Tietosuojaan liittyvät prosessit

Hyviä käytäntöjä ovat esimerkiksi

• kattavat vaatimusmäärittelyt esimerkiksi hankinnoissa ja toiminnan kehittämisessä
• tietosuojan vaikutustenarvioinnin laatiminen
• tietosuojasopimukset ja -liitteet sidosryhmille ja
• toimitusketjujen organisaatioiden sitouttaminen tuottamaan ja noudattamaan tietosuojaan liittyviä periaatteita.

Tietosuojasopimuksissa ja tietosuojaa käsittelevissä sopimusliitteissä tulee varmistaa, että sopimuskumppanit ja sidosryhmät sitoutuvat varmistamaan tietosuojan toteutumisen omien alihankintaketjujensa osalta.

Henkilötietoja myös siirretään rekisterinpitäjien ja käsittelijöiden välillä. Esimerkiksi tietojärjestelmiä tuottavat organisaatiot ovat käsittelijöitä, joille tietoja siirretään, kun tietojärjestelmiä otetaan käyttöön. Joissakin tilanteissa rekisterinpitäjät myös luovuttavat henkilötietoja toisille rekisterinpitäjille.

Henkilötietoja käsitellään yleensä sellaisissa tietojärjestelmissä, joita rekisterinpitäjä ei itse tuota. Alihankintaketjut ovat usein pitkiä, ja tietosuojasta vastaa monia toimijoita, joilla voi olla vaihtelevia tietosuojakäytäntöjä. Tietosuojan vaikutustenarviointiin tuleekin osallistaa kaikkien käsittelyketjuun osallistuvien toimijoiden eli käsittelijöiden edustajat.

Jos rekisterinpitäjä (kuten esimerkiksi hyvinvointialue) ei ole itse rakentanut käyttämäänsä pilvipalvelussa sijaitsevaa tietojärjestelmää, jossa käsitellään henkilötietoja, vaikutustenarvioinnin laatimiseen tulee ottaa mukaan

1. käsittelijän (eli esimerkiksi tietojärjestelmätoimittajan) edustaja ja
2. käsittelijän alla olevan mahdollisen alikäsittelijän (esimerkiksi pilvipalvelun tekninen tuottaja) edustaja.

Kun kilpailutat järjestelmiä tai palveluita, joiden hankinta edellyttää tietosuojavastaavan arviota, ota organisaatiosi tietosuojavastaava mukaan hankintaprosessiin hyvissä ajoin ennen sopimusten allekirjoittamista.

Kun otat tietosuojavastaavan mukaan oikea-aikaisesti, tietosuojavastaava ehtii perehtyä usein laaja-alaisiin sopimuksiin riittävän hyvin ja mahdollistat hankintojen etenemisen suunnitellussa aikataulussa.

Jos tietosuojavastaavaan otetaan yhteyttä paria päivää ennen kuin sopimus olisi tarkoitus allekirjoittaa ja todetaan, ettei tietosuojaa ole huomioitu tarpeeksi hyvin, tietosuojavaatimusten huomioiminen jälkikäteen voi esimerkiksi viivästyttää sopimuksen laatimista tai toimintojen aloittamista tai jopa estää sopimuksen tekemisen viime hetkellä kokonaan.

Jos valvontaviranomainen havaitsee puutteita järjestelmän tietosuojassa järjestelmän käyttöönoton jälkeen, puutteiden korjaaminen saattaa edellyttää muutostöitä. Muutostöistä koituu kustannuksia rekisterinpitäjäorganisaatiolle eli omalle organisaatiollesi. Joskus muutosten tekeminen saattaa olla jopa mahdotonta.

Koska toimittajasopimukset ovat velvoittavia, organisaatiosi saattaa joutua maksamaan toimittajalle tietosuojasyistä käyttökelvottomasta järjestelmästä ja palvelusta sopimuksen keston ajan.

Tietosuojan vaikutustenarvioinnin laatimisen yhteydessä kuvataan esimerkiksi suunnitellun henkilötietojen käsittelyn

• luonne
• tarkoitukset
• toteutustavat.

Riskien dokumentointi on osa kaikkea riskienhallintaa, myös tietosuojan vaikutustenarviointiprosessia. Vaikutustenarvioinnin laatimisen yhteydessä muodostuu myös suurin osa vaaditusta dokumentaatiosta.

Vaikutustenarviointi tulee myös hyväksyä. Vaikutustenarvioinnin hyväksyy rekisterinpitäjän edustaja, jolla on toimivalta päättää henkilötietojen tarkoituksista ja keinoista. Hyväksyntä tulee myös dokumentoida.

Tee myös tietojen siirtoon liittyvä arviointi (TIA), jos tietojen siirtoa voi tapahtua kolmansiin maihin. Lue lisää tietojen siirtoon liittyvästä arvioinnista oppaan sivulta Tietosuojan sanasto.

Tietosuojan vaikutustenarviointi poikkeaa perinteisestä riskienhallinnasta siinä, että sen kohteena on rekisteröity, eikä esimerkiksi organisaatio, sen toiminta tai sen resurssit. Esimerkiksi jotkin henkilötietojen käsittelytoimet saattavat olla suhteellisen riskittömiä organisaatiolle, mutta muodostavat rekisteröidyille korkean riskin.

Vaikutustenarvioinnin laatimisessa on hyvä huomioida, että se kohdistuu henkilötietojen käsittelyyn ja siihen liittyviin prosesseihin. Vaikutustenarviointi ei siten ole arvio esimerkiksi käytettävän tietojärjestelmän tietoturvan tasosta, vaikka tietojärjestelmällä voi olla keskeinen rooli vaikutustenarvioinnin sisällön kannalta.

Varmista, että vaikutustenarviointityökaluja käytettäessä arvioijilla on

1. hyvä käsitys suunnitelluista henkilötietojen käsittelytoimista
2. riittävä tietotaito aiotuista käsittelytoimista, niiden perusteista, keinoista ja tarkoituksista.

Tietosuojan vaikutustenarviointi on riskienhallintatoimenpide, jonka tekeminen voi olla hyödyllistä, vaikka se ei velvoittaisikaan organisaatiotasi.

Pidä organisaation tietosuojavastaavat ja mahdolliset tietosuoja-asiantuntijat tietoisena vaikutustenarvioinnin laatimisen etenemisestä.

Ennen hyväksyntää voi joissakin tilanteissa olla hyvä kuulla myös rekisteröityjen näkemyksiä aiottuihin henkilötietojen käsittelytoimiin. Esimerkiksi henkilöstöltä tai henkilöstön edustajilta voi pyytää näkemyksiä aiottuihin käsittelytoimiin. Nämä näkemykset kannattaa myös dokumentoida ja tarvittaessa päivittää käsittelytoimet kommenttien pohjalta.

Tietosuojan vaikutustenarviointia tulee katselmoida ja tarvittaessa päivittää määräajoin. Arviointia tulee päivittää aina, kun käsittelytoimiin tai toimintaympäristöön tulee muutoksia. Tietosuojan vaikutustenarvioinnin päivittäminen kannattaa lisätä rekisterinpitäjän tietosuojan vuosikelloon.

• Vaikutustenarviointi (Tietosuojavaltuutetun toimisto)Avautuu uuteen ikkunaan.
• Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski" (Euroopan tietosuojatyöryhmä, PDF)Avautuu uuteen ikkunaan.

Mikäli tietosuojaperiaatteista ei huolehdita ja rekisteröityjen oikeudet eivät toteudu vaatimustenmukaisella tavalla

• rekisteröityihin kohdistuvat riskit kohoavat
• rekisterinpitäjään kohdistuvien riskien vaikutukset ja todennäköisyydet suurenevat.

Rekisteröityjen oikeuksien toteuttaminen on paras tapa varmistaa tietosuojaan liittyvien riskien hallinta ja samalla minimoida riskien toteutumisen vaikutukset niin organisaatiolle kuin rekisteröidylle. Rekisteröityjen oikeuksien toteutumista tuleekin dokumentoida ja arvioida säännöllisesti. Dokumentaatiota tulee myös päivittää arvioinnin pohjalta.

Oikeuksien toteuttamisen tulee olla myös läpinäkyvää ja siitä tulee viestiä rekisteröidyille.

Rekisteröityjen oikeuksien toteuttamisessa on kuitenkin hyvä huomioida, että rekisteröity ei voi käyttää kaikkia oikeuksia kaikissa tilanteissa. Esimerkiksi henkilötietojen käsittelyperuste voi vaikuttaa siihen, mitkä rekisteröityjen oikeudet ovat sovellettavissa käsittelyyn.

• VAHTI hyvät käytännöt -tukimateriaali: tietosuojan vaikutustenarvioinnin alkukartoitus (Digi- ja väestötietovirasto, DOCX)Avautuu uuteen ikkunaan.
• VAHTI hyvät käytännöt -tukimateriaali: tietosuoja - vaikutustenarviointi (Digi- ja väestötietovirasto, DOCX)Avautuu uuteen ikkunaan.
• Tietosuojan vaikutustenarviointityökalu (Tietosuojavaltuutetun toimisto, XLSX)Avautuu uuteen ikkunaan.
• Tietosuojan vaikutustenarviointityökalun käyttöohje (Tietosuojavaltuutetun toimisto, PDF)Avautuu uuteen ikkunaan.
• Tietosuojan vaikutustenarviointi rikosasioiden tietosuojalain mukaan (Tietosuojavaltuutetun toimisto, PDF)Avautuu uuteen ikkunaan.

• Julkisen hallinnon tietoturvallisuuden arviointikriteeristö (Valtiovarainministeriö, PDF)Avautuu uuteen ikkunaan.

Vuosikellon hyödyntäminen on hyvä tapa seurata prosessien toimivuutta ja vaikuttavuutta. Voit lisätä tietosuojaan liittyvän riskienhallinnan

• johdon vuosikelloon
• tietosuoja-asiantuntijoiden vuosikelloon sekä
• käsittelyprosesseista vastaavien tahojen vuosikelloon.

Rekisterinpitäjä hallitsee organisaation ja rekisteröityjen tietosuojaan liittyviä riskejä. Vaikka tietosuojavastaava ei ole vastuussa tietosuojaan liittyvästä riskienhallinnasta, hän voi tarjota rekisterinpitäjälle arvokkaita neuvoja ja tukea.