3. lokakuuta 2019 | Max Atallah
Tietosuoja-audit
Tietosuoja-audit tarkoittaa lyhyesti selitettynä tietosuojan tarkistamista. Siten tietosuoja-auditin kohteena on pääsääntöisesti tietyn yrityksen tietosuoja.
Tietosuoja-audit voidaan käsittää välttämättömäksi osaksi kaikkien yritysten tietosuojaa, sillä se on yksi tärkeimpiä keinoja toteuttaa tietosuoja-asetuksen osoitusvelvollisuuden periaatetta. Toisin sanoen, tietosuoja-auditin toteuttaminen voidaan mieltää yhdeksi yrityksen lakisääteisistä velvoitteista.
Tässä artikkelissa paneudumme tietosuoja-audittiin ja pyrimme käytännön tasolla selittämään, mistä siinä on oikein kyse.
Tietosuoja-audit lyhyesti
Tietosuoja-auditissa arvioidaan yrityksen tietosuojan lainmukaisuutta ja ajantasaisuutta. Siten tietosuoja-auditissa tarkastellaan yrityksen tietosuojatoimia, ja verrataan niitä lainsäädännön vaatimuksiin sekä yrityksen henkilötietojen käsittelyn nykytilaan. Selvyyden vuoksi todetaan, että tietosuojatoimilla tarkoitetaan kaikkia keinoja, joilla pyritään noudattamaan tietosuojalakeja (esim. tietosuojadokumentaatio ja tietosuojakoulutusten järjestäminen).
Tietosuoja-auditin sisältö on riippuvainen auditoitavan yrityksen tietosuojatarpeista. Yleisluonteisesti voidaan kuitenkin todeta, että tietosuoja-auditissa:
- tarkastetaan auditoitavan yrityksen tietosuojadokumentaatio,
- tunnistetaan ja korjataan tai minimoidaan yrityksen tietosuojapuutteet,
- tarvittaessa päivitetään tai ohjeistetaan päivittämään tietosuojatoimia ja
- monitoroidaan ja mitataan auditoinnin tuloksia.
Täten yritys saa tietosuoja-auditilla tietoa mm. siitä:
- mitkä sen tietosuojatoimista ovat lainmukaisia tai lainvastaisia,
- mitkä sen tietosuojatoimista ovat ajantasaisia tai vanhentuneita,
- miten hyvin sen nykyiset tietosuojatoimet on implementoitu ja
- mitä uusia tietosuojatoimia sen tulisi huomioida.
Ilman tietosuoja-auditin suorittamista yrityksen on hyvin hankala muuttaa tai ottaa käyttöön siltä vaadittavia tietosuojatoimia.
Ketkä voivat toteuttaa tietosuoja-auditin?
Tietosuoja-auditin voi toteuttaa kategorisesti kolme (3) eri tahoa:
1) Ulkopuolisen toteuttama tietosuoja-audit: Ulkopuolisen toteuttaman tietosuoja-auditin toteuttaa siis yrityksen ulkopuolinen henkilö. Tällöin on kiinnitettävä huomiota siihen, että auditoija on tietosuoja-asiantuntija, sillä muutoin auditin tulokset ja merkitys voidaan perustellusti kyseenalaistaa. Ulkopuolisen henkilön valinnassa kannattaa kiinnittää huomiota esim. IAPP:n myöntämiin tietosuojasertifikaatteihin, jotka osoittavat sertifikaatin haltijoiden todennettua osaamista tietosuojasta, sillä tällä voi olla valtava merkitys esim. viranomaisten näkökulmasta. IAPP:n myöntämää eurooppalaista tietosuojasertifikaattia kutsutaan CIPP/E-sertifikaatiksi. Nyrkkisääntönä voidaan todeta, että CIPP/E-sertifikaatin haltijan toteuttamalla tietosuoja-auditilla ollaan melko selvillä vesillä.
2) Sisäisesti toteutettu tietosuoja-audit: Sisäisellä tietosuoja-auditilla tarkoitetaan yrityksen sisäisesti toteuttamaa tietosuojan auditointia. Käytännössä siis yrityksen henkilöstö suorittaa itse yrityksen tietosuojan auditoinnin. Sisäisesti toteutetulla auditilla ei ole osoitusvelvollisuuden periaatteen toteuttamisen kannalta yhtä vahvaa vaikutusta kuin ulkopuolisen toteuttamalla auditoinnilla, sillä sisäisesti toteutettua audittia ei voi koskaan toteuttaa riippumattomasti, toisin kuin ulkopuolisen toteuttaman auditin. Sisäisesti toteutettu audit on kuitenkin edullisempi, sillä siinä ei tarvitse erikseen palkata ulkopuolista asiantuntijaa. Onkin suositeltavaa, että molempia auditteja hyödynnetään sopivissa määrin.
3) Viranomaisen toteuttama tietosuoja-audit: Viranomaisen toteuttamat tietosuoja-auditit voidaan jakaa käytännössä kahteen kategoriaan – viranomaisen käynnistämä auditointi tai yrityksen käynnistämä auditointi. Viranomaisen käynnistämässä auditoinnissa on käytännössä kyse siitä, että viranomainen toteuttaa rooliaan valvontaviranomaisena käynnistämällä tietyn yrityksen auditoinnin. Tällöin viranomainen valitsee auditoitavan yrityksen joko laiminlyönnin tai epäillyn sellaisen seurauksena taikka sattuman varaisesti. Tällainen audit voi myös herkästi johtaa sanktioihin. Yrityksen itsensä käynnistämä, mutta viranomaisen toteuttama tietosuoja-audit taas toimii ulkopuolisen toteuttaman tietosuoja-auditin tavoin, ja siinä yritys itse pyrkii selvittämään noudattaako se tietosuojalakeja vai ei. Suomen viranomaiset eivät (ainakaan vielä) tarjoa tällaista palvelua.
Tietosuojan auditointi on osa yrityksen lakisääteisiä tietosuojavelvoitteita
Tietosuoja-asetuksen artiklan 5(2) nojalla jokaisen yrityksen on noudatettava osoitusvelvollisuuden periaatetta, jonka mukaan yrityksen on:
- noudatettava tietosuojalakeja ja
- pystyttävä osoittamaan, että se noudattaa tietosuojalakeja.
Osoitusvelvollisuuden periaatteen noudattaminen ja siten molempien edellä kuvattujen vaatimusten täyttäminen tulisi yksinkertaistetusti ilmaistuna toteuttaa seuraavilla keinoilla: (1) laadi lain mukainen tietosuojadokumentaatio, (2) implementoi tietosuojadokumentaatiosi sisältämät tietosuojatoimet käytäntöön ja (3) auditoi tietosuojasi säännöllisesti. Kaikkien kolmen keinon on täytyttävä, jotta yritys voisi noudattaa osoitusvelvollisuuden periaatetta. Tästä johtuen tietosuoja tulee ymmärtää jatkuvana velvoitteena, ja siksi tietosuoja tulee huomioida säännöllisesti.
Mikäli tietosuojaa ei huomioida jatkuvana velvoitteena, ei yritys voi noudattaa tietosuojalakeja. Täten suosittelemme, että yrityksen tietosuoja auditoidaan ulkopuolisen tietosuoja-asiantuntijan toimesta vähintään kerran vuodessa.
Näin ollen, tietosuojan auditointi voidaan käsittää jokaisen yrityksen lakisääteiseksi velvoitteeksi.
Lopuksi
Alla on vielä lyhyt muistilista tämän artikkelin ydinseikoista:
- tietosuojan auditointi voidaan mieltää jokaisen yrityksen lakisääteiseksi tietosuojavelvoitteeksi,
- tietosuojan auditoinnilla yritys voi arvioida sen tietosuojan lainmukaisuutta,
- tietosuojan auditoinnilla yritys voi osoittaa, että se noudattaa tietosuojalakeja ja
- yrityksen tietosuoja on hyvä auditoida ulkopuolisen tietosuoja-asiantuntijan toimesta vähintään kerran vuodessa.
Mikäli yrityksesi ei ole vielä auditoinut sen tietosuojaa, avustamme teitä mielellämme teidän tietosuojanne auditoinnissa! Näin voitte varmistaa, että tietosuojanne on asianmukaisesti järjestetty.
3.10.2019 MAX