Puuduttaako jo GDPR terminä tai tuleeko EU:n tietosuoja-asetuksen määrittämät rekisterinpitäjän vaatimukset jo korvista ulos?
Myönnän: ajatus käy joskus omassakin mielessä. Tässä kohtaa on hyvä muistaa, että GDPR on tulossa jäädäkseen. Vaikkakin asetusta aletaan soveltamaan 25.5.2018, ei se tarkoita loppua, päinvastoin. Toki tuolloin moni saattaa huokaista helpotuksesta, sillä käytännössä toukokuussa pitäisi olla lähtökohdat ja selvitystyön suurimmalti osalti hoidettu.
Mitä enemmän tätä kuumaa perunaa pohtii, sitä tärkeämmäksi olen itse havainnut riskienhallinan. Useimmissa organisaatiossa tämäkin termi kuuluu niiden tuttujen käsitteiden listaan, mutta ei ehkä vielä riskit henkilötiedon ja GDPR:n näkökulmasta? Haluaisinkin nyt tällä kirjoituksella nostaa tietosuojaan liittyvän riskienhallinna käytännöntasolle, konkretisoida sitä ja täten toivottavasti helpottaa sitä teillä tapahtuvaa selvitystyötä.
Velvoite, mutta miksi?
Kuten webinaarissa totesin, on riskien analysointi velvoite organisaatiolle (rekisterinpitäjille ja henkilötietojen käsittelijöille). Kuitenkin omasta mielestäni, menestyksekkään GDPR:n jalkautuksen mahdollistaa muidenkin perustelujen tarjoaminen.
Riskienhallinnassa tunnistamme kehityskohteita, prosesseja, toimintoja tai tietojärjestelmiä, joissa yksityisen ihmisen näkökulmasta hänen tietojensa luottamuksellisuus saattaa vaarantua. Kun nämä tilanteet on listattu ja analysoitu etukäteen, voimme yhistää GDPR-riskienhallinnan osaksi ennakoivaa johtamista. Täten riskitilanteiden tunnistaminen ja mahdollisen häiriötilanteen hallinta ovat mahdollisia – toisin sanoen minimoidaan negatiiviset vaikutukset. Lopputuloksena organisaatiolla on mahdollisuus varmistaa tai jopa lisätä sidosryhmien luottamusta: tunnetta, jonka perusteella saatan tehdä jatkossakin päätöksen tietojeni luovuttamisesta kyseiselle rekisterinpitäjälle. (ks. https://opitietosuojaa.fi/index.php/fi/53-tyokalupakki/riskienhallinta)
Toki kokemukseni mukaan huolellinen riskienhallinta ja riskeistä johdetut toimenpiteet, ovat erinomainen tapa tuoda GDPR käytännöntasolle, sillä se monesti vastaa käytännön kysymyksiin:
- Mikä muuttuu omassa toiminnassani?
- Miksi?
Riskianalyysi step by step
Miten tämä riskienhallinta käytännössä tapahtuu? Jotta osoitusvelvollisuus täyttyisi, olisi syytä merkitä analysoidut riskit ylös. Ota siis esiin valitsemasi työkalu: on se sitten meidän ARC-tietosuojanhallintamallimme, excel tai kynä ja paperia ja sitten…
Aloita näistä:
- Tunnista ja listaa henkilötietoihin liittyvät riskit. Muista painottaa rekisteröidyn näkökulmaa.
- Analysoi riskien vaikutus ja todennäköisyys.
- Määrittele toimenpiteet riskien pienentämiseksi ja hallitsemiseksi. Aloita todennäköisimmistä ja vaikuttavimmista riskeistä.
- Jalkauta uusi toimintamalleja, kommunikoi ja kysy.
Muita käytännön vinkkejä:
- Mieti vaikutuksia omasta näkökulmasta.
- Ajattele worst case scenario.
- Korkean riskin toimintoja voivat olla esimerkiksi
- Automatisoitu päätöksenteko
- Tietovarannot / -järjestelmät, joissa säilötään suuria määriä henkilötietoja
- Henkilötietojen siirto EU- ja ETA-alueen ulkopuolelle
