Tietosuojan merkitys on kohonnut entistä keskeisemmäksi kaikissa palveluissa ja järjestelmissä, koska lähes aina tarvitaan kirjautuminen palveluun ja silloin käsitellään aina henkilötietoja. Me Ilona IT:llä törmäämme tähän asiaan oppimisen teknologian sovellusten jälleenmyyjän roolissa. Hankinnat venyvät ja vaikeutuvat, koska tietosuojaselvitykset vievät aikaa ja vaativat vaivaa asiakkailta. Asiakkaita auttaaksemme julkaisimme syksyllä 2023 GDPR-sovelluskirjaston, johon on valmistajilta koottu GDPR-faktat sovelluksista ja pilvipalveluista.
Sovellusvalmistajien kanssa käymme jatkuvaa keskustelua myös tietosuojan näkökulmasta. Tähän blogitekstiin olen lähteitä käyttäen koonnut sovelluskehityksessä huomioitavia seikkoja. Tietosuoja ei ole vain velvollisuus, vaan se on olennainen osa nykyaikaista palvelujen ja järjestelmien suunnittelua. Jo yksinkertainen yhteyshenkilön sähköpostiosoite luetaan henkilötiedoksi. GDPR-säädöksissä ei ole liikkumavaraa, mutta suojatoimenpiteitä suunniteltaessa voidaan huomioida suojaamisen tarve ja soveltaa toimenpiteitä sen mukaisesti.
Lähde: DVV, Sovelluskehitysopas 1
Henkilötietojen käsittelyssä on olennaista noudattaa useita tärkeitä periaatteita ja vaatimuksia, jotka varmistavat tietosuojan toteutumisen. Yhtenä keskeisenä vaiheena on henkilötietojen käsittelyn ja elinkaaren kartoitus. Tämä voidaan tehokkaasti toteuttaa tunnistamalla ja kuvaamalla ne prosessit, joissa henkilötietoja käsitellään. Samalla on hyvä hahmottaa henkilötietojen elinkaari esimerkiksi tietovuokaavion avulla, ottaen huomioon eri henkilötietotyypit, kuten salassa pidettävät tiedot tai turvakiellon alaiset tiedot.
Jokaiselle henkilötietojen käsittelylle on oltava selkeä ja perusteltu tarkoitus, joka voi liittyä esimerkiksi palvelun kehittämiseen tai viranomaistehtävän toteuttamiseen. Kaikki prosessit on suunniteltava ja toteutettava siten, että ne palvelevat tätä tarkoitusta, eikä henkilötietoja saa käsitellä alkuperäisen tarkoituksen ulkopuolella.
Lainsäädännön asettamia erityisvaatimuksia on tärkeä tunnistaa ja noudattaa, erityisesti viranomaisten harjoittaman henkilötietojen käsittelyn osalta. Esimerkiksi terveystietojen käsittely voi edellyttää erityisiä suojatoimia. Säilytysajat ja poistokäytännöt on suunniteltava huolellisesti lainsäädännön vaatimusten mukaisesti.
Kaiken henkilötietojen käsittelyn on oltava tarpeellista ja minimoitava. Toiminnallisuuksia ja prosesseja suunnitellessa on varmistettava, että henkilötietoja ei käsitellä turhaan tai pelkästään teknisistä syistä. Säilytysaikojen ja -kriteerien määrittely on olennaista, ja virheelliset tai vanhentuneet tiedot on voitava poistaa tai korjata.
Sopimuskumppaneiden valinnassa on tärkeää luottaa siihen, että he noudattavat tietosuojalainsäädäntöä. Henkilötietojen käsittelijöiden on oltava sitoutuneita tietosuojavaatimusten täyttämiseen. Tietosuojaselosteet ovat väline, jolla informoidaan rekisteröityjä heidän henkilötietojensa käsittelystä, ja ne on laadittava selkeästi ja ymmärrettävästi.
Tietosuojan yhteyshenkilöiden on oltava tiedossa niin omassa organisaatiossa kuin sopimuskumppaneillakin. Tietosuojan riskien arvioinnin ja hallinnan avulla varmistetaan, että uhkamallinnuksen lisäksi tarkastellaan riskejä nimenomaan henkilötietojen näkökulmasta.
Lopuksi, poikkeamatilanteisiin on osattava reagoida nopeasti ja dokumentaatiovelvollisuus on täytettävä tarkasti. Tietosuojalainsäädännön vaatimukset eivät pelkästään riitä, vaan on kyettävä osoittamaan henkilötietojen käsittelyn lainmukaisuus ja tehdyt ratkaisut erityisesti rajanvetotilanteissa. Tämä edellyttää proaktiivista toimintaa ja selkeää viestintää kaikilla tasoilla organisaatiossa.
Lähteet:
Blogitekstin kirjoittaja on Soili Meklin, joka toimii tuoteomistajana GDPR-sovelluskirjastopalvelussa. Ennen Ilonalle tuloaan hän toimi 12 vuotta oppilaitoksen rehtorina ja ollut hankkimassa erilaisia sovelluksia käyttöön. Lisäksi hän on vastannut organisaation tietosuojatoimien ja –prosessien ylläpidosta ja kehittämisestä.
Ilona IT Oy on oppimisen teknologian asiantuntijayritys, joka välittää asiakkailleen satoja sovelluksia ja pilvipalveluja vuodessa. Ilona IT kuuluu belgialaiseen SignPost Groupiin, jolla on palvelumyyntiä 10 Euroopan maassa.