Keväästä 2018 alkaen EU:n alueella on sovellettu EU:n yleistä tietosuoja-asetusta. Yleinen tietosuoja-asetus velvoittaa kaiken kokoiset organisaatiot arvioimaan henkilötietojen käsittelyyn liittyviä riskejä jo ennen kuin organisaatio alkaa tietoja käsittelemään (EU 2016/679, 35§). Mitä varhaisemmassa vaiheessa tietosuoja-asetuksen asettamat vaatimukset otetaan uuden käsittelytoiminnon suunnittelussa huomioon, sitä vähemmän käyttöönottoa hidastavia tai kustannuksia nostavia haasteita on tiedossa projektin myöhemmissä vaiheissa.
Mitä oikeastaan on henkilötieto?
Henkilötietoa on kaikki se tieto, jonka perusteella henkilö voidaan tunnistaa. Nimi tai sosiaaliturvatunnus ovat ilmiselviä henkilötietoja, mutta niin on myös mikä tahansa muukin henkilön yksilöivä informaatio. Tietosuoja-asetus suojaa henkilötietoja täysin riippumatta käytetystä tekniikasta tai säilytystavasta. Ainoa tapaus, jossa tietosuoja-asetusta ei sovelleta, on tietojen henkilökohtainen käsittely, jossa käsittely ei liity ammatilliseen tai kaupalliseen toimintaan. (Tietosuojavaltuutetun toimisto 2022.)
Uutta tietojärjestelmää tai toimintoa suunniteltaessa tuleekin ensimmäiseksi tunnistaa, käsitelläänkö siinä henkilötietoja. Mikäli henkilötietoja käsitellään, tulee seuraavaksi tunnistaa käsittelyn aiheuttamat riskit käsittelyn kohteena olevien henkilöiden oikeuksille. Suomessa tietosuojaviranomaisena toimiva Tietosuojavaltuutetun toimisto tarjoaa kattavan ja ymmärrettävän ohjeistuksen niin organisaatioille kuin yksityishenkilöillekin tietosuojalainsäädännön vaatimusten saavuttamiseen.
Tietosuoja ja kehitystyö
Tietosuoja on tarkoitettu toteutettavaksi jatkuvana prosessina, mikä tarkoittaa sitä, että hankinnan tai kehitystyön muuttuessa ajan kanssa myös tietosuoja ja sen toteutus ovat muutoksen kohteina. Ensimmäisten määrittelyjen jälkeen käsittelytoimintoon saattaa tulla suuriakin muutoksia, ja alun perin tietosuojan toteutumiseksi määritellyt toimenpiteet voivat vanhentua. Uudet tietolähteet voivat tarjota vanhojen lähteiden kanssa yhdistettynä tietoa, joka muuttaa niiden yksilöille aiheuttaman riskin matalasta korkeaksi. On rekisterinpitäjän vastuulla osoittaa, että riskien kitkemiseksi on tehty riittävät toimenpiteet (EU 679/2016, 5§). Koska riittävän tason määrittely jää pääsääntöisesti organisaation itsensä päätettäväksi, on riskilähtöisyyden periaate hyvä tapa mitoittaa toimenpiteet oikein (European Data Protection Supervisor 2022).
Kehitystyölle tyypillinen iteratiivisuus tarjoaa hyvän mahdollisuuden tietosuojan huomioimiseksi prosessin aikana. Kun tietosuojan tilanteen pikainenkin arviointi sisällytetään jokaisen kehitysiteraation tehtäviin, eivät kehittäessä syntyneet muutokset pääse aiheuttamaan yllätyksiä myöhemmin. Mikäli kehitystyön myötä päädytään hankkimaan tuotteita tai palveluita ulkoiselta palveluntarjoajalta, ovat ajoissa ja huolella määritellyt vaatimukset hankkijan etu. Tietosuojaan ja -turvaan liittyviä ominaisuuksia on todennäköisesti saatavilla jälkikäteenkin, mutta hankinnan jo toteuduttua toimittajan on helpompi pyytää niistä lisähintaa.
Kirjoittajat
Minna Asplund, TkL, toimii LAB-ammattikorkeakoulussa lehtorina sekä koordinaattorina insinööri (ylempi AMK) digitaaliset ratkaisut ja IoT:stä tekoälyyn -koulutuksissa.
Tapio Alhonsuo valmistui toukokuussa 2022 LAB-ammattikorkeakoulusta ylemmän AMK:n insinööriksi digitaaliset ratkaisut -koulutuksesta. Hän toteutti henkilöstöraportoinnin kehittämistä koskevan opinnäytetyönsä ”Henkilöstöraportoinnin kehittäminen ja automatisointi : case : Rovaniemen koulutuskuntayhtymä REDU” työnantajalleen Rovaniemen koulutuskuntayhtymä REDU:lle.
Lähteet
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus). Viitattu 19.5.2022 Saatavissa: https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679
European Data Protection Supervisor. 2022. Information Security. Viitattu 7.5.2022. Saatavissa https://edps.europa.eu/data-protection/data-protection/reference-library/information-security_en
Tietosuojavaltuutetun toimisto. 2022. Mikä on henkilötieto? Viitattu 7.5.2022. Saatavissa https://tietosuoja.fi/mika-on-henkilotieto
Linkit
Linkki 1. Alhonsuo, T. 2022. Henkilöstöraportoinnin kehittäminen ja automatisointi: case: Rovaniemen koulutuskuntayhtymä REDU. YAMK-opinnäytetyö. Lahden ammattikorkeakoulu, tekniikanala. Lahti. Viitattu 24.5.2022. Saatavissa https://urn.fi/URN:NBN:fi:amk-202205067550