Esimerkiksi raportin keskeisiin löydöksiin kuuluu huomio, että maiden tietosuojaviranomaisten pitäisi tukea pk-yrityksiä enemmän niiden pyrkimyksissä noudattaa tietosuoja-asetusta. Suomessa tietosuojavaltuutetun ja hänen toimistonsa pitäisi siis tarjota enemmän tukea pk-yrityksille. Voit lukea koko raportin tästä!
Yrityksissä tehdään bisnestä – lainsäädäntöä sekä siihen liittyvää ohjeistusta noudatetaan, koska se on edellytys bisneksen tekemiselle tässä yhteiskunnassa.
GDPR:ää koskevan ohjeistuksen tulisi olla helposti ymmärrettävää
Euroopan tietosuojaviranomaisten yhteistyöelin on julkaissut aiheesta peräti 35 ohjeistusta. Raportin mukaan nämä ohjeistukset ovat olleet hyödyllisiä, mutta sidosryhmien mielestä liian teoreettisia. Ohjeet ovat liian pitkiä eivätkä ota riittävästi huomioon GDPR keskeistä periaatetta, eli riskiperustaista tarkastelua.
Tämä kuulostaa aivan minun ajatuksiltani. Noin 40-sivuiset juridiset selostukset, joissa on monimutkaisia kiertelyjä, eivät tue yritysten ja organisaatioiden tietosuojatyötä. Ne eivät lisää ymmärrystä vaan aiheuttavat ahdistusta ja herättävät kysymyksiä. Mitä siis oikeasti pitää tehdä ja mitä ei?
Kaiken GDPR-ohjeistuksen tulee olla ymmärrettävää ilman lainopillista koulutusta
Raportissa huomautetaan, että ohjeistusten pitäisi olla ymmärrettäviä ilman lainopillista koulutusta, erityisesti kun ne on tarkoitettu pk-yrityksissä ja vapaaehtoisorganisaatioissa työskenteleville.
Lisäksi ehdotetaan, että tietosuojaviranomaisten kannattaisi tuottaa pk-yrityksille käytännöllisiä työkaluja DPIA-työskentelyyn, tukipalveluita, tarkistuslistoja sekä selkeitä ohjeistuksia käytännön toimiin, kuten laskutukseen ja uutiskirjeiden lähettämiseen.
Ja vielä: näiden ohjeistusten pitäisi olla ymmärrettäviä aivan tavallisella arkijärjellä ilman juristin koulutusta. Siinäpä haastetta meille kaikille.
Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle kolmasosassa organisaatioista harjoitellaan poikkeustilanteita.
Suomalainen yritys GDPR Tech Oy on yhdessä Garagelabs Oy:n kanssa toteuttanut vuodesta 2021 lähtien kyselytutkimuksen, joka keskittyy tietosuojan nykytilaan. Tutkimuksessa selvitetään, miten EU:n yleinen tietosuoja-asetus (EU GDPR), tietosuojalaki (TSA) tai vastaavat säännökset ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.
Tutkimustulokset tarjoavat ainutlaatuista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tämä data mahdollistaa tietosuojan nykytilan ja sen vastaanoton analysoinnin Suomessa. Kysely on ollut samanlainen vuodesta 2021 lähtien, jotta voimme seurata aiheen kehitystä ja muutoksia ajan myötä.
Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!
Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2023
Vastaajista enemmistö kokee, että GDPR sekä kansallinen tietosuojalaki, on parantanut vastaajan luottamusta hänen tietojensa käsittelyyn. Määrä on noussut vuoden 2021 71,4 prosentista vuoden 2023 78,0 % – merkittävä kasvu luottamuksen osalta.
Vain 60 % vastaajista kuitenkin kokee, että tietosuojasta huolehditaan riittävästi organisaatiossa
Erityisesti julkishallintoa, mutta myös muita sidosryhmiä, koskee tiedonhallintalaki, joka koski yli 43 prosenttia vastaajista vuonna 2023.
Pääosa vastaajista (yli 80 %) tietää, kuka on heidän organisaationsa tietosuojavastaava.
Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty, mutta silti vain noin kolmasosassa organisaatioista (vuonna 2023 31,4 %) toteuttaa niitä.
Luottamus tietojenkäsittelyyn ja hyötyjen havaitseminen ovat edelleen kasvussa
Vuonna 2023 lähes 80 prosenttia vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Tämä on kasvua vuoden 2021 71,4 prosentista vuoden 2023 78 prosenttiin.
Vastaajista yli 68 prosenttia kokee GDPR:n hyödyttävän organisaatiota. Tämä on jatkoa vuoden 2021 trendille, jossa alun perin ”GDPR kieltää kaiken” -asenteesta on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä näkyy selvästi myös vastaajien asenteissa, vaikka osa kokee edelleen GDPR:n haittana.
Kyselyyn vastaaja
Ymmärryksen puuttumisen seurauksena tehdään lukuisia turhia tietojenkäsittelysopimuksia, dokumentteja ja selvityksiä. Hyötynä näen kasvavan huomion tietosuoja-asioihin vaikkakin toimenpiteet ovat vielä pääosin tehty muodollisuuksien täyttämiseksi todellisen tietosuojan parantamisen sijasta.
Kyselyyn vastaaja
Kustannuksia syntyy ja toteutetaan tietojumppaa, digiloikkaa ja kartoituskävelyitä, mutta työ ei muutu, koska se ei voi muuttua.
Kyselyyn vastaaja
Datan käsittely on nykyään paljon järjestelmällisempää, joka on helpottanut mm. tiedon löytämistä. Haittana on dokumentointi ja tuon tiedon ylläpitäminen. Uhkana koen edelleen sen, että ihmiset eivät noudata näitä säädöksiä ja siten tulee tietovuotoja. Mahdollisuutena koen, että tiedosta yleisesti tulee paremmin järjesteltävää ja hallittavaa
Previous slide
Next slide
Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset
Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset
Joka viides katsoo, että GDPR:n toteutus on pelkästään IT-osaston vastuulla
Vuoden 2021 kyselyn perusteella eri yksiköt, kuten IT, talous, HR ja lakiyksiköt, vastasivat tietosuojatyöstä. Lakiyksikön osuus tietosuojatyöhön liittyvistä asioista oli jopa kolmasosa vastaajien mukaan. Vuosien 2022 ja 2023 kyselyissä lakiyksikön osuus putosi alle 28 prosenttiin.
Vuoden 2023 kyselyssä noin viidennes vastaajista oli sitä mieltä, että GDPR oli jäänyt pelkästään IT:n vastuulle. Huolta herättää erityisesti riskienhallinta ja Vuonna 2023 havaittiinkin laskeva suuntaus, ettei riskejä ollut kartoitettu riittävästi. On myös tärkeää muistaa, että vaikka käytännön tietosuojatyötä, erityisesti teknisten suojausten osalta, tehdään pääasiassa IT:ssä, organisaation riskienhallinta ei yleisesti ottaen kuulu IT:n vastuualueisiin.
Kuva 3: Onko GDPR jäänyt vain IT:n vastuulle?
Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?
Huolta herättävää on myös vastaus kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi”, jossa neljäsosa vastaajista (25,5 %) vastasi kieltävästi.
”Olemme vuosien ajan tehneet organisaatioiden kanssa tietosuojan tilannekuvakartoituksia, ja tässä on nähtävissä henkilöstön tietoisuuden kasvaminen. Ihmiset ovat nyt kriittisempiä organisaation toimintatapojen suhteen ja he tuovat avoimemmin esiin havaintojaan. Erityisesti keskisuurissa yrityksissä riskienhallinta ei välttämättä kata tietosuojan riskejä osana jatkuvaa riskienhallintaa, vaan tietosuoja saattaa toimia omassa erillään olevassa prosessissaan.”
Juha Sallinen, Toimitusjohtaja GDPR Tech
Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?
Kyselyyn vastaaja
Tietoisuus tietosuojaan liittyvistä kysymyksistä on oleellisesti parantunut, prosesseja on kehitetty jne.
Kyselyyn vastaaja
Riski on vanhat järjestelmät, osittain ulkopuoliset järjestelmien käyttäjät, ihmiset eivät ymmärrä myöskään tietosuojalain tarkoitusta tai miten se vaikuttaa heidän työhönsä.
Previous slide
Next slide
Vähintään joka neljättä työntekijää ei perehdytetä tietosuojaan
Vastaajista hieman yli 60 prosenttia ilmoittaa, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Huolestuttavaa on kuitenkin, että vuoden 2021 hyvistä tuloksista, jolloin lähes 90 prosenttia henkilöstöstä oli koulutettu GDPR:ään liittyen, luku on laskenut 75 prosenttiin vuonna 2023. Samalla neljäsosa vastaajista ei kouluta uusia työntekijöitä tietosuojan osalta osana perehdytystä.
Osa vastaajista mainitsi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja lisäksi säännöllinen koulutus puuttuu. GDPR Techin toimitusjohtaja Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Olemme usein havainneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta sen jälkeen ei ole tapahtunut mitään. On myös yleistä, että GDPR- ja tietosuojakoulutuksia on saatavilla, mutta niiden suoritusta ei seurata.”
Kyselyyn vastaaja
Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
Kyselyyn vastaaja
GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
Previous slide
Next slide
Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?
Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?
Suomalaiset organisaatiot ovat tietoisia GDPR seuraamuksista ja sanktioista
Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 100 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava luku oli noin 93 prosenttia, ja oletamme, että tietoisuuden lisääntymiseen ovat vaikuttaneet myös mediassa aika ajoin esillä olleet tietosuojarikkomuksia koskevat uutiset.
Osa heistä koki, että organisaatiot ottavat GDPR-asian nyt vakavammin, kun taas osa vastaajista koki, että asian kanssa edelleen ollaan tietämättömiä. Yksi kyselyyn vastaaja muun muassa kommentoi: ”Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.”
Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta.
Luottamus omien tietojen suojaamiseen organisaatiotasolla on yleisesti heikko
Vastaajien osalta huolestuttavaa on luottamus organisaatioiden kykyyn suojata tietoja. Kun kysyttiin, oliko vastaajat huolissaan omien tietojensa käsittelystä, vain hieman yli 50 prosenttia ilmoitti, ettei ole huolissaan. Yli 40 prosenttia vastaajista vuosina 2021–2023 kuitenkin kertoi olevansa huolissaan omien tietojensa käsittelystä. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta voimme parantaa luottamusta tietojemme käsittelyyn.
Kuva 9: Oletko huolissasi omista tiedoistasi?
Verkkosivujen evästeet ja kävijäseuranta ei ole kaikille selvä asia
Kysymys, jossa ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta” haettiin vastaajien tietoisuutta verkkosivujen seurantatekniikoista. Vastaukset antavat huolestuttavaa tietoa. Huolimatta evästeiden ja seurantahyväksyntöjen myöntämisestä, vastaajat ovat vähemmän tietoisia siitä, mitä verkkosivuilla tapahtuu ja siten myös vähemmän tietoisia siitä, miten heidän tietojaan käytetään.
Tämä saattaa aiheuttaa hämmennystä, sillä Suomessa esimerkiksi verkkosivujen käyttäjien seuranta kuuluu Traficomin valvontaan ja ohjeistukseen eikä Tietosuojavaltuutetulle. Monilta on mahdollisesti jäänyt huomaamatta Traficomin vuonna 2021 antamat ohjeistukset sekä Suomessa näyttää siltä, että evästeiden käsittelystä ei ole tulossa sanktioita.
Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?
Kyselyyn vastaaja
Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
Kyselyyn vastaaja
GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
Previous slide
Next slide
Tietosuojatyössä riittää edelleen kehitettävää
Kolmen vuoden aikana saadut vastaukset viittaavat siihen, että monissa organisaatioissa on toteutettu GDPR-toimia projektina, mutta nämä toimet ovat jääneet siirtämättä osaksi arkipäivän toimintaa. Vaikka GDPR on edelleen suhteellisen uusi asetus, käyttäjien tietoisuus siitä kasvaa jatkuvasti. Keskusteluissa ja mediassa käsitellään usein tietosuojalainsäädäntöä ja sen tiedottamista laajemmin.
Suomessa tiedotusvälineisiin päätyneiden tietomurtojen ja niistä seuranneiden seuraamusten määrä on ollut verrattain pieni muihin Euroopan maihin verrattuna. Silti yhä useampi kuluttaja on kuitenkin huolissaan omista tiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.
”Ensimmäistä kertaa vastaajien kommenteissa nousee esiin myös tekoäly ja tiedonkäyttö – tämä oli hyvin mielenkiintoista. Vastaajien erilaiset näkemykset muistuttavat meitä projekteissa ja koulutuksissa näkemistämme haasteista. Olemme huomanneet väärinkäsityksiä aiheen suhteen, minkä vuoksi osa edelleen kokee GDPR:n ”kieltävän kaiken”.
Organisaatioissa, joissa toimintamallit on selvästi määritelty ja tietosuojatyö on osa päivittäistä toimintaa, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta ja selkeyttä. Prosessien tehostuminen ja toiminnan selkeytyminen on havaittu myös vastaajien keskuudessa. Luottamuksen merkitystä korostetaankin useissa vastauksissa – avoimuudella ja vastuullisella toiminnalla voidaan parantaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.
Lisätietoja:
Juha Sallinen Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti GDPR Tech
Tietosuojaan liittyvä kyselytutkimus on toteutettu vuodesta 2021 lähtien. Vastauksia kyselyyn on pyydetty sähköpostin sekä sosiaalisen median välityksellä.
Vuonna 2023 kyselyyn vastasi 51 henkilöä.
Vuonna 2022 kyselyyn vastasi 102 henkilöä.
Vuonna 2021 kyselyyn vastasi 56 henkilöä.
Vastausaikaa on annettu noin 2kk ja vastaajien osalta ei suoritettu profilointia. Vastaajien profiili sekä organisaatioiden koko on säilynyt erittäin samankaltaisena ja siten tulokset ovat käytettävissä nyt jo kolmelta vuodelta. Näistä vastauksista saamme jo alkavaa suuntausta moneen kohtaan, kuten ”koulutetaanko henkilöstöä säännöllisesti” tai ”onko GDPR:stä hyötyä”.
Tuloksia käsitellään raportissa tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä 3kk kuluessa. Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset ovat raportissa listattuna, niistä kyselyn koosteessa on joitakin nostoja.
On oletettavaa, että kyselytutkimukseen vastaavien joukko edustaa henkilöitä, joita asia kiinnostaa ainakin jossain määrin. Toisaalta omasanaisista vastauksista voidaan päätellä osan suhtautuvan varsin kriittisesti tietosuojalain vaatimuksiin.
Vastaajien taustat
Vastaajien osalta organisaatioiden kokoluokan jakauma oli vastausvuosina hyvin samankaltainen. Huomattavaa on, että melkein 60 % vastaajista työskentelee organisaatiossa, joissa on yli 50 työntekijää ja vähän reilu 25 % vastaajista organisaatiossa, joissa on yli 1 000 työntekijää. GDPR asiat kiinnostavat niin pieniä kuin suuria organisaatioita. Katso kuva 1.
Kuva 1: Organisaation henkilöstömäärä
Samoin jakauma organisaation toimialan osalta oli vastausvuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.
Kuva 2: Yrityksen/organisaation toimiala
Vastaajien asema oli hyvin samantyyppinen jakauman osalta näinä vuosina, ja vastaajat edustavat sekä päättäjiä että työtekijöitä. Katso kuva 3.
Kuva 3: Vastaajien asema
Toimintaympäristön osalta vastaajissa oli edustettuna Suomessa toimivia, lisäksi kansainvälisesti toimivia että myös kansainvälisiä, joiden päätoimipaikka on ulkomailla. Katso kuva 4.
Tekoäly, tunnetaan myös nimellä AI tai tukiäly, on ollut olennainen osa monien arkipäiväistä elämää vuosien ajan, mutta ei kovin näkyvänä osana. Erilaiset tekoälyn sovellukset, kuten OCR (optical character recognition, joka muuntaa kuvat tekstiksi, ovat olleet käytössä jo pitkään. Kuitenkin varsinaisen tekoälybuumin aloitti helposti ohjattava ChatGPT (Generative Pre-trained Transformer), joka toimii kehotteiden avulla. Sen yksinkertaistettu perusidea perustuu laajaan kielimalliin (Large Language Model, LLM), joka kerää valtavan määrän tekstiaineistoa ja oppii sen perusteella tunnistamaan tekstissä esiintyviä riippuvuuksia. Kun käyttäjä antaa kehotteen, esimerkiksi ”Voisitko tiivistää Suomen vuodenajat?”, kielimalli hakee tekstistä avainsanoja ja ymmärtää aiheen. Sisällön ymmärtäminen on yksi osa vastauksen tuottamista ja perustuu ennustukseen siitä, mitkä sanat ovat todennäköisimpiä seuraaviin sanoihin tai lauseisiin liittyen. Esimerkiksi alussa mainittu OCR, kuvasta tekstiksi tunnistaminen, toimii paljon rajatummalla toiminta-alueella ja on toiminnekohtainen sovellus.
Tekoälyn käytön turvallisuus ja tietoturvahaasteet
Julkisesti saatavilla olevat tekoälyt, kuten Google Bard, OpenAI:n ChatGPT ja monet muut, oppivat jatkuvasti käyttäjiensä syötteiden perusteella. Tämä tarkoittaa, että jos syötät tällaisiin palveluihin esimerkiksi taloudellisia tietojasi, on mahdollista, että ne tallentuvat järjestelmään ja voivat olla saatavilla muillekin. Tällaisia tietoturvahaasteita on esiintynyt useita kertoja, kuten Samsungin insinöörien tapaus, kun he pyysivät ChatGPT:tä analysoimaan ohjelmiston lähdekoodia. OpenAI, ChatGPT:n kehittäjäorganisaatio, muistuttaa käyttäjiä siitä, että arkaluonteista tai luottamuksellista tietoa ei tule jakaa ChatGPT:n kanssa. Käytön helppous ja esimerkiksi ChatGPT:n mahdollisuudet ohittivat Samsunginkin tapauksessa ohjeistukset ja tietoturvallisen käytön.
Tekoälyn avulla kuitenkin voidaan tehostaa rutiininomaisia töitä, suorittaa erilaisia testauksia ja saada tukea esimerkiksi ohjelmistokehitykseen. Kuitenkin lopputuloksen taso voi vaihdella suuresti eri sovelluksissa. Kuvien tuottamisessa on edelleen haasteita, esimerkiksi henkilön kädessä voi olla kuusi sormea ja kuvassa pyydetty teksti ”Yritys XYZ” saattaa näkyä epätarkkana tai virheellisenä.
Erityinen haaste LLM-kielimallien kohdalla liittyy siihen, millaisella aineistolla malli on koulutettu. Jos koulutusaineisto koostuu julkisesti saatavilla olevasta Internet-tietomassasta, se sisältää väistämättä myös virheellistä tai epätarkkaa tietoa. Tämä herättää pohdintaa siitä, mitä tapahtuisi, jos malli olisi koulutettu tai käyttäisi ainoastaan organisaation sisäistä tietoa?
Sisäiseen käyttöön tarkoitetut tekoälyratkaisut
Onko mahdollista rajoittaa kielimalli ja liittyvää tietoaineistoa vain sisäiseen käyttöön ja hyödyntää ainoastaan organisaation sisäisiä tietoresursseja? Tällaiset ratkaisut kehittyvät nopeasti ja esimerkiksi Microsoftin vastaus tähän haasteeseen on Copilot. Lisensoitu käyttäjä voi hyödyntää organisaation omaa dataa Copilotin avulla, mahdollistaen tehokkaat haut tiedoista ja datan uudelleenmuokkaamisen omiin tarpeisiinsa.
Kuva: Copilot 365 Fabrikam (lähde: How Copilot for Microsoft 365 works video, YouTube)
Sisäiseen tietoon liittyvät riskit: käyttöoikeudet, sisältö ja ajantasaisuus
Mitä tapahtuu, jos organisaation tiedonhallinta ei olekaan kunnossa? Voiko käyttäjä esimerkiksi päästä käsiksi tietoon, johon hänellä ei pitäisi olla pääsyä, jos pääsynhallintaa ei ole asianmukaisesti varmistettu? Vastaus on usein kyllä ja se on tarkoituksellista tässä tapauksessa, sillä tietoa on tarkoitus hyödyntää. Ongelmana on kuitenkin usein se, että käyttöoikeuksia ei ole varmistettu asianmukaisesti ja Microsoft 365:sta löytyy tarpeettomia pääsyjä tai käyttäjiä, jotka voivat kuulua jopa satoihin eri ryhmiin, mikä saattaa johtaa tahattomiin tietoturvariskeihin.
Entä jos tietoa on tallennettu väärään paikkaan? Esimerkiksi työtodistukset ovat päätyneet liikunnanohjaajien sivustolle HR-ohjelmiston sijaan. Hyvinvointialueet ovat eriytyneet ja dataa on jäänyt taakse, mukaan lukien potilaslistoja. Tai organisaation esittelyaineistossa on satoja henkilötunnuksia teknisen tiedonlinkityksen vuoksi. Myyntimateriaalin kansiosta löytyy myyjän avioliittoon liittyviä asiakirjoja, kuten avioehto ja testamentti. Valitettavasti nämä ovat vain muutamia esimerkkejä siitä, mitä löydämme organisaatioiden tietoaineistoista. Puhumattakaan tuhansista tai kymmenistä tuhansista dokumenteista sisältäen henkilötunnuksia.
Ja entäpä jos aineisto on erittäin vanhaa? Onko meillä edes käsittelyperustetta tällaiselle tiedolle? Monissa organisaatioissa on ohjeita siitä, kuinka vanhaa tietoa saa säilyttää. Ongelmana on kuitenkin se, että näitä ohjeita ei usein valvota tai hallita asianmukaisesti. Niinpä esimerkiksi palkkalaskelmia voi olla tallennettuna vuodesta 1991 lähtien ja ne ovat yhä saatavilla. Tai yhteystietolista voi olla peräisin yli 30 vuoden takaa.
Organisaation tiedonhallinnan tehostaminen: toimenpiteet, vinkit
Varmista, että organisaatiossasi olevat tiedot ovat ajan tasalla ja asianmukaisesti suojattuja. Ota myös huomioon, että tiedon tallennusaikataulu vastaa suunniteltua. Tässä tiivistettynä toimenpiteet, joita sinun kannattaa seurata:
Ymmärrä tiedostojen nykyiset käyttöoikeudet.
Varmista käyttäjäryhmät ja niiden pääsyoikeudet.
Tarkista erityisesti henkilökohtaisten tietojen tallennus ja aloita tiedonhallintatoimet, mukaan lukien tarpeettoman tiedon poistaminen tai arkistointi.
Käy läpi mahdolliset tekijänoikeuslain vastaiset videot tai muut mediat ja poista ne.
Raportoi mahdolliset vakavat poikkeamat organisaation tietosuojavastaavalle tai tarvittaessa kansalliselle Tietosuojavaltuutetun toimistolle.
Korjaa havaitut poikkeamat ja varmista niiden korjaaminen.
Laadi tiekartta, joka perustuu organisaatiosi nykytilanteeseen ja suunnittele tiedonhallinnan toimenpiteet seuraaville vuosille.
Poista tarpeeton tietoaineisto.
Ota toimet osaksi normaaleja prosesseja ja jatka niiden hallintaa
Pidä organisaation yksiköt, johto ja tietosuojavastaava tietoisina prosessimuutoksista.
Copilot for Microsoft 365 – toimenpiteet ennen käyttöönottoa työpaja
Lisäksi voit helpottaa toimia tilaamalla GDPR Techin ”Copilot ja AI Microsoft 365 ympäristössä – kartoitus ja toimenpiteet ennen käyttöönottoa” -työpajan.
GDPR Tech haluaa tukea suomalaisissa nuoria urheilijoita ja tällä kertaa sponsoroinnin kohteeksi valittiin kaksi lupaavaa suomalaista laskettelijaa, Max ja Saana. Nuorten sponsorointi ja tukeminen mahdollistaa nuorten urheilijoiden unelmat laskettelun parissa. GDPR Techin toimitusjohtaja Juha, joka itsekin on intohimoinen mäenlaskija, kertoo, että nuorten tukeminen on heille sydämen asia. Tässä haastattelussa Max ja Saana kertovat heidän matkastaan ja tavoitteistaan laskettelun parissa.
Kuvassa: Saana Heikkinen
Miten päädyitte laskettelun pariin ja miten intohimonne lajiin alkoi?
Max: ”Aloin jo nuorena laskemaan – äiti ja isä ovat tuoneet minut mukanaan rinteisiin, koska koko perhe harrastaa laskettelua. Jäin sille tielle ja laskettelu on nyt pysyvä osa elämääni.
Saana: ”Äitini on lasketellut vapaa-ajallaan koko elämänsä ja minut vietiin ensimmäistä kertaa rinteeseen jo 1-vuotiaana. Äitini kaverin lapset harrastavat myös, joten se oli tuttu juttu meille. Nykyään treenaan Rukan Alppikoulun kanssa Kuusamossa.”
Millaisia ovat olleet tähänastiset suurimmat saavutuksenne laskettelussa?
Max: ”Joka kerta, kun pääsen mäkeen, on ilon hetki. Isoja saavutuksia laskettelun parissa on esimerkiksi Freestylehiihdon half pipen SM-kultamitali ja viime vuonna sain pronssia sekä slopestylesta että big airista.”
Saana: ”Minulle toi voimaa ja onnistumisen tunteen, kun vuonna 2021 Levillä SM-kisoissa ensimmäinen laskuni epäonnistui, mutta toisella yrityksellä olin neljänneksi nopein. Valitettavasti vuonna 2022 koin loukkaantumisen, mutta nyt olen päässyt kokemaan onnistumisen tunteita ja joka viikko treeneissä. Voimatasot ovat nousseet ja laskeminen sujuu jo nopeammin.”
Miten olette valmistautuneet ja harjoitelleet tullaksenne paremmiksi laskettelijoiksi?
Max: ”Ohjattua treeniä minulla on kahdesti viikossa, mutta laskettelen lähes joka päivä. Osallistun Moebius Freestylen-ohjattuihin treeneihin, joissa saan vinkkejä ja neuvoja siitä, mitä ja miten kannattaa harjoitella. Talvisin osallistun myös Ruka Freeski Academy -yläkoululeireille, jotka tarjoavat valmennusta paremmissa rinteissä. Kilpailuihin valmistautuessa en tee treenejä eri tavalla, vaan keskityn oppimaan uusia asioita ja varmistamaan, että osaan vanhat temput todella hyvin.”
Saana: ”Fysioterapeutti laatii minulle viikko-ohjelman, joka vaihtelee paljon. Kilpailukauden ulkopuolella keskityn voimaharjoitteluun ja nopeuden parantamiseen. Treenaan 5–6 kertaa viikossa ja 1–2 kertaa päivässä. Teen siis yhteensä 6–10 treeniä viikossa, joista 4–5 on rinteessä. Onnistumiset ovat minulle suuri motivaatio ja rakastan sitä, mitä teen – siksi jaksan treenata.”
Minkälaiset ovat tavoitteenne ja unelmanne laskettelun suhteen tulevaisuudessa?
Max: ”Tällä kaudella tavoitteenani on osallistua erilaisiin kisoihin muun muassa Ruotsissa. Toivon myös pääseväni eurooppalaisiin kisoihin ensi kaudella.”
Saana: ”Tällä kaudella tavoitteenani on suoritusvarmuus kisoissa, näyttää omaa hyvää tekemistäni ja kasvattaa luottoa omaan suoritukseeni. Unelmani tulevaisuudessa on päästä maajoukkueeseen ja mennä vieläkin pidemmälle.”
Mitä neuvoja antaisitte nuorille, jotka unelmoivat laskettelun ammattilaisuudesta?
Max: ”Tärkeintä on, että laskettelee ja nauttii siitä. Ei tarvitse koko ajan yrittää oppia uusia temppuja, vaan vanhoja temppuja kannattaa harjoitella hyvin. Vaikka ei asuisi lähellä suuria laskettelukeskuksia, kannattaa silti käydä rinteillä. Laskeminen kavereiden kanssa ja toistenne tukeminen voi auttaa saavuttamaan parempia tuloksia.”
Saana: ”Sinun on uskottava omaan tekemiseesi. Elämässä ja urheilussa tulee vastoinkäymisiä, mutta niistä selviää, kun oma pää on kunnossa ja sinulla on oikeat ihmiset ympärilläsi. Pikkuhiljaa kaikki palaset loksahtelevat paikoilleen, ja oma tekeminen kehittyy. Usko itseesi.”
Miten tuki GDPR Techiltä on vaikuttanut uraanne ja elämäänne yleisesti?
Max: ”Sponsorointi on ollut iso apu, sillä laskettelu on kallis laji ja varusteisiin kuluu paljon rahaa. Nyt GDPR Techin tuen ansiosta minulla jää enemmän mahdollisuuksia esimerkiksi ulkomaan kilpailuihin.”
Saana: ”Sponsorointi ja siten myös GDPR Techin tuki tekee koko lajin mahdolliseksi. Ilman sponsoreja ja tukea ei olisi mahdollista harrastaa ja tehdä sitä, mitä rakastaa.”
Kuvassa: Max Sallinen
Lisäksi, kun kysyimme Maxilta ja Saanalta tietosuoja-asioista, he kertoivat asian olevan, jota kuinkin tuttu heille. Molemmat painottivat muun muassa turvallisesta verkossa toimimisesta ja Saana kertoi salasanojen sekä kaksivaiheisen tunnistuksen tärkeydestä.
GDPR Tech on ylpeä voidessaan tukea Maxin ja Saanan unelmia laskettelun parissa. He ovat loistavia esimerkkejä nuorista, jotka ovat omistautuneet intohimoisesti lajiinsa ja joilla on kirkkaat tavoitteet tulevaisuudessa. Toivotamme Maxille ja Saanalle tsemppiä ahkeraan harjoitteluun sekä hyvää menestystä kisakauteen!
Laita kumpikin urheilija Instagramissa seurantaan:
Kerroimme heinäkuussa kuinka, Euroopan komissio antoi 10.7.2023 riittävyyspäätöksen Euroopan Unionin (EU) ja Yhdysvaltojen väliselle tietosuojakehykselle. Euroopan komission tekemä riittävyyspäätös Data Privacy Framework (DPF) sallii nyt henkilötietojen siirron EU:sta Yhdysvaltoihin niiden toimijoiden välillä, jotka ovat DPF:n piirissä.
Mutta mitä ”siirto” todella tarkoittaa? Voimmeko nyt luotettavasti käyttää yhdysvaltalaisia palveluntarjoajia? Ja kuinka tunnistaa, kuuluuko jokin toimija DPF-sopimuksen piiriin? Tässä artikkelissa käymme läpi nämä kysymykset ja tarjoamme selkeitä vastauksia.
Termit tutuiksi – mitä tarkoittavat henkilötiedot ja henkilötietojen käsittely?
Ennen tarkempaa syventymistä itse aiheeseen ja henkilötietojen siirtoon, on hyvä täsmentää, mitä henkilötiedot ja henkilötietojen käsittely tarkoittavat. Suomen tietosuojavaltuutetun toimisto ohjeistaa lyhyesti: ”Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero ja sijaintitiedot. Lisäksi suuri joukko muuta tietoa voidaan lukea henkilötietojen alle, kuten asiakas-ID ja IP-osoite.”
Henkilötietojen käsittely puolestaan tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Henkilötietojen siirtoa ja siirtoon liittyviä termejä sekä prosesseja avataan ja käsitellään myöhemmin tässä artikkelissa.
Tietosuojalainsäädäntö koskee sinua ja organisaatiotasi
Tietosuojalainsäädäntö ja tietosuojalaki koskee käytännössä kaikkia organisaatiota, joilla on jäseniä, asiakkaita tai työntekijöitä, koska tällöin organisaatio käsittelee henkilötietoja tai henkilöön liittyviä asioita. On yksin organisaation vastuulla huolehtia niin omalta kuin yhteistyökumppaneiden osalta henkilötietojen lainmukaisesta käsittelystä. Yhteistyökumppaneiden, toimittajien ja alihankkijoiden kohdalla kannattaa varmistaa sopimuksilla, että myös kumppanit toimivat lainmukaisesti.
Suomessa on kuitenkin edelleen hyvin yleistä, että organisaatiot eivät tunnista EU:n yleisen tietosuoja-asetuksen koskevan myös heitä. Suomen Yrittäjät teetti helmikuussa 2022 tutkimuksen, jonka yhtenä aiheena käsiteltiin henkilötietoja. Tutkimuksessa kysyttiin muun muassa ”Käsitteleekö yrityksesi henkilötietoja?” ja huimat 40 % 1 049 vastaajasta vastasi, ettei käsittele tai ei ainakaan tiedä käsittelevänsä niitä.
Kuva 1. Suomen Yrittäjät tutkimuksen kysymyksen ”Käsitteleekö yrityksesi henkilötietoja?” vastaus.
Digitaalinen kehitys on muokannut tietosuojavaatimuksia erilaisiksi eri maissa
Viimeisen 30 vuoden aikana digitaalinen maailma on kokenut huimaa muutosta, mikä on vaikuttanut myös tietosuojalainsäädäntöön eri maissa. Vuonna 1995 Eurooppa otti käyttöön ensimmäisen tietosuojadirektiivin, kun digitaalinen maailma oli vasta heräämässä: Internet oli tuore ilmiö ja käytössä oli ohjelmistoja kuten Windows 95.
Tämä direktiivi tarjosi jäsenvaltioilleen mahdollisuuden soveltaa tietosuojaa eri tavoin kansallisella tasolla. Suomessa tästä seurasi Henkilötietolaki (523/1999), kun taas esimerkiksi Englannissa tulkinta oli tiukempi ja mahdollisti jopa 500 000 punnan sakot. Vaikka Pohjoismaissa, kuten Suomessa, henkilötietolain tausta-ajatus olikin kunnianhimoinen, sakkoja ja sanktioita ei käytännössä jaettu.
Vuoden 1995 jälkeen tietosuojan maisema on muuttunut moninaiseksi. Kanada on esimerkiksi ollut edelläkävijä henkilötietojen suojassa Pohjois-Amerikassa, ja maa on ottanut useita askelia varmistaakseen kansalaistensa tietosuojaoikeudet. Euroopassa puolestaan astui vuonna 2016 voimaan EU:n yleinen tietosuoja-asetus (GDPR), jota alettiin soveltaa kahden vuoden siirtymäajan jälkeen. Tämä asetus yhdenmukaisti tietosuojalainsäädäntöä EU:n sisällä merkittävästi. Kuten aiemmassa direktiivissä, henkilötietojen siirto Euroopan Unionin ja Euroopan talousalueen ulkopuolelle sallitaan vain, jos EU:n komissio on myöntänyt kyseiselle maalle niin sanotun vastaavuuspäätöksen.
Euroopan ja Yhdysvaltojen välinen tietosuoja taival tähän päivään
Ensimmäinen ja alkuperäinen Euroopan ja Yhdysvaltojen välinen tietosuojasopimus Safe Harbor kumottiin vuonna 2015. Sen tilalle astui vuotta myöhemmin Data Privacy Shield, joka asetti organisaatioille tietyt vaatimukset tietosuojasta. Vaikka organisaatioiden oli määrä noudattaa näitä vaatimuksia, todellisuus ei aina vastannut näitä säännöksiä. Vuonna 2020 Privacy Shield -sopimus kumottiin, sillä oli huolta siitä, että Yhdysvaltojen viranomaiset voivat saada liian vapaasti pääsyn eurooppalaisten henkilötietoihin.
Uutta sopimusta odotettiin vuodesta 2020 asti ja nyt heinäkuussa 2023 uusi EU-US Data Privacy Framework otettiin käyttöön, määritellen säännöt tietojen siirrolle. Sopimuksen piiriin kuuluvien toimijoiden, jotka ovat DPF:n hyväksyntälistalla, katsotaan tarjoavan riittävän tietosuojan. Kuitenkin uhkakuvana on mahdollisuus, että DPF voidaan kumota, mikäli Yhdysvaltojen presidentti vaihtuu tai jos NOYB, Max Schremsin johtama Euroopan digitaalisten oikeuksien keskus, haastaa sen. Molemmat skenaariot palauttaisivat tilanteen kolmen vuoden takaiseen.
NOYB kommentoi vuonna 2023: ”Uusi ’Trans-Atlantic Data Privacy Framework’ on käytännössä kopio vuoden 2016 Privacy Shield -sopimuksesta, joka puolestaan perustui vuoden 2000 ’Safe Harbor’ -sopimukseen. Koska nämä aiemmat lähestymistavat ovat jo kahdesti epäonnistuneet, uuden sopimuksen juridista pohjaa voidaan pitää kyseenalaisena. Sopimuksen olemassaolo perustui lähinnä poliittiseen logiikkaan.”
Milloin ja miten siirrän tietoja ulkomaille?
Tietojen siirtäminen ulkomaille saattaa tapahtua huomaamattasi. Tietosuojavaltuutetun määritelmän mukaan ”siirron käsite” voi olla monitahoinen ja aiheuttaa väärinkäsityksiä. Käytännössä, kun käytät yhdysvaltalaista pilvipalvelua, saatat jo siirtää henkilötietoja Yhdysvaltoihin. Mielenkiintoinen yksityiskohta on, että pelkkä etäyhteyden mahdollisuus Yhdysvalloista käsin katsotaan tietojen siirroksi.
Euroopan tietosuojaneuvoston (EDPB) mukaan: ”Henkilötietojen siirtäminen Euroopan talousalueen (ETA) ulkopuolelle on usein tarpeellista kansainvälisissä liiketoimissa. Esimerkiksi pienet ja keskisuuret yritykset saattavat jakaa henkilötietoja liikekumppanien tai toimittajien kanssa, jotka sijaitsevat ETA:n ulkopuolella.” Tämän vuoksi yhteistyö suurten toimittajien, kuten Oracle, Microsoft ja Google, kanssa voi merkitä tietojen siirtoa Yhdysvaltoihin. Keskeistä on tunnistaa ja varmistaa, ettei tietojen käsittely riko tietosuojaan liittyvää lainsäädäntöä, erityisesti kun tietoihin pääsy etäyhteydellä on mahdollista Yhdysvalloista.
Arkkitehtuurin ja sopimusten merkitys henkilötietojen siirtoriskien hallinnassa
Arkkitehtuurikuvaukset ja järjestelmien sopimusarkistot, erityisesti tietojenkäsittelysopimukset (Data Processing Agreement – DPA), ovat korvaamattomia työkaluja henkilötietojen siirtojen hallinnassa. Tällaisilla kuvausmenetelmillä voidaan esimerkiksi havainnollistaa työnhakuprosessiin liittyviä järjestelmiä ja niiden yhteyksiä. Vaikka kuvaustapoja on useita, niiden avulla voidaan tehokkaasti ymmärtää toimittajien sijainnit ja niiden mahdolliset yhteydet muihin järjestelmiin. Jos esimerkiksi verkkosivusi on rakennettu suomalaisen toimittajan toimesta, mutta se toimii teknisesti Amazon AWS:n pilvipalvelussa, saattavat tiedot siirtyä Yhdysvaltoihin.
Kuva 2. Esimerkki prosessikuvauksesta
Tarkastelemalla järjestelmien arkkitehtuurikuvauksia ja niiden toimittajalistaa voidaan selvittää mahdolliset riskikohdat ja henkilötietojen siirtoon liittyvät seikat. On olemassa myös automatisoituja työkaluja, jotka auttavat hahmottamaan järjestelmien ja palveluiden rakenteita, olivatpa ne sitten omalla palvelimella tai pilvessä.
Alla oleva esimerkkikuva esittää suomalaisen yrityksen verkkosivuihin liittyviä toimittajia ja palveluita. Vaikka verkkosivujen tekninen alusta olisi yhden palveluntarjoajan hallussa, muut palvelut, kuten asiakkuudenhallintajärjestelmä Hubspot, Cookiebot sekä kolmannen osapuolen palvelut, kuten Facebook ja Google, voivat olla osa verkkosivun ekosysteemiä. Arkkitehtuurikuvaukset ja analyysit siis auttavat tunnistamaan ja varmistamaan, mihin tietoja todellisuudessa siirretään ja mitä seurauksia tällä voi olla tietosuojan näkökulmasta.
Kuva 3. Esimerkki verkkosivujen toimittajakuvauksesta
Tietojen käsittelyn tarkistuslista
Vaikka toimittajiin ja sopimuksiin on tärkeää luottaa, organisaatioilla on myös oma vastuunsa. Kun tarkastellaan olemassa olevia järjestelmiä, on tärkeä tarkistaa seuraavat kohdat:
Käsiteltävät tiedot:
Mitä tietoja käsitellään?
Liittyykö käsittelyyn riskejä yksilölle?
Käsitelläänkö erityisiä henkilötietoryhmiä eli sensitiivisiä tietoja? Tällöin tietojen käsittelyssä on oltava erityisen varovainen.
Tietojenkäsittelysopimus (DPA):
Onko toimittajan kanssa solmittu tietojenkäsittelysopimus?
Toimittajan sijainti:
Missä maassa toimittaja sijaitsee?
EU:n sisällä tietojen siirto on yleensä laillista, kunhan kohdemaan tietosuojataso on riittävä EU GDPR:n mukaisesti.
Toimittaja EU:n ulkopuolella:
Onko kohdemaalle myönnetty päätös tietosuojan riittävyydestä? Katso lista maista!
Jos riittävyyttä koskevaa päätöstä ei ole, onko käytössä muita asianmukaisia suojatoimenpiteitä? Esimerkkejä näistä:
Sitovat yrityssäännöt
Euroopan komission hyväksymät vakiosopimuslausekkeet
Sertifiointimekanismit
Erikoistapauksissa saattaa olla mahdollista käyttää poikkeuksia, kuten yksilön antamaa suostumusta.
Tämän listauksen avulla voit helposti varmistaa, että organisaatiosi tietojen käsittely noudattaa voimassa olevia tietosuojalakeja ja -säädöksiä.
Maat, jotka ovat saaneet EU:n tunnustuksen tietosuojan riittävyydestä
Euroopan komissio on tunnustanut seuraavat maat ja alueet tarjoamaan riittävää tietosuojaa GDPR:n mukaisesti syyskuussa 2023. Nämä maat ja alueet ovat saaneet hyväksynnän siitä, että ne tarjoavat riittävän tason tietosuojan Euroopan unionin standardien mukaisesti:
• Andorra • Argentiina • Kanada (kaupalliset organisaatiot) • Färsaaret • Guernsey • Israel • Mansaari • Japani • Jersey • Uusi-Seelanti • Etelä-Korea • Sveitsi • Iso-Britannia • Yhdysvallat (kaupalliset organisaatiot, jotka ovat liittyneet DPF-sopimuksen alaisuuteen) • Uruguay
Vinkit tehokkaaseen tietosuojatyöhön
• Varmista toimijan asema DPF-listalla. • Pidä silmällä toimijoiden listaa säännöllisesti, sillä sen sisältö päivittyy ja muuttuu • Jatka DPIA:n (Data Protection Impact Assesment) ja TIA:n (Transfer Impact Assessment) toteuttamista. Laadi suunnitelma ja harkitse varasuojatoimia mahdollisen DPF:n kumoamisen varalle. • Merkitse DPIA:han DPF:n voimassaolon ajankohta ja määritä itsellesi aikataulu sen tarkistamiselle. Jos toimittajasi ei uusi DPF-osallistumistaan, toimintasi voi olla ristiriidassa vaatimusten kanssa.
Esimerkki: Verkkosivullasi näkyvät videot pyörivät teknisesti Vimeo-alustan kautta. Tarkastaessasi Vimeon tilaa DPF-hyväksyntälistalta, huomaat, ettei toimija ole aktiivinen jäsen. Käytön jatkamista on siis syytä punnita tarkkaan ja voi olla järkevää harkita toisen alustan käyttöönottoa. Huomio: Jos et löydä toimittajaa aktiivisista jäsenistä, älä unohda tarkistaa myös ei-aktiivisten listaa.
Tietosuojan jatkuva merkitys organisaation toiminnoissa
Tietosuojan vaatimukset edellyttävät jatkuvaa valppautta ja säännöllisiä tarkastuksia. Olipa tietosuojavastaava sisäinen tehtävä tai ulkoistettu, hänen vastuullaan on varmistaa tietosuojan noudattaminen kaikissa organisaation osa-alueissa, erityisesti hankinnoissa ja IT-toiminnoissa. DPF-sopimuksen mahdollinen kumoaminen tulevaisuudessa korostaa sopimusten ajantasaisuuden ja vaikutustenarviointien (DPIA) merkitystä.
Tehokkain tapa vähentää riskejä on integroida tietosuojanäkökulma organisaation perusprosesseihin, kuten hankintoihin. Tämä varmistaa, että mahdolliset riskit, olivatpa ne sitten toimittajaan tai alustaan liittyviä, havaitaan ajoissa.
Artikkeli julkaistiin Sytyke-lehdessä lokakuussa 2023. Artikkelin kirjoitti Juha Sallinen.
Tietosuojatyössä on tärkeää huomioida laaja-alaiset näkökulmat, jotta organisaatiossa voidaan varmistaa kattava ja tehokas tietosuoja. GDPR Tech on aina pitänyt tämän periaatteen ohjenuoranaan ja jatkaa samalla linjalla, koska tavoitteenamme on auttaa sinua onnistumaan tietosuojatyössäsi. Usein huomaamme tilanteita, joissa tietosuojaan panostetaan syvällisesti, esimerkiksi rekisteriselosteiden laatimisessa, mutta samalla unohdetaan ymmärrettävästi tiedottaminen tietosuojaan liittyvistä asioista. Helppotajuinen ja kansankielinen viestintä on tärkeää, jotta kaikki asianosaiset ymmärtävät tietosuojan merkityksen ja konkreettiset toimenpiteet.
Hyviä esimerkkejä onnistuneesta viestinnästä tietosuojasta ovat selkeät videot ja ”usein kysytyt kysymykset” -formaatti, joita hyödynnämme asiakkaidemme kanssa. Erään asiakkaamme kanssa olemme yhdistäneet useita erilaisia tietosuojaselosteita kahdeksi ymmärrettäväksi tiedotukseksi heidän verkkosivuillaan.
Uusi hallitus, uudet tavoitteet – Mitä se tarkoittaa tietosuojalle?
Paljon on tapahtunut viimeisimmän blogikirjoituksemme jälkeen. Suomi on saanut uuden hallituksen, joka asettaa uusia tavoitteita, kuten ”tietosuojalainsäädännön kokonaisuudistuksen”. Yhtenä osana hallinnolliset sakot laajennetaan koskemaan myös julkista sektoria. Hallitusohjelmaan on sisällytetty myös painotuksia tekoälyn osalta. Oletko jo antanut ohjeistusta organisaatiollesi koskien tekoälyn käyttöä? Tekoälyyn liittyen on jo nimittäin tapahtunut tietosuojan sekä tietoturvan poikkeamia, esimerkiksi matkapuhelinvalmistajan työntekijät olivat ladanneet suosittuun ChatGPT:hen aineistoa, jota olisi pitänyt käsitellä erittäin luottamuksellisesti.
Schrems II: Mitä seuraavaksi? Keskustelu jatkuu!
Kolmas vuosi Schrems II -keskustelua on käynnissä, ja kysymys kuuluu, pitäisikö vielä tehdä lisää toimenpiteitä vai onko aihe jo ohi? Samaan tapaan kuin GDPR, tämä keskustelu ei ole vielä päätynyt tai hävinnyt. Päinvastoin henkilötietojen käsittely Yhdysvaltalaisilta palveluntarjoajilta on yhä tarkemman tarkastelun kohteena, ja organisaatioita on Suomessa ja muualla Euroopassa varoitettu ja sakotettu useista syistä.
Keskustelussa on myös noussut esiin mahdollisen ”Privacy Shield II” -sopimuksen tarve. On huomionarvoista, että Privacy Shield on edelleen käytössä Yhdysvalloissa, mutta se ei tällä hetkellä tarjoa riittävää suojaa Euroopan ja Yhdysvaltojen välillä. Mahdollinen uusi sopimus on nimeltään Data Privacy Framework (DPF), jossa määritellään tarkemmin tietojen suojaukseen liittyviä asioita. DPF perustuu presidentti Bidenin antamaan määräykseen, mutta tämä herättää huolta siitä, mitä tapahtuu, jos seuraava valittu presidentti kumoaa sopimuksen ja koko prosessi alkaa alusta. Organisaatioiden on kuitenkin huolehdittava tietojen asianmukaisesta suojaamisesta tänäkin aikana. Aiheeseen liittyen on tehty useita tutkintapyyntöjä ja mahdollisia tietojen käsittelykieltoja. Tietojen suojaamisen kannalta on tärkeää tietää, missä tiedot todellisuudessa tallennetaan. Tämän tukena on tietojen kuvauksen päivittäminen (data flow).
Aika ratkaista tietosuojan rakenteettoman tiedon riskit
Rakenteeton tieto ja siihen liittyvät haasteet ovat edelleen keskeisessä roolissa tietosuojatyössä, samoin kuin tietoturva ja suojaukset. Digi- ja väestötietoviraston (DVV) kesäkuun seminaaripäivässä puhuttiin juuri rakenteettoman tiedon riskeistä. Tähän liittyen tarkastellaan verkkolevyjä ja Teams-työtiloja: ovatko ohjeistukset noudatettu, onko vanhaa tietoa jäänyt talteen ja mikä on yleinen suojauksen taso?
Jos rakenteettoman tiedon riskit huolestuttavat sinua, ota yhteyttä! Voimme vastata näihin ja moniin muihin kysymyksiin kartoituspalvelumme avulla. Olemme myös Kuntien Tieran toimittajalistalla, joten voimme tarjota kilpailutusmahdollisuuksia rakenteettoman tiedon konsultointiin.
Tietosuojatyö ei pääse kesälomalle – Autamme sinua myös lomakaudella
Tietosuojatyö ei pysähdy kesälomalla, joten jos tarvitset apua esimerkiksi tietosuojavastaavan poissaolon aikana, ota rohkeasti yhteyttä. Me teemme tiiminä niin tietosuojavastaavan kuin tietosuojavastaavan tukityötä ympäri Suomen koko lomakauden ajan.
Kyselytutkimus toteutettiin sähköisenä lomakekyselynä, jonka linkkiä jaettiin sähköpostitse ja sosiaalisessa mediassa vuosina 2021 ja 2022. Vuoden 2021 kyselyn osalta saatiin 56 vastausta ja vuoden 2022 osalta 102 vastausta. Kumpanakin vuonna vastausaikaa oli noin kaksi kuukautta eikä vastaajia profiloitu. Tuloksia käsitellään tutkimusraportissa ainoastaan tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä kolmen kuukauden kuluessa.
Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset löytyvät listattuna ja niistä on tehty tutkimusraporttiin joitakin nostoja.
Vastaajien taustatiedot
Vastaajien osalta organisaatioiden kokoluokan jakauma oli molempina vuosina hyvin samankaltainen, joka on nähtävissä kuvassa 1. Samoin jakauma organisaatioiden toimialojen osalta oli molempina vuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.
Molempina vuosina vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3. Toimintaympäristön osalta vastaajissa oli edustettuna niin Suomessa kuin kansainvälisestikin toimivia yrityksiä, joiden päätoimipaikka sijaitsee ulkomailla. Vastaajien toimialueet löydät kuvasta 4.
Minä, pitkän linjan it-puurtaja, halusin tässä kohtaa työuraani oppia uutta uudesta tulokulmasta. Hain ja pääsin Sarasen Data Security Pro -koulutusohjelmaan ja sitä kautta hommiin GDPR Techiin kesäkuun lopulla.
Koulutukset alkoivat kesäkuussa ja jatkuivat heinäkuussa juristin vetämällä yhteensä kolmen koulutuspäivän mittaisella tymäkällä ja paljon hyvää keskustelua sisältäneellä GDPR-lakiosuudella. Lupaava alku siis.
GDPR on 88 sivua tulkintoja vaativaa lakitekstiä täynnä terminologiaa kuten ”riittävät organisatoriset ja tekniset toimenpiteet”, ”rekisterinpitäjä”, ”käsittelijä”, ”sisäänrakennettu ja oletusarvoinen tietosuoja”, ”osoitusvelvollisuus” ja ”seuraamukset”. Tulkintoja vaativaa kuten lakiteksti yleensäkin ja sinänsä kauhistelu on turhaa.
Haaste: mitä teksti tarkoittaa käytäntöön sovellettuna? Miten asetusta tulee tulkita toimintaympäristö huomioon ottaen?
Tai miten saavuttaa GDPR-yhteensopivuus? Tai pikemminkin miten osoittaa että prosessi/toimenpiteet GDPR-yhteensopivuuden saavuttamiseksi ovat käynnissä?
Ei himmeleitä. Suhteellisuudentajuinen resursointi, käytännönläheisyys, tehokas toteutus, varautuminen ja seuranta.
Ensimmäiset asiakastapaamiset, GDPR Techiin ja GDPR Techin palveluihin tutustuminen, Sarasen intensiivinen 3 päivän GDPR-lakikoulutus sekä yleinen aloitusrutistus todistetusti mahtuvat vajaaseen kahteen viikkoon. Kerron lisää tulevina viikkoina, pysy linjalla.
Kuinka GDPR tulee ottaa huomioon asiakaspalvelussa? Katso video, jossa toimitusjohtajamme Juha Sallinen kertoo tietosuoja-asetuksesta asiakaspalvelun kannalta!
Autamme yrityksiä samaan myös asiakaspalvelunsa GDPR:n mukaiseksi. Meiltä löytyvät monipuoliset palvelut konsultoinnista koulutukseen. Autamme myös videolla mainittujen tietopyyntöjen ja tietojen poiston kanssa. Ota meihin yhteyttä ja kerro kuinka voimme auttaa!