Blogi

Tietosuojan hallintaa

Tietosuojan hallinta on kokonaisarkkitehtuurityötä. Siksi onneksi olkoon sinulle, joka olet valinnut tähän työhön ARC-ohjelmiston!

Rekisterinpitäjän osoitusvelvollisuuksien hoitamiseksi tehdään Suomessa varmaankin ennätysmäärä erilaista infrastruktuurin ja tietovarantojen dokumentaatiota kuluvan syksyn ja ensi kevään aikana. On todella järkevää tehdä dokumentaatio siten, että se on tarpeen mukaan liitettävissä mukaan osaksi suurempaakin kokonaisuutta. ARC-ohjelmisto skaalautuu tässä suhteessa mainiosti laajempaankin kuvaamiseen.

ARC Tietosuojan hallintamallissa kuvataan organisaation rekistereiden lisäksi tietoa, tietovarantoja ja tietojärjestelmiä, ja näkyviin saadaan myös niissä operoivat roolit tai jopa henkilöt. Näiden käsitteiden välisiä yhteyksiä voi hahmottaa yhteyskaavioilla: alla näkyy osa Tietosuojan hallintamallin käsitekartasta eli metamallista.

Tietosuojan hallintamallin käsitekartta eli metamalli
Tietosuojan hallintamallin käsitekartta eli metamalli

Tietosuojan kohdalla kansallinen lainsäädäntö on vielä kesken ja lain tulkintakenttä elää koko ajan. Mekin pureskelimme Arterilla asiat vielä kertaalleen läpi yhdessä lakimiehen kanssa ja päädyimme siihen, että päivitimme Tietosuojan hallintamallin metamallia Rekisteri-mallilla, jotta saadaan vieläkin yksityiskohtaisempi kuva siitä, miten tiedot järjestyvät ja mitkä rekisteriselosteet koskevat mitäkin tietovarantoa.

Rekisteri siis määritellään rekisteriselosteessa. Ne tietokokonaisuudet ja tietovarannot, joita käsitellään rekisteriselosteessa määritellyllä tavalla, muodostavat rekisterin. Rekisteri on teknologiariippumaton, ja se voi käsittää useita tietovarantoja. Esimerkiksi henkilöstötietoja käsittävä rekisteri voi muodostua HR-tietokannasta, paperiarkistoissa olevista työsopimuksista ja vaikkapa sisäisistä työvuorolistoista; määräävää on se, että rekisterissä tiedot esitellään jäsennellyssä muodossa ja että rekisterin eri ilmentymissä henkilöstötietoja käsitellään samalla, rekisteriselosteessa määritellyllä, tavalla.

Rekisterin dokumentaatio
Rekisterin dokumentaatio

Rekisteri ja tietovaranto saattavat joskus olla sama asia. Näin on silloin, kun kyseistä tietovarantoa koskevat omat käsittelytapansa ja sille on oma rekisteriselosteensa. Myös tietovaranto ja tietojärjestelmä mielletään joskus samaksi asiaksi. Silloin kun jollakin tietojärjestelmällä on oma tietokanta, niin näidenkin erottaminen toisistaan tuntuu vaikealta.

Tieto puolestaan on tietosuojan kannalta luonnolliseen henkilöön liittyvä tietokokonaisuus, joka on johonkin rekisteriin säilötty. Tiedon liikkuminen tietovarannosta toiseen tai kulkeutuminen kolmansien osapuolien käsiteltäväksi on hyvä mallintaa myös tietovirtakuvauksilla.

Yhtä ainoaa oikeaa tapaa mallintaa näitä kokonaisuuksia ei ole, vaan kussakin organisaatiossa tutkitaan oma ympäristö ja mietitään yllä olevien käsitteiden väliset suhteet sillä tavalla, että ne on  selkeä tarvittaessa viranomaiselle osoittaa.

Katso aiheen webinaaritallenne:

Liittyvät materiaalit