Miten sen nyt ottaa

Julkaistu 29.7.2016

Tietosuojaviranomaisten yhteistyöryhmä WP29 järjesti heinäkuun lopulla tietosuoja-asetukseen liittyvän kuulemistilaisuuden. Tilaisuuden työnimenä oli Fablab, ja se osoittautui suureksi menestykseksi. Niinpä mekin taidamme toteuttaa syksyn ja talven mittaan täällä kotimaassa edellistä benchmarkaten FinFablab -tapahtumia.

Tapahtuma jakautui neljään samanaikaiseen työpajaan. Osallistuin vaikutustenarviointia (DPIA) käsitelleeseen työhön. Muita teemoja olivat tietosuojavastaavat, sertifikaatit ja henkilötietojen siirrettävyys järjestelmästä toiseen (Portability).

Kuuntelin jopa vähän kateellisena paikalle kutsuttujen teollisuuden, etujärjestöjen ja kansalaisjärjestöjen edustajien näkemyksiä. Liike-elämän slogan on "tunne asiakkaasi" ja me regulaattorit sanomme "tunne prosessisi". Miten tätä velvollisuutta tulisi lähestyä?

Perinteinen ja kotoinen tapammehan olisi muristen todeta hampaiden välistä jotain hallinnollisesta taakasta ja byrokratiasta.... Eikö mitä; esille nousi oikeastaan pelkästään kannustavia lausuntoja;

• DPIA:n tekemisen avulla firman eri osastot joutuvat tekemään tiiviimpää yhteistyötä keskenään
• toimii liiketoiminnan päätöksenteon tukena
• auttaa ja määrämuotoistaa organisaation dokumentointitapoja

Puhuimme myös ihan normaaleista IT-projektien riskienhallinta-asioista. Siitä, miten oikeudellisten riskien huomioiminen on osa hyvää projektin ja ylipäänsä toiminnan johtamista.

Tietosuoja-asetuksen 35 artiklan rakenne on sellainen, että sen jälkeen kun rekisterinpitäjä on arvioinut riskin olevan korkeaa tasoa on sen tehtävä vaikutustenarviointi. Artiklassa on kerrottu ne pakolliset tilanteet, joissa DPIA tulee tehdä. Artiklan kolmannen kohdan a) -alakohdan mukaan DPIA vaaditaan erityisesti tapauksissa joissa: a) "luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;" Arvioinnin on 7 kohdan mukaan sisällettävä vähintään mm. järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut. Muuten, tätä kirjoittaessani minulle tuotiin lehtiartikkeli, jonka mukaan eräs kaupparyhmä alkaa kerätä asiakkaiden tarkempia ostotietoja: "Emme ole päättäneet, mihin tietoja käytämme" otsikko julistaa!

Sitten artiklassa kerrotaan, että tietosuojaviranomaiset määrittävät tilanteita, joissa DPIA pitäisi tehdä. Vastaavasti me voimme julkaista "valkoisen listan" niistä tilanteista, jolloin DPIA:ta ei tarvita. Vaikutusten arviointi voi myös johtaa sen rajatylittävän luonteensa johdosta ylikansalliseen arviointiin. Seuraavan artiklan mukaan tietosuojaviranomaisten on autettava rekisterinpitäjiä vaikutusten arvioinnin tekemisessä.

Me täällä Suomessa olemme rakentaneet vaikutustenarvioinnin tekemiseksi vähän laajemmalle ulottuvan päättelyketjun, joka kulkee näin; 1) asetuksen ideana on, että rekisterinpitäjänä kykenet osoittamaan olevasi luotettava kumppani (accountability), 2) siihen päästäksesi, toimi ennakkosuunnittelun ja tietoturvavelvoitteiden mukaisesti (Privacy by Design ja Privacy by Default) ja 3) käytä edellä mainituissa apunasi ja turvatakeinasi vaikutustenarviointia (DPIA), jotta onnistut rakentamaan luottamusta ja siten edistämään liiketoimintaasi. Tämä on iloinen asia!