tietosuoja Archives

Turvallisuus sisäänrakennettuna

Tietoturva-asetuksen vaatimus sisäänrakennetusta turvallisuudesta tulisi olla selvä kaikille, jotka jollain tavalla suunnittelevat henkilötietojen käsittelyä. Tämä vaatimus ei koske ainoastaan tietojärjestelmien kehittämistä. Se tulisi ottaa huomioon aina valittaessa tapaa, jolla henkilötietoja kerätään, käsitellään ja säilytetään. Rekisterinpitäjän pitää aina myös pystyä osoittamaan, että tietojen käsittely on tietosuoja-asetuksen mukaista.

Jos esimerkiksi suunnitellaan markkinointitutkimusta pilvipalvelun avulla, pitää tarkasti selvittää, soveltuuko palvelu niiden tietojen käsittelyyn, joita halutaan kerätä. Tähän sisältyy kerättävien tietojen käsittelyperusteen määrittely ja riskien arviointi. Samalla tulee selvittää mm. palveluntuottajan kanssa tehtävä sopimus sekä missä tietoja säilytetään ja kuinka kauan.

Kohteiden informointi

Tietosuoja-asetukseen sisältyy velvoite informoida tietojen kohdehenkilöä mm. Siitä, mihin tarkoitukseen tietoja kerätään, mutta myös niiden käsittelytavoista, tietoturvallisuuden varmistamisesta ja säilytysajoista. Tämän velvoitteen täyttämiseen ei välttämättä riitä pilvipalvelutuottajan oma tietosuojaseloste, joka on laadittu sen omaan toimintaan tietojenkäsittelijänä, ei rekisterinpitäjänä.

Lisäksi rekisterinpitäjällä tulee olla valmiina prosessit tietopyyntöjen käsittelemiseksi määräajassa. Jos henkilö pyytää kaikki häntä koskevat tiedot, tulee tietopyyntöä toteuttaessa löytää myös mahdollisesti pilvipalvelussa olevat tiedot.

Tietojen keräämistä suunniteltaessa tulee ottaa myös huomioon mahdollisen tietoturvaloukkauksen riski. Pilvipalvelua käyttäessä tulee selvittää, miten tietoturvaloukkauksen sattuessa toimitaan: Kuka vastaa selvittämisestä? Kuinka siitä saadaan tieto ja miten tietoturvaloukkauksesta ilmoitetaan tietosuojaviranomaisille ja tietojen kohteille?

EU:n uusi tietosuoja-asetus (GDPR, General Data Protection Regulation) tulee sovellettavaksi 25.5. 2018 alkaen. Tietosuoja-asetuksen tavoitteena on lisätä ihmisten luottamusta ja antaa rekisteröidyille kontrolli itseään koskeviin tietoihin. Ihmisillä on oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä, päästä itseään koskeviin tietoihin, siirtää ne järjestelmästä toiseen, pyytää niiden poistamista sekä rajoittaa niiden käsittelyä. Suuret yritykset ovat jo pitkällä sen vaatimusten toteuttamisessa, mutta pienissä yrityksissä ei välttämättä olla yhtä pitkällä. Onko siis olla huolissaan?

Kyllä ja ei. Yhtäältä monet tietosuoja-asetuksen vaatimukset ovat sisältyneet jo voimassa olevaan tietosuojalainsäädäntöön, mutta tietosuoja-asetus tuo myös uusia vaatimuksia.

Mitä pitäisi tehdä, jotta olisi valmiina tietosuoja-asetuksen tullessa voimaan?

Yritysten tulisi viimeistään nyt tunnistaa, mitä henkilötietoja yrityksessä käsitellään. Näitä ovat sellaiset tiedot, joista yksittäinen henkilö on tunnistettavissa, myös epäsuorasti. Myös yrityksen tietoihin sisältyvät henkilötiedot, esim. yhteyshenkilöt, ovat tietosuojan piirissä.

Jo nykyisen lain puitteissa ei henkilötietoja pitäisi kerätä, käsitellä tai säilytetä enempää, kuin niiden tarkoituksen kannalta on tarpeellista. Henkilötietojen käsittelylle tulee aina olla hyväksyttävä peruste, esimerkiksi sopimuksen täytäntöön paneminen tai lakisääteisen velvoitteen noudattaminen. Tietojen käsittely voi perustua myös henkilön suostumukseen, mutta suostumus on saatava suostumuksen ilmaisevalla toimella. Suostumuksen voi myös aina peruuttaa. Yrityksen tulee myös miettiä valmiiksi menettelytavat, joilla henkilötiedot, joiden säilyttämiseen ei ole enää perustetta, voidaan poistaa.

Rekisteröidyllä on myös oikeus mm. saada nähtäväksi itseään koskevat tiedot, vaatia niihin oikaisua ja rajoittaa niiden käyttöä. Yrityksen on siis varauduttava edeltä käsin ja laadittava menettelytavat, joilla nämä oikeudet voidaan toteuttaa.

Oletusarvoinen turvallisuus henkilötietojen käsittelyssä

Henkilötietojen käsittelyssä tulee huolehtia riittävän tietoturvallisuuden ylläpitämisestä. Tämä edellyttää riskiperusteista lähestymistä, eli turvatoimenpiteiden tulee olla suhteessa tietoihin kohdistuviin riskeihin ja uhkiin.
Yrityksen on myös pystyttä osoittamaan, että se on huolehtinut henkilötietojen käsittelyn turvallisuudesta. Tämä tarkoittaa, että henkilötietojen käsittelytavat ja turvaamistoimenpiteet pitää dokumentoida. Minimissään tulisi laatia henkilörekistereistä tietosuojaselosteet Tietosuojavaltuutetun ohjeet selosteen laatimiseksi löytyvät täältä. Tieosuojaselosteiden tulee myös olla kaikkien saatavilla.

Jos tietojen käsittelyyn liittyviä tehtäviä on annettu ulkoisen toimittajan, esimerkiksi IT-palveluntarjoajan, tehtäväksi, tämän kanssa on tehtävä kirjallinen sopimus tehtävistä ja vastuista. Tieosuoja-asetus sisältää lukuisia vaatimuksia sopimuksen sisällöstä, kuten henkilötietojen käsittely ainoastaan rekisterinpitäjän ohjeiden mukaan.

Redoubt

Avainsana-arkisto: tietosuoja