Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa? Projektipäivät 31.10.2017 Esa Toivonen, Senior Portfolio Advisor, Thinking Portfolio esa.toivonen@thinkingportfolio.com https://www.thinkingportfolio.com/fi
Esityksen sisältö 1. Yleisesti EU-tietosuojasta ja salkunhallinnasta 2. EU-tietosuoja ja projektisalkku 3. Salkkurakenteen ja tietomallin soveltaminen osana EUtietosuojaa 4. Esimerkkejä näkymistä eri salkuista liittyen EU-tietosuojaan 5. Tietosuojan luokittelu ja selvitys osana salkunhallintaa (esimerkit) 2017 Thinking Portfolio
Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa? Kenen vastuulla ja keneen se vaikuttaa? Mitä se edellyttää projektisalkun raportoinnilta jatkossa? Miten EU-tietosuoja tulee huomioida ohjausryhmän ja johdon päätöksenteossa? Mistä tiedän onko projektissani EU-tietosuojan mukainen velvoite? Tuleeko tietosuojavastaavan olla jatkossa osa projektiorganisaatiota? Miten laaditaan projektisalkusta rekisteriseloste? Miten projektisalkku on osana organisaation tietotilinpäätöstä?
Yleistä EU-tietosuojasta Laki hyväksyttiin keväällä 2016, ja sitä ryhdytään soveltamaan täysimääräisesti kahden vuoden siirtymäajan jälkeen 25.5.2018. Silloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista sanktion uhalla. Vastuu on aina organisaatiolla itsellään eikä sitä voi ulkoistaa. Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, tulisi sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen ulkoistettu palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys. Ei ole riittävää, että rekisterinpitäjä noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa (esim. rekisterit sisältävä sovellussalkku, projektisalkku ja palvelusalkku). Tapa osoittaa tämä on toteuttaa vapaaehtoinen tietotilinpäätös josta käy ilmi mm. lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen ja eheys ja luottamuksellisuus. tietosuoja.fi
Yleisesti EU-tietosuojasta ja salkunhallinnasta Salkunhallinnan avulla voidaan tuoda EU-tietosuoja osaksi organisaation arkea ja hyvää yrityskulttuuria. Tietosuoja on koko organisaation asia eikä vain lakimiesten, tietosuojavastaavien tai tilintarkastajien asia. Salkunhallinta tuo järjestelmällistä otetta ja suunnitelmallisuutta henkilötietojen hallintaan ja tukee toimeenpanon seurantaa (esim. tietosuojan mittaamista). Salkunhallinta on mm. tilintarkastajalle ja muille tarkastajille konkreettinen näyttö hyvästä tietosuojariskien hallinnasta, tunnistamisesta ja varautumisesta. Tietosuojan periaatteet, ohjeistukset ja jatkuva raportointi ovat osana salkunsalkunhallinnan ohjeistusta. Kun tietosuojaa ohjeistetaan ja dokumentoidaan voidaan hyödyntää keskitettyä salkunhallinnan tietokantaa.
EU-tietosuojasta ja projektisalkusta Projektisalkku tekee näkyväksi mikäli jo projektin aikana on tarve käsitellä henkilötietoja ja jos niin miksi (viit. Rekisteröity henkilö on projektin aikana osallinen sidosryhmänä tai resurssina viit. asiakas tai työsuhde perustelu) Projektikortti voi sisältää yhteenvedon projektin EU-tietosuojasta ja sen vaatimuksesta ko. projektiin Projektin riskienhallintaan voidaan sisällyttää tietosuojariskit sekä osana projektiriskejä tai lopputuloksen riskejä. Projektin priorisointiin voidaan lausua EU-tietosuoja kytkentä ja siten käsitellä eri prioriteetillä EU-tietosuojan vaatimukset sisältävät projektit. Projektisuunnitelman tulee sisältää tehtäviä joilla varmistetaan ja osoitetaan näyttö, että jo projektivaiheessa tietosuojakysymykset ovat esillä ja niitä aktiivisesti käsitelty. EU-tietosuojasta voidaan tehdä tietomalliin erillinen tehtäväluokka esim. GDPRmilestone tai GDPR Task jolloin näiden mukaan ohjausryhmä ja projektipäällikkö voi varmistua, että riittävät tehtävät on tehty. EU-tietosuojan tarkastuspisteet ja tehtävät voivat siis olla projektisalkkussa oma valmis pohjansa joka aktivoidaan projekteihin joissa EU-tietosuojaan on kytkentä.
Ohjausryhmän rooli EU-tietosuojaan liittyen Ohjausryhmän tehtävänä on varmistaa, että EU-tietosuojaan liittyvä vaatimustenmukaisuus on tiedostettu ja huomioitu osana päätöksentekoa jokaisesta projektista. Huomioidaan, että projektin lopputuloksena voi syntyä esim. tuote, palvelu tai sovellus jonka EU-tietosuojaan liittyvien kontrollien rakentaminen on projektin vastuulla. Vastaavasti on voitu määritellä, että EU-tietosuojavastuu alkaa projektin lopputuloksen hyödyntämisvaiheessa jolloin projektin omistajalla on keskeinen rooli. Tietosuojavaatimuksen täyttäminen ei kuulu silloin projektin budjettiin. Projekti voi tehdä muutokset jo olemassa olevaan tuotteeseen, palveluun tai vaikka sovellukseen johon EU-tietosuoja liittyy. Mahdollinen muutos voi muuttaa henkilötiedon käsittelyn luonnetta, käyttötarkoitusta tai edellyttää rekisteriin muutosta tai uutta lupaa rekisteröidyltä henkilöltä. Onko mahdollisen luvan hakeminen rekisteröidyltä projektin vastuulla vai aloittaako esim. uudistettu palvelu käynnistyessään lupaprosessin tarvitsemaansa rekisteriin? Mitä jos projektiorganisaatio on juridisesti eri kuin lopputulosta hyödyntävä ja rekisteristä jatkossa vastaava organisaatio? Hyvä huomioida, että tietosuojasta sopimiseen on varattava projekteissa jatkossa aikaa ellei tietosuojakäytännöt ole jo vakiintunut osa projektityötä ja päätöksentekoa. Tietosuoja on tärkeä vastuukysymys joka on sisäistettävä ennen projektin aloituspäätöstä.
EU-tietosuojasta ja projektisalkusta Projektin edistymisraporttiin voidaan nostaa tietosuoja omaksi kohdakseen sanalliseen tulkintaan tai tarkastuspisteiksi (milestones) jotka tämän tarkastus on vastuutetulle esim. tietosuojavastaavalle. Projektin loppuraportti voi sisältää todisteen, että suunnitelman mukaiset tietosuojatehtävät on suoritettu suunnitelman mukaisesti ja EU-tietosuojaa ei ole laiminlyöty. Projekti päättyy vasta kun nämä tehtävät on suoritettu. Projektin jälkiarvioinnissa voidaan myös huomioida tietosuoja ja projektin lopputuloksesta riippuen voidaan raportoida todistus miten tietosuoja on jalkautettu esim. osaksi uutta palvelua tai sovellusta. Tärkeä varmistaa tietosuojavastuiden siirtyminen projektilta sen lopputulokselle ja vastaanottavalle omistajalle. Esim. päätetään miten projektilta siirretään mm. testiympäristö jossa osana testausta tarvitaan henkilötietoja. Projektin vastaanottanut tuleva rekisterinpitäjä hakee tarvittaessa rekisteröidyltä luvan tietojen käyttöön myös testiympäristössä.
Onko projektissani EU-tietosuojan mukainen velvoite? 1. Hyvä lähtökohta on jos projektin aikana tai sen lopputulos käsittelee henkilötietoja täytyy EU-tietosuojan vaatimukset aina arvioida. 2. On hyvä, että projektit joihin liittyy riippuvuus henkilötietoihin johdetaan sovitulla tavalla. Luodaan politiikka mm. projektin päätöksentekoon, projektin rooleihin, projektin hyväksyntäpisteisiin, ohjausryhmätyöhön, muistiorakenteeseen ja riskienhallintaan. 3. Tietosuojavastaava tulee olla rooli joka on mukana projektin katselmoinnissa mutta sama henkilö ei välttämättä voi olla projektin resurssina jotta voi tehdä riippumattoman tehtäväänsä tietosuojavastaavana. Tietosuojavastaavat työparina voisivat katselmoida ja osallistua ristikkäin eri projekteihin. 4. Tietosuojavastaava voi tuottaa vastaavan palvelun projektille kuin esim. IT-arkkitehti, kontrolleri, IT-tarkastaja tai lakimies. Arkkitehti osallistuu kun projektilla on merkitystä kokonaisarkkitehtuuriin, talouskontrolleri kun kyseessä on investointiprojekti tai lakimies jos projektiin liittyy vaikka hankintoja tai kilpailutusta jne. Tietosuojavastaava tuottaa arvon silloin kun projektiin liittyy EU-henkilötietoja. 5. Muista olla tarkkana ketterien projektien kanssa ja huolehdi, että myös niihin rakennetaan selkeät kontrollit EU-tietosuojan varmistamiseksi.
Esimerkki salkun EU-tietosuojaohjeistuksesta
Tietosuoja osana projektisalkkua (ISO29190)
Tietotilinpäätöksen esimerkki raportit
Kiitos mielenkiinnosta! Lue lisää: www.thinkingportfolio.com Oletko kiinnostunut Thinking Portfolio Avec Kehittämisverkostosta? Tule osastollemme käymään niin keskustellaan lisää eri RoundTable teemoista!