Osoitusvelvollisuus, ai siis mitenkä?

Pinja Kimari

Tietosuoja-asetuksen lähtökohta on henkilötietojen käsittelyn periaatteet. Sähkömarkkinalaki antaa oikeutuksen markkinatoimijoille tiedonvaihtoon liittyvää toimintaa harjoittaessaan käsitellä henkilötietoja. Hyvä niin. Käsitelleessään henkilötietoja rekisterinpitäjän ominaisuudessa on rekisterinpitäjän kuitenkin pystyttävä osoittamaan, että se noudattaa tietosuoja-asetuksessa määritettyä periaatteita. Siis miten osoittamaan?

Eheys ja luottamuksellisuus

Sähkömarkkinalaki edellyttää sähköalan yrityksiä huolehtimaan asianmukaisesta tietoturvan tasosta. Tälle ei ole kuitenkaan yksikään viranomainen asettanut tarkempaa mittapuuta, mikä on asianmukainen? Mikä on asianmukainen taso monikansallisella toimialla, tai pienellä palveluyrityksellä? Asianmukaisuus liittyy niin läheisesti käsiteltävän tiedon laatuun ja määrään, että jokaisen toimijan on tämä taso itse määriteltävä.

On kuitenkin huomattava, että lainsäätäjä on suositellut standardien noudattamista. Noudatettavia standardeja ei ole kuitenkaan nimetty, edes EDPB Euroopan tietosuojaneuvoston toimesta – miten tällaisessa tilanteessa sitten voidaan osoittaa asetuksen noudattamista? Tietoturvaan ja laatuun liittyviä sertifikaatteja on olemassa, ja niitä voitaneen käyttää ainakin osin osoittamaan toiminnan luottamuksellisuutta.

Datahubin osalta tietojärjestelmään tehdään tietoturvatestausta, sekä sisäisesti järjestelmäkehittäjän toimesta, että täysin markkinan ulkopuolisen tahon toimesta. Näiden suorittaminen on suunniteltu ja suunnitelmat dokumentoitu. Testausten tulokset dokumentoidaan ja havaintojen kriittisyys arvioidaan ja niille tehdään korjaussuunnitelma. Tällä tavoin datahubin osalta voidaan tarvittaessa osoittaa testausraportein ja testitapausten turvin viranomaiselle, että järjestelmän tietoturva on asianmukaisella tasolla. Nämä voidaan lukea teknisiksi suojakeinoiksi.  Edellä mainittujen lisäksi, on Fingridille myönnetty yritysturvallisuustodistus Puolustusvoimien toimesta, jonka ylläpitoon Fingrid on sitoutunut.

Organisatoristen (onpa sanahirviö ) suojakeinojen dokumentointi katetaan kuvaamalla mm. prosessit ja käyttövaltuushallinta.  Käyttövaltuushallinnan osalta tullaan pohtimaan missä määrin kenenkin Datahubissa työskentelevän on tarpeen nähdä tai käsitellä järjestelmässä olevia henkilötietoja. Datahub operaattorilla tulee olemaan rooleja, jotka eivät käsittele henkilötietoja, eikä heille tällöin myöskään tulla tarpeettomasti luoman sellaisia tunnuksia joilla henkilötietoja pääsisi katsomaan tai käsittelemään. Samalla tavalla jokaisen datahubiin kytkeytyvän organisaation tulee pohtia, ketkä työnsä puolesta käsittelevät henkilötietoja. Osoitusvelvollisuuden näkökulmasta voidaan ajatella kirjattavan esim. toimenkuva-tasolla liittyykö siihen henkilötietojen käsittelyä, näin ollaan jälleen pohdittu käyttäjärooleja ja pääsyä tietoihin.

Koska datahub on Suomessa ensimmäinen laatuaan, olemme käynnistäneet vaikutusten arviointiin liittyvän työn. Osana tätä havaitsimme, että datahubin suurimmat tietosuojariskit tulevat itse asiassa datahubiin kytkeytyviltä toimijoilta. Tiedot datahub- järjestelmässä on alustavien auditointitulosten valossa hyvin suojattu, mutta miten on markkinaosapuolten järjestelmien laita?  Miten te aiotte osoittaa toimivanne asetuksen mukaisesti?