiukkojen neuvottelujen jälkeen tietosuoja-asetuksen lopullisesta tekstistä päästiin yhteisymmärrykseen kolmikantaneuvotteluissa. Kun pöly on alkanut laskeutua, on viimeistään nyt hyvä aika analysoida, mitä tulevat vaatimukset todella pitävät sisällään ja mitä ne tarkoittavat oman organisaation kannalta.

Asetus vahvistaa vanhoja tietosuojaperiaatteita siinä missä esittelee myös uusia konsepteja, joiden tarkoitus on aktivoida rekisterinpitäjät huolehtimaan entistä aktiivisemmin ja omalähtöisemmin henkilötietojen käsittelyn asianmukaisesta hallinnoinnista ja sitä kautta yksityisyyden suojan toteutumisesta. Yksi näistä periaatteista on nk. tilivelvollisuuden periaate (accountability), joka vapaasti kääntäen tarkoittaa sitä, että rekisterinpitäjän on toteutettava tarvittavat tekniset ja hallinnolliset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan asetuksen määräyksiä. Periaate voidaan siis jakaa kahteen komponenttiin, velvollisuuteen a) toimia huolellisesti ja lainmukaisesti sisäisesti, ja toisaalta b) osoittaa toimien lainmukaisuus tarvittaessa myös ulospäin, esimerkiksi viranomaiselle.
Tilivelvollisuuden toteuttaminen voidaan ajatella sinä kuuluisana punaisena lankana, joka kulkee läpi koko asetuksen. Se tukee yksittäisiä vaatimuksia ja toisaalta muovaa niiden toteuttamisen tueksi nk. parhaita käytäntöjä.
Haasteena asetuksen vaatimusten täyttämisessä tulee olemaan mm. se, että osa vaatimuksista jää asian luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelemisessä. Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys. Tämä liikkumavara on osa tilivelvollisuuden ajatusta. Tilivelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti. Siksi erityisesti riskianalyysit ovat välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen.
Rekisterinpitäjän tulee tarvittaessa jälkikäteen pystyä perustelemaan valittu suojaustaso. Parasta evidenssiä päätöksen perusteeksi ovat dokumentoidut riskianalyysit, prosessit ja teknologiaratkaisut – henkilötietojen käsittelyn prosessit tulee tietosuoja-asetuksen mukaan myös dokumentoida. Myös yleisesti käytössä olevien tietoturvastandardien noudattamisella voidaan osoittaa toiminnan vastuullisuus. Järein työkalu esimerkiksi kehitystyön tehokkuuden arviointiin ja tehtyjen toimien todentamiseen on ulkopuolisen, riippumattoman tahon suorittama auditointi.
Jos jotakin pääsee kaikista kontrolleista huolimatta kuitenkin sattumaan, on tärkeää pysytä näyttämään toteen kaikki se huolellisuuden ja vastuullisuuden puolesta puhuva työ, joka on tehty riskien realisoitumisen välttämiseksi. Riittävä varautuminen ja omien toimien dokumentointi voi myös parhaassa tapauksessa auttaa välttämään sanktiot tai rikkomuksen vakavuudesta riippuen ainakin vaikuttaa seuraamuksia lieventävästi.

One Reply on “EU:n tietosuoja-asetus ja tilivelvollisuuden periaate”

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *