Tietosuojatyön painopisteitä

Kun EU:n tietosuoja-asetuksen soveltamiseen alettiin valmistautua, tietosuojavaltuutetun toimistoon perustettiin prosessiryhmiä, joiden tehtävänä on varmistaa omalle vastuualueelleen kuuluvien asioiden yhdenmukainen käsittely ja käsittelyprosessin kehittäminen.

Tietoturvaloukkausten käsittely käynnistyi

Tietoturvaloukkaukset-prosessiryhmän tärkeimpiä tehtäviä on varmistaa tietoturvaloukkausilmoitusten sujuva vastaanotto ja yhdenmukainen käsittely. Prosessiryhmä koostuu tietosuojavaltuutetun toimiston tietoturvaloukkauksiin erikoistuneista oikeudellisista asiantuntijoista ja IT-erityisasiantuntijoista.

Tietoturvaloukkausprosessiryhmä auttaa tietosuojavaltuutetun toimiston muuta henkilöstöä tietoturvaloukkausilmoitusten käsittelyssä ja arvioinnissa. Prosessiryhmä on laatinut sisäisiä ohjeita riskien arviointiin ja tyyppitapausten käsittelyyn. Jos tietoturvaloukkaus on epätyypillinen, prosessiryhmä auttaa asian esittelijää tietoturvaloukkauksen käsittelyssä.

Tietosuojavaltuutetun toimistolle ilmoitettiin vuonna 2018 yhteensä 2 220 tietoturvaloukkausta.

Tietoturvaloukkaukset-prosessiryhmän tehtävät ovat kehittyneet tunnistettujen tarpeiden mukaan. Ryhmä on laatinut uutta ohjeistusta ja muokannut tietoturvaloukkausilmoitusten tekemiseen tarkoitettua lomaketta saadun palautteen perusteella.

Organisaatioiden ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksista alkoi 25.5.2018, kun tietosuoja-asetusta ryhdyttiin soveltamaan. Henkilötietoihin kohdistuneesta tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle, jos loukkaus voi aiheuttaa riskin ihmisten oikeuksille ja vapauksille.

Ilmoitettuaan tietosuojavaltuutetun toimistolle tietoturvaloukkauksesta rekisterinpitäjät voivat saada neuvontaa henkilötietojen suojaamisesta ja siitä, onko tietoturvaloukkauksesta ilmoitettava loukkauksen kohteena oleville henkilöille. Tarvittaessa tietosuojavaltuutettu voi määrätä organisaation noudattamaan tietosuoja-asetuksen mukaisia velvoitteita.

Yhteistyötä tietosuojavastaavien kanssa kehitetään

Tietosuojavastaavat-prosessiryhmä seuraa tietosuojavastaavista tehtävien ilmoitusten vastaanottoa ja käsittelyä sekä kehittää tietosuojavastaavien tavoittamista ja heille kohdistettua viestintää. Tietosuojavastaavan toimiston oikeudellisten asiantuntijoiden lisäksi prosessiryhmään kuuluu tietosuojavastaavien rekisteriä ylläpitävä tietopalvelusihteeri.

Vuoden 2018 lopussa tietosuojavaltuutetun toimistolle oli ilmoitettu 1 227 tietosuojavastaavan tiedot.

Organisaatioiden on pitänyt ilmoittaa tietosuojavastaava tietosuojavaltuutetun toimistolle 25.5.2018 alkaen, kun tietosuoja-asetusta ryhdyttiin soveltamaan. Tietosuojavastaava on organisaation sisäinen tietosuoja-asiantuntija, joka seuraa henkilötietojen käsittelyä sekä tukee ja auttaa johtoa ja henkilöstöä noudattamaan tietosuojalainsäädäntöä. Tietosuojavastaava on sekä tietosuojavaltuutetun toimiston että rekisteröityjen yhteyshenkilö oman organisaationsa henkilötietojen käsittelyä koskevissa asioissa.

Organisaation on nimitettävä tietosuojavastaava, jos se

  • käsittelee laajamittaisesti arkaluonteisia tietoja
  • seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • on julkishallinnon toimija, joka ei ole tuomioistuin.

Ihmiset ovat tietoisia tietosuojaoikeuksistaan

Rekisteröidyn oikeuksia ja kanteluita koskevat asiat ovat yksi tietosuojavaltuutetun toimiston tärkeimmistä asiakokonaisuuksista. Niihin kuuluvat yksityishenkilöiden tekemät ilmoitukset tietosuojaoikeuksien loukkauksista tai epäilyistä, että jokin organisaatio tai henkilö käsittelee henkilötietoja tietosuojasäännösten vastaisesti, mutta myös erilaiset neuvonta- ja lisätietopyynnöt.

Rekisteröidyn oikeuksia koskevien asioiden hoitamiseen perustettiin EU:n tietosuoja-asetuksen soveltamisen alettua prosessiryhmä, jonka tehtäviin kuuluu muun muassa yhtenäisten käytäntöjen luominen rekisteröidyiltä tulevien kanteluiden käsittelylle. Ensimmäisenä toimintavuotenaan ryhmä on myös pyrkinyt priorisoimaan nimenomaan niitä asioita, joiden vaikutus rekisteröityihin on laajin tai vakavin, sekä asioita, jotka ovat olleet vireillä pitkään.Myös rekisteröidyn oikeuksia koskevia asioita tuli vireille vuonna 2018 enemmän kuin aikaisemmin.

Rekisteröidyiltä vireille tulevat asiat ovat tyypillisesti hyvin yksilöllisiä, mikä vaikuttaa niiden käsittelyyn ja siihen kuluvaan aikaan. Usein erityisesti kantelu- ja oikeusasioissa tarvitaan myös lisäselvityksiä, joiden hankkiminen ja läpikäyminen voi hidastaa käsittelyä.

Oman asian käsittelyä tietosuojavaltuutetun toimistossa voi jouduttaa kuvaamalla asian jo ensimmäisessä yhteydenotossa mahdollisimman täsmällisesti. Apua tähän voi saada tietosuojavaltuutetun toimiston verkkosivuilla olevista ohjeista ja lomakkeista. Sivuilta löytyy myös palvelupolku, jonka avulla voi selvittää, miten omaa asiaa on helpointa hoitaa eteenpäin.

Vaikutustenarviointi auttaa tunnistamaan riskejä

Vaikutustenarviointi on asetuksen itsearviointityökalu, jonka avulla rekisterinpitäjän voi tunnistaa suunniteltuun käsittelyyn liittyvät uhkat henkilöiden oikeuksille ja vapauksille, arvioida uhkien muodostamien riskien vakavuutta ja todennäköisyyttä sekä ottaa käyttöön riittävät suojauskeinot, joilla korkeisiin riskeihin voidaan puuttua. Vaikutusarviointia voidaan hyödyntää muun muassa tietosuoja-asetuksen 25 artiklassa tarkoitetun sisäänrakennetun ja oletusarvoisen tietosuojan ja osoitusvelvollisuuden toteuttamisessa.    

Ennakkokuuleminen on tehtävä ennen suunniteltuun käsittelyyn ryhtymistä, jos vaikutustenarviointi osoittaa, että henkilötietojen käsittely aiheuttaisi rekisteröidyn oikeuksille ja vapauksille korkean riskin, eikä rekisterinpitäjä saa omilla toimenpiteillään alennettua tätä riskiä.

Ennakkokuulemisessa rekisterinpitäjä ottaa yhteyttä tietosuojavaltuutetun toimistoon, joka antaa kirjalliset ohjeet toimenpiteistä riskitason alentamiseksi.

Vuosi 2018 on ollut vaikutustenarvioinnin ja ennakkokuulemisen osalta työn käynnistämisen aikaa. Euroopan tietosuojaneuvosto vahvisti syksyllä 2018 EU-tasoiset kriteerit sille, milloin vaikutustenarviointi on tehtävä. Kriteerien pohjalta tietosuojavaltuutetun toimisto laati asetuksen edellyttämän kansallisen luettelon käsittelytyypeistä, joista vaikutusarviointi on tehtävä. Luettelo julkaistiin joulukuussa 2018 kattaen muun muassa biometristen ja geneettisten tietojen sekä sijaintitietojen käsittelyn. Ensimmäisiä ennakkokuulemisia odotetaan Suomessa tehtäväksi vuoden 2019 alkupuolella.