Kolme tietosuojateesiä yrityspäättäjille – haastattelussa Katariina Koski

DLA Piperin IP & Teknologia -tiimi kasvoi kesäkuun alussa uudella osaajalla, kun Katariina Koski liittyi joukkoomme. Jos mietit, mihin tietosuojaprojekteihin organisaatiosi tulisi juuri nyt panostaa, Katariinalla on vastaus kysymykseesi. Haastattelussamme Katariina listaa kolme tietosuoja-aiheista teesiä yrityspäättäjille.

Kertoisitko hieman itsestäsi ja taustastasi?

Olen Katariina Koski ja aloitin kesäkuun alussa tietosuojajuristina DLA Piperin IP & Teknologia -tiimissä. Tietosuojajuridiikan pariin olen päätynyt opiskeluaikoina Lapin yliopistossa, kun tein graduni lapsen oikeudesta yksityisyyteen sosiaalisessa mediassa. Tietosuoja veikin sitten mukanaan, ja aloitin työskentelyn Tietosuojavaltuutetun toimistossa heti valmistumiseni jälkeen. Valvontaviranomaisessa vietettyjen vuosien jälkeen halusin päästä auttamaan yrityksiä tietosuojahaasteissa käytännönläheisemmin, joten hakeuduin asianajotoiminnan pariin. 

Miksi halusit töihin juuri DLA Piperille? 

DLA Piperilla on toimistoja yli 40 maassa. Mahdollisuus avustaa asiakkaita kansainvälisissä projekteissa oli itselleni tärkeä syy siirtyä DLA Piperille. Parasta DLA Piperilla on kuitenkin ollut loistavat työkaverit, joiden kanssa on ollut ilo tehdä töitä ja viettää aikaa tapahtumissa myös toimiston ulkopuolella. Hyvän tiimin ja toimivan työyhteisön merkitystä ei voi korostaa liikaa, ja on ollut ilo huomata, että DLA Piperilla työntekijöiden hyvinvointiin panostaminen on näkynyt myös käytännössä.    

Jos olisit yrityspäättäjä, mitkä tietosuojaprojektit priorisoisit ennen vuoden vaihdetta?

1. Henkilötietojen siirrot EU/ETA-alueen ulkopuolelle 

Ennen vuodenvaihdetta on hyvä käydä läpi, siirtääkö oma organisaatio henkilötietoja kolmansiin maihin esimerkiksi Googlen tai Microsoftin palveluiden kautta, päivittää mahdolliset vakiosopimuslausekkeet uusiin 27.12.2022 mennessä sekä tarvittaessa suorittaa tietojen siirtoja koskeva vaikutustenarviointi (TIA-arviointi), jonka perusteella voidaan arvioida ja ottaa käyttöön tiedon siirtoihin liittyviä lisäsuojatoimenpiteitä.

Euroopan Komissio päivitti henkilötietojen siirroissa käytettävät vakiosopimuslausekkeet viime kesänä ja päivitettyjen vakiosopimuslausekkeiden käyttöönotolle säädetty 18 kuukauden siirtymäaika päättyy 27.12.2022. Yrityksen solmiessa uusia sopimuksia, joihin liittyy tietojen siirto kolmansiin maihin, on siis tullut jo käyttää uusia vakiosopimuslausekkeita ja vanhojen sopimuksien vakiosopimuslausekkeet tulee päivittää uusiin 27.12.2022 mennessä.

Organisaation omilla resursseilla tietojen siirtojen arviointi koetaan usein haastavaksi. Lisäksi Suomesta käsin voi olla vaikea arvioida kolmansien maiden lainsäädännön takaamaa tietosuojan tasoa. DLA Piper käyttää TIA-arvioinnissa tähän tarkoitukseen rakennettua Transfer-työkalua, jonka avulla arviointi suoritetaan. Työkalu luo kattavan dokumentaation ja raportin, jonka avulla organisaatiot voivat täyttää tietojen siirtoihin liittyvät velvoitteensa.

2. Kyberturvallisuus 

• Maailma digitalisoituu kiihtyvää vauhtia eikä kyberturvallisuuden merkitystä voi korostaa liikaa. Kyberturvallisuuden ymmärrystä ja osaamista tarvitaan myös organisaatioiden johtotehtävissä. Jatkuvasti muuttuvassa toimintaympäristössä johtamisen tueksi tarvitaan ymmärrystä globaaleista ilmiöistä, tapahtumista ja trendeistä sekä ajantasainen tilannekuva omasta organisaatiosta.
  
  DLA Piperin maailmanlaajuinen ja monialainen juristien ja operatiivisten konsulttien tiimimme neuvoo asiakkaita kaikissa kyberturvallisuuteen liittyvissä kysymyksissä, esimerkiksi kyberresilienssin rakentamisessa, poikkeamiin reagoinnissa ja poikkeamien korjaamisessa tarjoamalla kokonaisvaltaista ja räätälöityä asiakaspalvelua.

3. Perusasiat kuntoon 

• Yritysten tietosuojaosaamisen taso on kasvanut valtavasti vuosien varrella. Kuitenkin edelleen säännöllisesti törmää tilanteisiin, joissa organisaatioissa on tietosuojan peruspalikat heikosti kasattuna. Tyypillistä on, että esimerkiksi käsittelyroolia ei ole pohdittu tai se on tunnistettu väärin, informointi on hoidettu kilpailijalta kopioidulla tietosuojaselosteella, tai dokumentointi on riskejä arvioitaessa unohdettu. 
  
  Yritysten kannattaa panostaa siihen, että tietosuojan pohjatyöt on tehty kunnolla, jolloin myös tietosuojan tason ylläpito on toteutettavissa. Aloittaa voi esimerkiksi siitä, että tunnistaa oman käsittelyroolin, kartoittaa oman organisaation käsittelytoimet ja määrittelee henkilötietojen käsittelyperusteet. Tältä pohjalta on helpompaa esimerkiksi arvioida tarvetta tietosuojan vaikutustenarvioinnille, TIA-arvioinnille, hoitaa sopimusvelvoitteet kuntoon sekä muodostaa riittävää dokumentointia. 

• Tietosuojatyössä pääseekin pitkälle, kun laittaa perusasiat kuntoon. Jos ei tiedä mistä aloittaa, kannattaa oman organisaation tietosuojan tasoa arvioida esimerkiksi ilmaisella DLA Piperin Data Protection Scorebox- työkalulla (englanniksi), joka annettujen vastausten perusteella arvioi organisaation tietosuojan tason useilla tietosuojan osa-alueilla ja muodostaa vastausten perusteella raportin toimintaehdotuksineen.