Centria valmistautuu EU:n tietosuoja-asetukseen

Anita Rättyä

Uusi tietosuoja-asetus (GDPR, General Data Protection Regulation) astui voimaan toukokuussa 2016. Asetuksen siirtymäaika päättyy 25.5.2018, jonka jälkeen asetusta aletaan soveltaa käytännössä. Siirtymäajan päätyttyä rekisterinpitäjä voi joutua oikeudelliseen vastuuseen henkilötietojen käsittelyyn liittyvistä laiminlyönneistä. Rangaistukset voivat nousta jopa miljooniin euroihin.  Centria-ammattikorkeakoulu valmistautuu EU:n tietosuoja-asetukseen monella tavalla. Centriassa on aloitettu tietosuoja-kehityshanke, jonka tavoitteena on varmistaa, että Centrian tietosuojakäytännöt vastaavat asetuksen vaatimuksia. Lisäksi Centria kouluttaa ja tuottaa tietosuojapalveluja alueen yrityksille.

Identiteettivarkaudet lisääntyneet

Henkilötietoja joutuu liian usein vääriin käsiin. Syyskuun lopussa uutisoitiin muun muassa Terveyden ja hyvinvoinnin laitoksen suuresta henkilötietovuodosta, jonka aiheutti inhimillinen virhe. Inhimillisen virheen aiheuttajana voi olla rekisterinpitäjän tai henkilötietojen käsittelijän tiedon puute, huolimattomuus tai prosessien ja jopa tietojärjestelmien haavoittuvuudet, jotka realisoituvat vahingossa. Identiteettivarkauden uhrille koituu monenlaisia harmeja; joko taloudellisia menetyksiä tai vähintään turvattomuutta raha-asioiden tai maineen suhteen. Identiteettivaras käyttää anastettuja henkilötietoja usein kalliisiin nettiostoksiin tai kirjoittelee toisen nimissä sosiaaliseen mediaan. EU:n tietosuoja-asetuksen tavoitteena on lisätä tietosuojatietoisuutta ja kannustaa rekisterinpitäjiä tietoturvallisiin toimintatapoihin.

Henkilötiedot kauppatavarana

EU:n tietosuoja-asetuksen yksi tärkeimmistä tavoitteista on turvata luonnollisen henkilön oikeus omiin henkilötietoihinsa. Henkilötietoja myydään sekä luvanvaraisesti että luvatta, sillä ne ovat arvokasta tietoa erilaisiin markkinointitarkoituksiin.  Rekisteriselosteista ja tietosuojalausekkeista pitääkin löytyä maininta muun muassa suoramarkkinoinnin ja tietojen luovuttamisen käytännöistä.

Looginen rekisteri

Henkilörekistereitä syntyy, kun opiskelijat tai asiakkaat kirjautuvat erilaisiin tietojärjestelmäpalveluihin, ilmoittautuvat kursseille, koulutuksiin tai osallistuvat kilpailuihin. Henkilötietoja kerätään edelleen myös messuilla ja erilaisissa tapahtumissa kupongeilla tai asiakaskyselylomakkeilla. Nämä eri tavoin, mutta samaan tarkoitukseen kerätyt henkilötiedot muodostavat ns. loogisen rekisterin, jonka henkilötietoja tulee käsitellä samalla huolellisuudella riippumatta siitä, millä tavalla henkilötiedot on kerätty. Centriassakin on useita henkilötietorekistereitä, esimerkiksi opiskelijarekisteri, työntekijärekisteri ja asiakasrekisteri. Näihin rekistereihin kerättävien henkilötietojen käsittelyn, elinkaaren ja tietoturvan asianmukaisuus varmistetaan tietosuoja-kehityshankkeessa.

Centrian tietosuoja -kehityshanke

Kehityshanketta vetävät IT-päällikkö Jarmo Kauppinen ja projekti-insinööri Anita Rättyä.  Tietosuoja-kehityshanke aloitettiin syyskuussa tietosuojakyselyllä. Kyselyyn vastanneista noin 30 henkilöä käsitteli henkilötietoja säännöllisesti kuukausittain tai useammin. Kuitenkin henkilötietoja käsitellään myös projektitöissä satunnaisesti. Tulokset osoittivat selkeästi sen, että yleisellä tasolla henkilötietojen käsittelyyn liittyviin kysymyksiin kaivataan tietoa ja hyviä käytäntöjä, sillä suurin osa henkilöstöstä käsittelee henkilötietoja ainakin joissakin työtehtävissä vuoden aikana.

Centriassa on hyvin erilaisia osastoja ja toimintoja, joiden prosessit poikkeavat toisistaan. Tietosuojakehityshanke jatkuukin siten, että eri osastoille järjestetään loppuvuoden aikana aloituspalavereita, joissa kerrotaan EU:n tietosuoja-asetuksen sisällöstä ja suunnitellaan tarvittavat jatkotoimenpiteet. Jokaisesta toiminallisesta organisaatiosta valitaan vähintään yksi yhteyshenkilö, joka vastaa osaston prosesseista ja joiden kanssa tietosuoja-asetuksen vaatimukset jalkautetaan käytäntöön.   Organisaatioissa tarkistetaan henkilötietojen käsittelyn lainmukaisuus ja luodaan prosessit, joilla varmistetaan, että tietosuoja-asetuksen mukaisia määräyksiä noudatetaan. Käytännön toimia on jo aloitettu tietosuoja-asetusta silmällä pitäen. Centriassa on meneillään tilaremontti ja sen yhteydessä on siivottu arkistoja ja hävitetty asianmukaisesti henkilötietoja sisältäviä asiakirjoja, joilla ei ole enää käyttötarkoitusta.  Palvelusopimuksia on tarkistettu, ja toimintaprosesseja sekä vastuita on dokumentoitu.

Koulutus ja palvelutoiminta

Tietosuoja-asetus koskee kaikkia rekisterinpitäjiä. Pienten ja keskisuurten yritysten ei tarvitse nimetä omaa tietosuojavastaavaa, vaan ne voivat hankkia tietosuojaan liittyvän tiedon ja palvelut ostopalveluina. Centrian koulutuspalvelutarjonnassa onkin lokakuusta alkaen tietosuoja-koulutusta ja palvelutoiminnassa uutena tuotteena on tietosuojapalvelu. Näiden palvelujen avulla pyrimme auttamaan Centrian toiminta-alueen pk-yrityksiä vastaamaan EU:n tietosuoja-asetuksen haasteisiin. Eri liiketoiminta-alueilla henkilötietojen käsittelyn määrä saattaa poiketa suurestikin, joten räätälöidyt ratkaisut ovat tarpeellisia.

Tavoitteet

Sekä rekisterinpitäjän että henkilötietojen käsittelijöiden vastuita ja velvollisuuksia on tarkennettu, jotta kansalaisten oikeus henkilötietoihinsa säilyisi ja he voivat luottaa siihen, että niitä käytetään oikein ja huolellisuutta noudattaen.  Centrian tavoitteena on jakaa henkilökunnalleen tietoa henkilötietojen käsittelystä sekä kouluttaa ja perehdyttää henkilökuntaa siten, että hyvät tietosuojakäytännöt ovat oletusarvoisesti mukana kaikissa Centrian toiminnoissa ja tulevissa kehityshankkeissa. Kehityshankkeen aikana korjataan mahdollisia puutteita, täsmennetään vastuita ja päivitetään menetelmiä, joilla Centria pystyy osoittamaan, että tietosuoja-asetusta noudatetaan. Centria jatkaa henkilötietojen käsittelyssään suunnitelmallisuutta ja kerää vain niitä henkilötietoja, joita toiminta edellyttää, jotta rekisteröidyn oikeudet toteutuvat jatkossakin. Vastuullinen ja laadukas henkilötietojen käsittely on osa toiminnan laatua ja lisää opiskelijoiden ja sidosryhmien luottamusta Centrian toimintaan.

Anita Rättyä
Projekti-insinööri, tietoturva-asiantuntija
puh. +358 40 729 9936

Facebooktwittergoogle_pluslinkedinmail