Tietosuoja ei ole valinnainen lisä, joka hoidetaan projektin lopussa vaan lakisääteinen asia, jota tulee noudattaa. Tietosuojasta huolehtiminen nojaa erityisesti ennakointiin. Se ei ole irrallinen hallinnollinen velvoite, vaan olennainen osa hyvää hankehallintaa ja laadukasta toimintaa. Projektipäällikön rooli korostuu erityisesti siinä vaiheessa, kun suunnitellaan tiedonkeruuta tai osallistujien kontaktointia. Tässä vaiheessa on jo ymmärrettävä, mitä tietoja tullaan käsittelemään, keitä ne koskevat, miksi niitä kerätään ja kuka vastaa niiden käsittelystä.
Henkilötieto – laajempi kokonaisuus kuin luullaan
Monesti henkilötiedoiksi mielletään nimet ja henkilötunnukset. Ja pitäähän se paikkansa. Mutta, todellisuudessa henkilötiedot ovat huomattavasti laajempi kokonaisuus, sillä henkilötiedoiksi lasketaan kaikki tieto, jolla yksilö voidaan tunnistaa. Näihin tietoihin kuuluu esimerkiksi sähköpostiosoitteet, sijaintitiedot, terveystiedot ja jopa IP-osoitteet. Lisäksi henkilötiedoiksi lasketaan esimerkiksi erilaisten tietojen yhdistelmä, joista henkilö on tunnistettavissa. Tämän vuoksi tietosuoja koskee sellaisiakin aineistoja, joissa esimerkiksi henkilön nimi ei esiinny suoraan.
Jos hankkeessa kerätään vaikkapa palautetta, haastatteluaineistoja tai muuta osallistujien antamaa dataa, tulee pohtia heti alkuun, käsitelläänkö aineistoissa henkilötietoja. Jos kerätään, GDPR-asetuksen vaatimukset astuvat voimaan. Noudattamatta jättäminen voi johtaa vakaviin seurauksiin niin projekti kuin organisaatiotasollakin.
Henkilötietojen rekisterinpitäjänä toimii usein organisaatio, mutta kosketuksissa sen kanssa on usein projektipäälliköt. Projektipäälliköllä on olennainen osa tietosuojamääräysten noudattamisessa ja siinä, miten ne tulee ottaa huomioon käytännössä. Viisas ottaa tietosuojan huomioon jo hankkeen suunnitteluvaiheessa, joka helpottaa sen toteuttamista hankkeen alkaessa ja sen aikana: kun tietosuojaan liittyvät vaatimukset tiedostetaan alusta saakka, pysyy tietosuojatietoisuus mukana läpi hankkeen.
Henkilötietoja ei kuitenkaan kerätä silloin kun siltä tuntuu, vaan sille on löydettävä oikeusperuste. Useimmiten oikeusperusteena on osallistujan suostumus, mutta joissakin tapauksissa se voi perustua sopimukseen, julkiseen etuun taikka lakisääteiseen velvoitteeseen. Oikeusperusteella on väliä siitä näkökulmasta, että se vaikuttaa siihen, mitä oikeuksia osallistujalla eli rekisteröidyllä on. Esimerkiksi suostumukseen perustuvassa käsittelyssä suostumuksen antaneella henkilöllä on aina oikeus perua suostumuksensa.
Mikä sitten lasketaan suostumukseksi? Siihen ei riitä allekirjoitettu lomake. Suostumuksen tulee olla myös vapaaehtoinen, yksiselitteinen ja selkeään, oikeaan tietoon perustuva. Toisin sanoen, osallistujan pitää ymmärtää mihin on suostumassa ja kuinka pitkään tietoja aiotaan säilyttää. Nämä ovat tietoja, joiden tulee olla selkeästi potentiaalisen osallistujan tiedossa ennen suostumuksen antamista.
Rekisteröidyn oikeudet käytännössä
GDPR turvaa rekisteröidyille laajan kirjon oikeuksia, joiden toteutumisesta hankkeessa on huolehdittava. Näitä ovat esimerkiksi oikeus saada tietoa omien henkilötietojen käsittelystä, tarkastaa ja oikaista tietoja, rajoittaa käsittelyä, peruuttaa suostumus sekä pyytää tietojen siirtämistä toiselle rekisterinpitäjälle.
Projektipäällikön on huolehdittava siitä, että hanke pystyy vastaamaan tällaisiin pyyntöihin kohtuullisessa ajassa, selkeästi ja maksutta. Tämä edellyttää perehtymistä siihen, miten henkilötietoja säilytetään ja käsitellään sekä mitä tietojärjestelmiä käytetään. Lisäksi on tärkeää, että hankkeessa on selkeä sisäinen prosessi, jos joku osallistuja käyttää oikeuksiaan.
Rekisteröidyn oikeuksiin kuuluu:
- saada tietoa henkilötietojesi käsittelystä,
- tutustua ja tarkastaa itseäsi koskevat tiedot,
- pyytää tietojesi oikaisemista,
- vaatia tietojesi poistamista (ei koske lakisääteisiä tehtäviä),
- vaatia henkilötietojesi käsittelyn rajoittamista,
- vastustaa henkilötietojesi käsittelyä,
- pyytää itse toimittamiesi henkilötietojen siirtämistä rekisterinpitäjältä toiselle,
- peruuttaa antamasi suostumus, mikäli henkilötietojen käsittely perustuu suostumukseen,
- olla joutumatta automaattisen päätöksenteon kohteeksi.
Yksi GDPR:n keskeisistä periaatteista on niin sanottu osoitusvelvollisuus: rekisterinpitäjän on pystyttävä osoittamaan, että henkilötietojen käsittely tapahtuu lainmukaisesti. Käytännössä tämä tarkoittaa muun muassa tietosuojaselosteen laatimista, käsittelytoimien kirjaamista, mahdollisesti tietosuojavaikutusten arviointia (DPIA) sekä suostumusten ja riskien dokumentointia.
Vaasan ammattikorkeakoulussa on olemassa mallipohjia ja ohjeistuksia, joita hankkeet voivat hyödyntää. Silti jokaisen projektipäällikön on huolehdittava siitä, että tietosuoja on integroitu osaksi hankkeen hallintaa eikä jää irralliseksi liitteeksi. Usein on tarpeen laatia hankekohtainen tietosuojaseloste, varsinkin jos tietojen käsittelyn oikeusperuste poikkeaa organisaation yleisistä linjauksista.
Pieleen meni, miten toimin?
Vaikka tietosuoja-asiat pyrittäisiin hoitamaan mahdollisimman mallikkaasti, tulee jokaisen tiedostaa, että täysin riskitöntä toimintaa ei ole olemassa. Tämän vuoksi riskienhallinta on oleellinen osa tietosuojatyötä. GPDR edellyttää, että organisaatiot ja hankkeet huolehtivat riittävistä teknisistä ja organisatorisista toimenpiteistä henkilötietojen suojaamiseksi. Tällä tarkoitetaan muun muassa henkilötietojen turvallista tallentamista, niiden käytön valvomista ja järjestelmien ajan tasalla pitämistä.
Käytännön tasolla tämä tarkoittaa sitä, että esimerkiksi aineistot salataan niin säilytyksen kuin siirronkin aikana ja niitä pääsee käsittelemään ainoastaan luvalliset henkilöt. Lisäksi tulee varmistaa, että tiedot varmuuskopioidaan säännöllisesti ja että ylläpidetään audit trail-järjestelmiä, jotka kirjaavat kaikki tiedon käsittelyyn liittyvät toimenpiteet jäljitettävyyden turvaamiseksi.
Jos kuitenkin kaikesta valmistautumisesta huolimatta sattuu tietoturvaloukkaus, vaatii tilanne välitöntä reaktiota. DPR asettaa tiukat vaatimukset tietoturvaloukkausten ilmoittamiselle: rekisterinpitäjän on tehtävä ilmoitus tietosuojavaltuutetun toimistolle 72 tunnin sisällä siitä, kun tietoturvaloukkaus on havaittu. Ilmoitusvelvollisuutta on noudatettava, sillä viranomaisen tehtävänä on valvoa, että henkilötietoja käsitellään asianmukaisesti ja että mahdolliset riskit rekisteröidyille minimoidaan. Tietoturvaloukkauksia ovat muun muassa henkilötietojen katoaminen ja tuhoutuminen sekä henkilötietojen käsittely sellaisen henkilön toimesta, jolla siihen ei lupaa ole.
Jos tietoturvaloukkauksella on todennäköisesti haitallisia vaikutuksia henkilötietojen kohteena oleville – esimerkiksi jos tiedot voivat johtaa identiteettivarkauksiin, taloudellisiin menetyksiin tai muuhun vahinkoon – rekisteröidyille itselleen on ilmoitettava asiasta viipymättä ilman aiheetonta viivytystä. Tällainen avoimuus on paitsi lain vaatimaa myös tärkeää luottamuksen ylläpitämiseksi.
Tästä syystä hankkeissa tulee varmistaa, että on olemassa selkeät toimintamallit tietoturvaloukkausten varalle. Tämä tarkoittaa esimerkiksi sitä, että tiedetään, kuka on vastuussa ilmoituksen tekemisestä, miten loukkauksen laajuus arvioidaan ja miten tiedonhallinnan palauttaminen voidaan käynnistää nopeasti. Lisäksi on tärkeää kouluttaa hanketoimijat tunnistamaan mahdolliset tietoturvaongelmat ja toimimaan tilanteissa oikea-aikaisesti.
