GDPR täyttää vuoden – näihin asioihin järjestöjen ja liittojen täytyy vielä kiinnittää huomiota

Vuosi sitten sovellettavaksi tullut Euroopan unionin yhteinen tietosuoja-asetus (GDPR) on aiheuttanut useita muutoksia yritysten, liittojen ja järjestöjen toiminnassa.

Tietosuojan valvonnasta vastaava tietosuojavaltuutetun toimisto julkaisi keväällä näkemyksensä vuoden 2019 tietosuojatrendeistä. Tietosuojavaltuutettu ennakoi uusien teknologioiden, kuten kasvojentunnistuksen etenevän ja tuovan uusia haasteita henkilötietojen käsittelyyn. Myös nopeasti yleistynyt äänentunnistusteknologia aiheuttaa avoimia kysymyksiä, kuten alkuvuodesta totesimme.

Jo nyt voi todeta, että tietosuoja-asetus on selvästi saanut organisaatiot tarkkailemaan tietosuojansa tilaa, aivan kuten asetuksen tavoite olikin. Tietosuojavaltuutettu on saanut alkuvuoden 2019 aikana jo yli 3000 ilmoitusta, mikä on yli 20% enemmän kuin edellisenä vuonna.

Vuoden aikana on myös todettu, että asetus ei yleensä anna suoria ohjeita tai määräyksiä tietojen käsittelyyn, vaan organisaatioiden on itse määritettävä ja dokumentoitava käytäntönsä. Tietosuojavaltuutetun tekemien tulkintojen myötä käy ilmi, mikä tietosuojataso ja mitkä käytänteet ovat riittäviä.

Listasimme muutamia käytännön asioita, jotka olemme itse havainneet asiakkaidemme kanssa tekemässämme tietosuojatyössä.

Informoi tietojen keräämisestä heti

Moni järjestö ja liitto järjestää sidosryhmilleen erilaisia tilaisuuksia. Verkkosivuilla kerätään palautetta ja messujen yhteydessä järjestetään arpajaisia.

Kaikkia näitä tarkoituksia varten tarvitaan osallistujien yhteystiedot ja mahdollisesti muitakin henkilötietoja. Tietosuoja-asetus edellyttää, että rekisterinpitäjä ilmoittaa tietojen keräämisen yhteydessä ainakin rekisterinpitäjän yhteystiedot, tietojen käsittelyn tarkoituksen sekä oikeusperusteen sekä mahdolliset tietojen vastaanottajat. Yllättävän monen verkkosivun palautelomakkeen yhteydessä näistä asioista ei mainita sanallakaan.

Muista riskiarvio

Tietosuoja-asetuksen yksi perusperiaatteista on riskiperusteinen tietosuoja. Se tarkoittaa, että rekisterinpitäjän tulee arvioida tietojen käsittelyn aiheuttamat riskit, dokumentoitava ne ja mitoitettava tietosuojatoimenpiteensä niiden mukaisesti.

Riskiarvion tekoa ei voi täysin ulkoistaa, eivätkä organisaatiot ole yhteismitallisia. Jokaisen organisaation on arvioitava omat riskinsä itse. Työ kannattaa aloittaa kartoittamalla organisaation toiminnot, joissa tarvitaan henkilötietojen käsittelyä.

Seuraa ja kirjaa tietosuojatapahtumat

Tietosuoja-asetuksen osoitusvelvollisuus tarkoittaa, että organisaation täytyy kysyttäessä pystyä todistamaan, että se noudattaa asetusta.

Yksi tärkeä osa osoitusvelvollisuutta on tietosuojatapahtumien dokumentointi. Jos joku huomaa, että esimerkiksi sähköpostin mukana on mennyt henkilötietoja väärälle vastaanottajalle, on siitä tehtävä merkintä organisaation tietosuojatapahtumalokiin. Pienetkin tietoturvaloukkaukset on kirjattava ylös, vaikka niistä ei tarvitsisikaan tehdä ilmoitusta viranomaiselle. Organisaation on aina arvioitava, onko tietoturvaloukkauksen yhteydessä rekisteröityjen oikeuksille ja vapauksille kohdistunut merkittävää riskiä ja sen perusteella päätettävä, tarvitseeko asiasta tehdä ilmoitusta.

Varaudu tietojen kalasteluyrityksiin

Suurin osa tietosuojavaltuutetun toimistolle tehdyistä ilmoituksista tietoturvaloukkauksista johtuu tietojen kalastelusta. Niistä pääosa koskee Microsoftin Office 365 –tunnusten ja salasanojen joutumista hyökkääjän haltuun.

Kalastelu tapahtuu tyypillisesti lähettämällä luotettavalta vaikuttava sähköpostiviesti, jossa on linkki, joka klikattaessa ohjautuu aidon näköiselle Office 365 –kirjautumissivulle. Jos käyttäjä antaa sivulle käyttäjätunnuksensa ja salasanansa, niin hyökkääjällä on tällöin pääsy kaikkeen siihen tietoon, mikä tilin omistajalla on, kuten henkilötietoja ja muuta salassa pidettävää tietoa sisältäviin aineistoihin.

Tarkasta käsittelyperusteet

Uusi asetus on tuonut joitakin muutoksia tietojen käsittelyperusteisiin.

Esimerkiksi vanhan henkilötietolain aikana organisaation vuosimatrikkelin laatiminen oli suoraan tulkittavissa organisaation oikeutetuksi eduksi. Uudet tietosuoja-asetus ja tietosuojalaki eivät ota suoraan kantaa matrikkeliin, vaan organisaation on perusteltava tietojen käsittely tapauskohtaisesti.

Varmista tietosuojavastaavan sijaisuudet

Organisaatioiden on varmistettava, että tietosuojavastaavalla on aina sijainen, joka hoitaa tietosuojavastaavan tehtäviä lomakaudella. Tietosuojavaltuutettu on muistuttanut, että tietoturvaloukkauksista ja rekisteröidyn tietopyynnöistä aiheutuvat toimenpiteet eivät saa viivästyä tietosuojavastaavan poissaolon vuoksi.

Rubic HR Finland Oy on puolueeton tietosuoja- ja teknologiahankintakonsultti, joka kuuluu Iodata Oy –konserniin yhdessä Fabula Productions Oy:n ja Lanka Creative Oy:n kanssa.