11. kesäkuuta 2024 | Max Atallah

Tietosuoja

GDPR ja tietosuoja-auditointi

Tietosuoja-auditointi tarkoittaa lyhyesti selitettynä yrityksen tietosuojan tarkistamista.

Tietosuoja-auditointi on välttämätön osa kaikkien yritysten tietosuojaa, sillä se on yksi tärkeimpiä keinoja toteuttaa yleisen tietosuoja-asetuksen (GDPR) osoitusvelvollisuuden periaatetta. Tietosuojan auditointi on siten yksi yrityksen lakisääteisistä velvoitteista.

Tässä artikkelissa paneudumme tietosuoja-auditointiin ja pyrimme käytännön tasolla selittämään, mistä siinä on oikein kyse.

Mitä on GDPR- ja tietosuoja-auditointi?

Tietosuoja-auditoinnissa arvioidaan yrityksen tietosuojan lainmukaisuutta ja ajantasaisuutta. Tällöin tarkastellaan yrityksen nykyisiä tietosuojatoimia, ja verrataan niitä lainsäädännön vaatimuksiin sekä yrityksen henkilötietojen käsittelyn nykytilaan. Tietosuojatoimilla tarkoitetaan tässä yhteydessä kaikkia keinoja, joilla pyritään noudattamaan tietosuojalainsäädäntöä (esim. tietosuojadokumentaatio ja tietosuojakoulutusten järjestäminen).

Tietosuoja-auditoinnin sisältö on riippuvainen auditoitavan yrityksen tietosuojatarpeista. Yleisluonteisesti voidaan kuitenkin todeta, että tietosuoja-auditoinnissa:

  • tarkastetaan auditoitavan yrityksen tietosuojadokumentaatio,
  • tunnistetaan ja korjataan tai minimoidaan yrityksen tietosuojapuutteet,
  • tarvittaessa päivitetään tai ohjeistetaan päivittämään tietosuojatoimia ja
  • seurataan ja mitataan auditoinnin tuloksia.

Täten yritys saa tietosuoja-auditoinnilla tietoa mm. siitä:

  • mitkä sen tietosuojatoimista ovat lainmukaisia tai lainvastaisia,
  • mitkä sen tietosuojatoimista ovat ajantasaisia tai vanhentuneita,
  • miten hyvin sen nykyiset tietosuojatoimet on pantu täytäntöön ja
  • mitä uusia tietosuojatoimia sen tulisi huomioida.

Ilman tietosuoja-auditoinnin suorittamista yrityksen on hankala muuttaa tai ottaa käyttöön siltä vaadittavia tietosuojatoimia.

Ketkä voivat toteuttaa tietosuoja-auditoinnin?

Tietosuoja-auditoinnin voivat toteuttaa poikkeuksetta seuraavat kolme (3) eri osapuolta:

1) Ulkopuolisen toteuttama tietosuoja-auditointi: Ulkopuolisen toteuttaman tietosuoja-auditoinnin toteuttaa siis yrityksen ulkopuolinen henkilö. Tällöin on kiinnitettävä huomiota siihen, että auditoija on tietosuoja-asiantuntija, sillä muutoin auditoinnin tulokset ja merkitys voidaan perustellusti kyseenalaistaa. Ulkopuolisen henkilön valinnassa kannattaa kiinnittää huomiota esim. IAPP:n myöntämiin tietosuojasertifikaatteihin, jotka osoittavat sertifikaatin haltijoiden todennettua osaamista tietosuojasta, sillä tällä voi olla valtava merkitys esim. viranomaisten näkökulmasta. IAPP:n myöntämää eurooppalaista tietosuojasertifikaattia kutsutaan CIPP/E-sertifikaatiksi. Nyrkkisääntönä voidaan todeta, että CIPP/E-sertifikaatin haltijan toteuttamalla tietosuoja-auditoinnilla ollaan melko selvillä vesillä.

2) Sisäisesti toteutettu tietosuoja-auditointi: Sisäisellä tietosuoja-auditoinnilla tarkoitetaan yrityksen sisäisesti toteuttamaa tietosuojan auditointia. Käytännössä siis yrityksen henkilöstö suorittaa itse yrityksen tietosuojan auditoinnin. Sisäisesti toteutetulla auditoinnilla ei ole osoitusvelvollisuuden periaatteen toteuttamisen kannalta yhtä vahvaa vaikutusta kuin ulkopuolisen toteuttamalla auditoinnilla, sillä sisäisesti toteutettua auditointia ei voi koskaan toteuttaa riippumattomasti, toisin kuin ulkopuolisen toteuttamaa auditointia. Sisäisesti toteutettu auditointi on kuitenkin edullisempaa, sillä siinä ei tarvitse erikseen palkata ulkopuolista asiantuntijaa. Onkin suositeltavaa, että molempia auditteja hyödynnetään sopivissa määrin.

3) Viranomaisen toteuttama tietosuoja-auditointi: Viranomaisen toteuttamat tietosuoja-auditoinnit voidaan jakaa käytännössä kahteen kategoriaan – viranomaisen käynnistämään auditointiin tai yrityksen käynnistämään auditointiin. Viranomaisen käynnistämässä auditoinnissa on käytännössä kyse siitä, että viranomainen toteuttaa velvollisuuttaan valvontaviranomaisena käynnistämällä tietyn yrityksen auditoinnin. Tällöin viranomainen valitsee auditoitavan yrityksen joko laiminlyönnin tai sen epäilyn seurauksena taikka sattumanvaraisesti. Tällainen auditointi voi myös herkästi johtaa sanktioihin. Yrityksen itsensä käynnistämä, mutta viranomaisen toteuttama tietosuoja-auditointi taas toimii ulkopuolisen toteuttaman tietosuoja-auditoinnin tavoin, ja siinä yritys itse pyrkii selvittämään noudattaako se tietosuojalainsäädäntöä vai ei. Suomen viranomaiset eivät (ainakaan vielä) tarjoa tällaista palvelua.

Tietosuojan auditointi – muistilista yrityksille

Alla on vielä lyhyt muistilista tämän artikkelin ydinseikoista:

  • tietosuojan auditointi on jokaisen yrityksen lakisääteinen velvoite,
  • tietosuojan auditoinnilla yritys voi arvioida sen tietosuojan lainmukaisuutta,
  • tietosuojan auditoinnilla yritys voi osoittaa, että se noudattaa tietosuojalainsäädäntöä ja
  • yrityksen tietosuoja on hyvä auditoida ulkopuolisen tietosuoja-asiantuntijan toimesta vähintään kerran vuodessa.

Mikäli yrityksesi ei ole vielä auditoinut sen tietosuojaa, avustamme teitä mielellämme teidän tietosuojanne auditoinnissa! Näin voitte varmistaa, että tietosuojanne on asianmukaisesti järjestetty.

Nordic LawWeb3- ja Fintech-oikeuden pioneeri