19.3.2021
Tietosuoja / Ohjelmistokehitys

Tietosuojaprosessit kuntoon konsultaation avulla

Tietosuoja on henkilötietojen suojaa. Jos yrityksellä on esimerkiksi asiakkaiden, työntekijöiden, osakkaiden tai muiden vastaavien tahojen henkilötietoja hallussaan, sen tulee huolehtia niistä tietosuojalainsäädännön mukaisesti. Henkilötiedot eivät saa päästä ulkopuolisten käsiin, eikä henkilötietoja lähtökohtaisesti saa käyttää mihinkään muuhun kuin juuri siihen tarkoitukseen, mihin ne on annettu. "Niitä ei esimerkiksi saa myydä, mikäli tietojen luovutuksesta ei ole kerrottu etukäteen," kertoo Perfektion Legal Advisor, Laura Kaurijoki.

Tietosuojakysymykset koskettavat digitaalisten palvelujen aikana suurta osaa yrityksistä. Laura kuvaa tilannetta seuraavasti: “Digitalisaation myötä henkilötietojen, kuten kaiken muunkin tiedon, määrä on kasvanut valtavasti. Henkilötietoja on helpompi kerätä ja niiden käyttö on sekä monipuolistunut että monimutkaistunut, minkä lisäksi niiden hallitseminen on vaikeutunut. Tietosuojasta huolehtiminen on tästä syystä oleellinen osa ohjelmistokehitysprojekteja"

Asetukset ja lait voivat kuulostaa monimutkaisilta, mutta ne turvaavat tärkeitä asioita. "Tietosuoja-asetus antaa paremman suojan henkilötiedoille ja enemmän keinoja hallita niiden käsittelyä”, Laura kertoo ja lisää, että “Tietosuoja-asetus on itseasiassa myös yksi osa laajempaa tavoitetta EU:n laajuisten digitaalisten sisämarkkinoiden luomiseksi, mikä usein unohtuu aiheesta puhuttaessa. Yritysten on helpompaa laajentaa palveluitaan muihin EU-maihin, jos kaikkialla sovelletaan samanlaista lainsäädäntöä. Lisäksi kuluttajat uskaltavat antaa esimerkiksi luottokorttitietonsa toisessa maassa sijaitsevalle yritykselle, kun he voivat luottaa siihen, että tämän yrityksen pitää noudattaa samoja tietosuojavaatimuksia ja että kuluttajan käytössä on tarvittaessa tehokkaita oikeussuojakeinoja"

Ohjelmistokehitystä tietosuojaa tukien

"Tietosuoja on kiinnostava aihe. Voin yhdistää siinä kahta mielenkiintoni kohdetta – oikeustiedettä ja datatiedettä", Laura kertoo. Hän edistää töiden ohessa kahta maisterin tutkintoaan, joista toinen on oikeustieteellisestä ja toinen tietojenkäsittelytieteestä. Perfektiolle Laura on aikoinaan kirjoittanut niin Perfektion omat kuin sen spin off -yrityksenkin tietosuojaselosteet ja toteuttanut muut tietosuojalainsäädännön edellyttämät toimet. Nykyään hän on tietosuojakonsulttina mukana myös Perfektion ohjelmistokehitysprojekteissa, joissa tietosuojan toteutumista mietitään laajemmin osana yrityksen toimintaa. Lauralle on tärkeää, että asiakkaat saavat välineet tietosuojatoimien toteutumisen jatkuvaan arviointiin sen sijaan, että tietosuojaan liittyvät asiat hoidettaisiin kerran kuntoon ja unohdettaisiin sen jälkeen. 

"Useat projektimme lähtevät asiakkaan tuotteen tai palvelun kehittämisestä ihan alusta alkaen. Tällöin niihin on luontevaa ottaa mukaan myös tietosuoja-asiat. Niihin liittyviä käytäntöjä on hyvä digitalisoida ohjelmaa suunniteltaessa ja kehitettäessä, sillä on helpompaa ja asiakkaalle paljon edullisempaa ottaa tietosuojakysymykset huomioon jo ohjelmistokehityksen aikana, kuin kysellä niistä myöhemmin juristilta, ja sitten muuttaa järjestelmää vaatimusten mukaiseksi", Laura kertoo ja muistuttaa, että myös EU:n yleinen tietosuoja-asetus rakentuu sisäänrakennetun ja oletusarvoisen tietosuojan -periaatteille (Privacy by Design and Default), joiden mukaan henkilötietoja käsittelevät järjestelmät tulisi lähtökohtaisesti suunnitella ja kehittää tietosuoja huomioiden ja siten, että ne mahdollistavat yrityksen tietosuojavelvoitteiden täyttämisen.

Tietosuojaprosessien ymmärtäminen avaa uusia keinoja hyödyntää dataa

Perfektion tietosuojakonsulttina Laura on huomannut, että tietosuoja-asiat hahmottuvat usein ihmisille lähinnä joidenkin yksittäisten asioiden, kuten tietosuojaselosteiden, kautta. Yksittäisiä asioita tärkeämpää on kuitenkin huolehtia kuntoon koko tuotteen tai palvelun yksilöllinen tietosuojaprosessi,” hän opastaa. "Asiat, kuten mitä tietosuojaselosteessa tulee mainita, tulevat suoraan laista. Asiakkaiden ongelmat eivät kuitenkaan ole näin suoraviivaisia. Perehtyminen asiakkaan liiketoimintaan sekä niihin kysymyksiin, joita tietosuojaan tietyssä yrityksessä liittyy tulee huomioida aina tapauskohtaisesti ja se tekee myös työstäni mielenkiintoista”.

Usein jo ohjelmistoprojektin suunnitteluvaiheessa Lauralle onkin selvinnyt, että yrityksissä ei välttämättä ole valmiiksi mietitty kaikkia niitä vaatimuksia, joita tietosuojaan liittyy. Näissä asioissa hän haluaa auttaa asiakkaitaan. "Tietosuojaprosesseilla tarkoitan sitä, millä tavalla yritys käsittelee henkilötietoja kokonaisuudessaan. Tietosuojan kannalta on mietittävä, millä perusteilla tietoja ylipäätään saa kerätä, missä vaiheessa on kyse henkilötiedoista ja missä vaiheessa tieto muuttuu esimerkiksi tilastoksi. Asiakkaalle voi olla hyödyllistä ymmärtää, missä kohtaa tietosuojavelvollisuus alkaa ja missä se loppuu", Laura avaa konsultoinnin hyötyjä asiakkaille. "Henkilötiedot kuuluvat tietosuojalain piiriin, mutta niistä voi koostaa esimerkiksi tilastoja, joista ei voi päätellä yksittäisiä henkilöitä. Näin tilaston antama hyöty jää edelleen yrityksen käyttöön, vaikka henkilötiedot poistettaisiin".

Tietosuojakonsultointi auttaa tietosuojaprosessien hahmottamisessa

Laura kertoo, että tietosuojakonsultoinnissa kyse on aina asiakkaan tietosuojaprosessien selvittämisestä henkilötietojen koko elinkaaren osalta. "Jokaisessa projektissa pitää erikseen huomioida, mihin tarkoitukseen asiakas henkilötietoja käyttää. Esimerkiksi yrityksen uutiskirjeen tilaajien kohdalla olennainen kysymys on, kauanko tietoja saa säilyttää. Tietosuojaprosessit tulee suunnitella sellaisten kysymysten ympärille, kuten mihin tietoja käytetään, miten niitä säilytetään ja suojataan, miten kauan niitä säilytetään ja miten toimitaan, jos tietoja pitää poistaa," Laura luettelee. "Nämä projektit ovat mielenkiintoisia siksi, että esimerkiksi pienellä yrityksellä tai start upilla, jolle tietosuoja-asiat eivät välttämättä ole tuttuja, voi olla erilaisia tietosuojaan liittyviä toimintoja palveluissaan ja mielestäni on mielenkiintoista oppia ja kuulla niistä sekä päästä auttamaan tietosuojan toteutumisen osalta".

Ota yhteyttä

Lauran tietosuojakonsultaatiota on mahdollista nykyään saada myös muusta ohjelmistokehityksestä erikseen. Mikäli siis kaipaat tietosuojaprosessisi läpikäyntiä tai muuten konsultaatiota tietosuoja-asioihin liittyen, ole yhteydessä meihin esimerkiksi yhteydenottosivumme kautta.

Jaana Laitinen

Jaana Laitinen

Operatiivinen johtaja