PWC Uutishuone

Miksi jokaisen yrityksen tulisi teettää tietosuoja-audit?

Tietosuoja-audit on erinomainen työkalu yrityksille selvittää oman tietosuojadokumentaation ja -käytäntöjen tila. Auditin avulla voi myös varmistua riittävästä tietosuojan tasosta ja samalla lakisääteisen osoitusvelvollisuuden täyttämisestä. Havaitsemalla mahdolliset tietosuojapuutteet ajoissa yritys paitsi ennaltaehkäisee sitä koskevat taloudelliset seuraamukset, myös tietoturvaloukkausten syntymisen sekä näiden aiheuttaman mainehaitan.

Vaikka EU:n yleinen tietosuoja-asetus on ollut voimassa jo lähestulkoon kolme vuotta, osoittavat suomalaisille yrityksille annetut huomautukset ja sakot puutteellisesta tietosuojasta sen, että yritysten toiminnassa on yhä parantamisen varaa. Monissa yrityksissä tietosuoja-asiat on saatettu hoitaa kerran kuntoon, mutta jälkikäteinen seuranta ja toimien mukauttaminen muuttuneisiin olosuhteisiin on unohtunut. 

Mikä on tietosuoja-audit?

Tietosuoja-auditilla tarkoitetaan yrityksen sisäisen tietosuojan ja -turvan tilaa koskevaa tarkastusta. Tietosuoja-auditin tarkoituksena on kuvata ja arvioida yrityksen tietosuojadokumentaatiota, sen voimassa olevia tietosuojakäytänteitä ja -prosesseja sekä niiden vaatimustenmukaisuutta. Tavoitteena on luoda käsitys yrityksen suorittaman henkilötietojen käsittelyn lainmukaisuudesta ja havaita siinä mahdollisesti esiintyviä puutteita. 

Tietosuoja-audit on tärkeä ja välttämätön työkalu jokaiselle yritykselle henkilötietojen käsittelytoimien ja niitä koskevien sisäisten käytänteiden laadun sekä lainmukaisuuden varmistamiseksi. Ilman toiminnan säännöllistä tarkastamista yrityksen voi olla tarpeen tullen hankala täyttää yleisessä tietosuoja-asetuksessa säädettyä osoitusvelvollisuutta eli osoittaa noudattavansa ko. lainsäädäntöä.

Mistä tietosuoja-audit koostuu?

Vastoin yleistä käsitystä tietosuoja-auditointi on koko yritystä ja sen eri organisaatiotasoja koskeva yhteinen projekti. Tietosuoja-auditointia ei tule ajatella vain yksinomaan lainsäädännöllisenä tai yrityksen IT-järjestelmiä tukevana harjoituksena, vaan siitä saatavat hyödyt ohjaavat koko organisaatiota. Täysimääräisesti toteutuakseen vaatii tietosuoja-auditointi yhteistyötä ja avointa vuoropuhelua organisaation eri tasojen välillä. 

Tietosuoja-audit voidaan jakaa viiteen päävaiheeseen: 

  1. Olemassa olevien tietosuojaa koskevien asiakirjojen ja muun dokumentaation läpikäyminen
  2. Yrityksen tietosuojaan ja -turvaan liittyvien avainhenkilöiden haastattelu
  3. Tietosuojan nykytilaa koskevan raportin laatiminen
  4. Korjaavien toimenpiteiden ja mahdollisten uusien toimintatapojen jalkauttaminen organisaatioon
  5. Tietosuojaa koskevien toimenpiteiden ylläpito ja jatkuva seuranta. 

Riippuen yrityksen tahdosta, audittiin voidaan myös sisällyttää muita elementtejä kuten IT-toimintojen arvioiminen tietoturvanäkökulmasta tai tietosuojaan liittyvien prosessien simuloitu testaus. 

Keiden tulisi tehdä tietosuoja-audit?

Tietosuoja-audit ei kosketa vain tietyntyyppisiä tai tietyn kokoluokan yrityksiä, vaan jokaisen yrityksen tulisi tehdä tietosuoja-audit omista henkilötietojen käsittelyyn liittyvistä toimistaan. Sisäiset tarkastukset ja auditoinnit sekä niiden pohjalta syntyvät dokumentaatio toimivat tietosuoja-asetuksen tarkoittaman rekisterinpitäjän osoitusvelvollisuuden tukena ja näin ollen ne ovat osa yrityksen lakisääteisiä velvoitteita.

Yritys voi tehdä tietosuoja-auditin sisäisesti tai vaihtoehtoisesti käyttää apunaan ulkopuolista asiantuntijaa. Jälkimmäinen on useissa tilanteissa yrityksen sisäistä auditointia suositeltavampi vaihtoehto, sillä se mahdollistaa täysin riippumattoman asiantuntijan arvion yrityksen tietosuojan tilasta. Kysymys siitä, kannattaako tietosuoja-audit toteuttaa yrityksessä sisäisesti vai ulkopuolisen asiantuntijan toimesta riippuu toki pitkälti auditoinnin lähtökohdista ja tavoiteltavasta lopputulemasta.

Milloin tietosuoja-audit tulisi tehdä?

Samoin kuin tietosuojasta huolehtiminen, myös sitä koskevat auditoinnit vaativat jatkuvaa tarkastelua ja seurantaa. Huolimatta siitä, kuinka hyvin tietosuojasta on huolehdittu organisaatiossa, on tietosuoja-audit tärkeässä roolissa mm. riskienhallinnan ja muiden toimintojen kehittämisessä ja eteenpäin viemisessä laaja-alaisesti eri yksiköissä.

Tarve teettää tietosuoja-audit saattaa toisinaan nousta myös yrityksen sopimussuhteissa.

Tänä päivänä on hyvin tavanomaista, että yritysten välisissä henkilötietojen käsittelyä koskevat sopimukset (ns. data processing agreements) sisältävät ehtoja, joiden mukaisesti toisella yrityksellä on oikeus teettää sopimuskumppania koskevia auditointeja kuten tarkastuksia, joilla varmistetaan sopimuskumppanin noudattavan tietojenkäsittelyä koskevia sopimusehtoja. 

Tietosuoja-audit on myös mahdollista tehdä osana laajempaa lainmukaisuustarkastusta (eli ns. ”compliance audit”) mutta tällöin on todennäköistä, että tietosuojan tason selvittäminen jää yleisemmälle tasolle. Se voi kuitenkin toimia suuntaa-antavana tietona siitä, kuinka suurella priorisoinnilla varsinainen tietosuoja-audit tulisi suorittaa. 

Mitä hyötyjä tietosuoja-auditin tekemisestä on?

Tietosuoja-auditin tekeminen hyödyttää yritystä monilla eri tavoin, joista alla on listattuna muutamia esimerkkejä.

Tietosuoja-audit

  • auttaa ymmärtämään, missä yritys on tietosuojan osalta ja kuinka hyvin tietosuojaa koskevat vaatimukset on todellisuudessa jalkautettu organisaatioon.
  • auttaa haastatteluiden avulla luomaan käsityksen siitä, miten eri organisaatiotasot kokevat tietosuojaa koskevien käytänteiden toteutuksen osana liiketoimintaa.
  • auttaa tunnistamaan mahdolliset puutteet ja kehittämiskohteet tietosuojan osalta.
  • auttaa vähentämään kustannuksia ja jakamaan resursseja tehokkaammin, kun ymmärretään yrityksen nykytila ja nähdään, mihin suuntaan tietosuoja-asioita tulisi viedä tai keskittää.
  • auttaa laadittavan dokumentaation ohella jokaista yritystä koskevan osoitusvelvollisuuden toteuttamisessa.
  • auttaa lisäämään luottamusta ja läpinäkyvyyttä asiakkaiden ja muiden sidosryhmien suuntaan.
  • auttaa yritystä lopulta keskittymään ydinliiketoiminnan kehittämiseen, kun mahdolliset riskit ja puutteet on tunnistettu ja niihin on reagoitu. 


PwC:llä on pitkä ja vankka kokemus erilaisten tietosuoja-auditien tekemisessä. Suoritamme auditit aina läheisessä yhteistyössä asiakasyritystemme kanssa. Haluamme varmistaa, että asiakkaamme voivat auditimme jälkeen ylläpitää ja jatkokehittää tietosuojadokumentaatiotansa ja -toimintojansa. PwC-ketjun kansainvälisen verkoston avulla myös vaativat rajat ylittävät tietosuojahankkeet on mahdollista toteuttaa asiakkaan kannalta tehokkaasti ja keskitetysti.