Kyberturvallisuuslain täytäntöönpano

Hallituksen esitys 57/2024 eduskunnalle kyberturvallisuusdirektiivin (NIS2-direktiivin) täytäntöönpanoa koskevaksi lainsäädännöksi annettiin eduskunnalle 23.5.2024.

Tasavallan presidentti vahvisti lain perjantaina 4.4.2025 ja kyberturvallisuuslaki (124/20259) tuli voimaan 8.4.2025.

Julkishallinnon osalta direktiivi pannaan täytäntöön kyberturvallisuuslailla ja muutoksilla (tiedonhallintalain uusi 4 a luku) julkisen hallinnon tiedonhallinnasta annettuun lakiin.

Soveltamisalaan kuuluvia toimijoita edellytetään ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa 8.5.2025 mennessä (1 kk siirtymäaika).

Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkoivat lain voimaantulosta.

1.   Toimijoiden velvoitteet

1. Toimijan on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä. Riskienhallintatoimenpiteiden toteuttaminen ja dokumentointi riskienhallinnan toimintamalliin, johdon vastuu riskienhallinnasta ja sen toteuttamisen valvonnasta.
2. Velvollisuus ilmoittaa merkittävästä poikkeamasta valvovalle viranomaiselle sekä ilmoittaa merkittävästä poikkeamasta palvelujen vastaanottajille ja yleisölle sekä ilmoittaa merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujen vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa.
3. Ilmoituksen voi tehdä Traficomin Kyberturvallisuuskeskuksen NIS2-ilmoitussovelluksella.

2.   Toimijaksi ilmoittautuminen

Toimintaa koskeva ilmoitus valvovalle viranomaiselle. Tarkista laista oletko NIS2-toimija. Toimijoiden on ilmoitettava oman toimialansa valvovalle viranomaiselle seuraavat tiedot:

1. Toimijan nimi
2. Yhteystiedot, kuten osoite, sähköposti ja puhelinnumero
3. Julkiset IP-osoitealueet
4. Onko toimija keskeinen toimija
5. EU:n jäsenvaltiot, joissa toimija tarjoaa palveluaan
6. Osallistuminen kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn

3.   Merkittävän poikkeaman ilmoittaminen

Kaikkien NIS2 -toimijoiden on aina ilmoitettava merkittävästä poikkeamasta valvovalle viranomaiselle

• 24 h kuluessa ensi-ilmoitus
  • Havainto merkittävästä poikkeamasta
  • Epäilläänkö, että kyseessä on rikos tai vihamielinen teko
  • Rajat ylittävien vaikutusten mahdollisuus
• 72 h kuluessa jatkoilmoitus
  • Arvio poikkeaman laadusta, vakavuudesta ja vaikutuksista
  • Vaarantumisindikaattorit (IOC), jos mahdollista
  • Mahdolliset täydennykset
• Mahdollinen väliraportti
• 1 kk kuluessa loppuraportti
  • Yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista
  • Poikkeaman arveltu aiheuttaja
  • Toimenpiteet tilanteen hoitamiseksi
  • Mahdolliset rajat ylittävät vaikutukset

4.   Merkittävä poikkeama

NIS2-direktiivin 23 artiklan 3 kohdan nojalla poikkeama katsotaan merkittäväksi, jos

• on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita; tai
• jos poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

5.   Säädöspohja

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut suosituksen osana keskitetyn yhteyspisteen viranomaisyhteistyötä ja koordinointitehtävää.

Suosituksen taustalla on NIS2-direktiivin riskienhallintavelvoitteiden täsmentäminen ja tulkintakäytäntöjen yhteensovittaminen.

Suositus voi tukea toimijoiden kyberturvallisuuden riskienhallinnan suunnittelua. Suositukseen on koottu tietoa ja käytännön esimerkkejä siitä, millaisia toimenpiteitä laissa säädettyihin vaatimuksiin voi kuulua ja kuvataan erilaisia keinoja, joita valvova viranomainen voi harkintansa ja arvionsa mukaan käyttää ohjaus- ja valvontatehtävissään.

• Valvova viranomainen ratkaisee, millaiset toimenpiteet täyttävät säädetyt vaatimukset kullakin toimialalla.
• Suosituksen mukaisten käytäntöjen toteuttaminen ei takaa sitä, että toimija täyttäisi kansallisen sääntelyn edellyttämät vaatimukset.

6.   Suosituksen sisällöstä

Suositukseen on koottu yleisimmin käytetyt kyberturvallisuuden riskienhallintakeinot.

• Esimerkkejä toteutuksista, joita valvoja viranomainen saattaa kohdata valvonnan yhteydessä.
• Esimerkkejä todennusmenetelmistä ja viittaukset yleisimpiin kansallisiin ja kansainvälisiin viitekehyksiin.

7.   Kyberturvallisuuden riskienhallinnan toimenpiteet

1. Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja toimenpiteiden vaikuttavuuden arviointi.
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet.
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen.
4. Toimitusketjun välittömien toimittajien ja palveluntarjoajien palveluiden yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet ja kyberturvallisuuskäytännöt.
5. Omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen.
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus.
7. Pääsynhallinnan ja todentamisen menettelyt.
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet.
9. Poikkeamien havainnointi ja käsittely.
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muun toiminnan jatkuvuuden hallinta.
11. Perustason tietoturvakäytännöt.
12. Fyysisen ympäristön sekä välttämättömien resurssien varmistaminen.

EVÄSTEET JA NIIDEN SALLITTU KÄYTTÖ

Tietosuojavaltuutetun toimisto antoi 14.5.2021 päätöksen siitä, miten organisaatioiden tulisi pyytää suostumus evästeiden tallentamiseen. Aikaisempien Traficomin ohjeiden mukaan katsottiin, että usein selainasetuksella annettava suostumus on riittävä. Päätöksen mukaan käyttäjä ei voi antaa selainasetuksella suostumusta muihin kuin teknisesti välttämättömiin evästeisiin, eikä ”jatkamalla sivun selailua hyväksyt evästeet” -ilmoituksella.

Vaikka evästeet ovat tietosuojassa vain yksityiskohta, niistä käytävää keskustelua on viime vuosina ollut tietosuojasäännösten muututtua, myös kansallisen ja eurooppalaisen tulkinnan eroavaisuuksien vuoksi.

Päätöksen osalta on huomioitavaa, että mikään säädös ei ole muuttunut eikä mikään oikeusaste ole antanut aiemmasta poikkeavia tulkintoja. Kyseessä on siis yksittäisen viranomaisen tulkinnan muutos. Epäselvyyttä on tuottanut toimivaltuuksien jakautuminen Suomessa, tietosuojavaltuutettu valvoo henkilötietojen käsittelyä, joita voidaan kerätä mm. evästeiden kautta, mutta evästeiden teknisen asentamisen lainmukaisuus on Traficomin toimivallassa. Päätöksen myötä ohje vastaa melko hyvin niitä tulkintoja, joita muissa EU-maissa on tehty jo aiemmin samojen asetusten pohjalta. Mitään siirtymäaikaa ei ole, joten näin olisi pitänyt toimia jo vuosia.

Yleinen tietosuoja-asetus (2016/679) sisältää edellytykset sille, milloin henkilön antamaa suostumusta voidaan pitää pätevänä: suostumus on annettava aktiivisella toimella, että se on vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu henkilötietojen käsittelyyn, eikä sitä voi antaa esimerkiksi vaikenemalla, valmiiksi rastitetulla ruuduilla tai jättää jokin toimi toteuttamatta. Tahdonilmaisu voisi olla, että käyttäjä rastittaa itse ruudun vieraillessaan verkkosivustolla tai valitsee itse asetukset palvelussa. Suostumuksen peruuttaminen tulee olla myös yhtä helppoa kuin sen antaminen, eikä peruuttamisesta saa aiheutua haittaa.

Jos sivustolla käytetään kolmansien osapuolien evästeitä mm. mainonnan kohdentamiseksi tai palveluiden kehittämiseksi, käyttäjälle tulee tarjota aito tilaisuus valita vapaasti, hyväksyykö hän tarjotut ehdot vai hylkääkö ne, sivuston ylläpitäjän omassa palvelussa, eikä vierailemalla kunkin kumppanin verkkosivuilla erikseen ja kieltää evästeiden käyttö jokaisen kohdalta erikseen.

Nyt olisi korkea aika tarkastella omien www-sivujen ja mobiiliapplikaatioiden käytäntöjä. Vaikka yleisesti puhutaankin vain evästeistä, nämä säännöt koskevat kaikkea käyttäjän päätelaitteelle tallennettavia tietoja. Toiminnan kannalta teknisesti välttämättömiä evästeitä saa edelleen asettaa, mutta esimerkiksi analytiikkaan ja mainontaan liittyvät vaativat aina suostumuksen.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.

PUHELIMITSE TAPAHTUVA TIETOJENKALASTELU

Ilmiöstä käytetään myös englanninkielistä nimitystä vishing.  Vishing tulee sanoista voice phishing, eli kyse on huijauspuheluista. Vishing eroaa perinteisestä ja esimerkiksi sähköpostin avulla tapahtuvasta phishingistä siinä, että tietoja kalastellaan nimenomaan soittamalla uhrin puhelimeen. Vastaaja manipuloidaan luovuttamaan henkilökohtaisia tietojaan, joilla rikollinen sitten tekee rahaa.

Suomessa esiintyneet teknisen tuen huijauspuhelut näyttävät saaneen uutta vauhtia. Huijauspuhelu voi tulla mistä numerosta tahansa, myös suomalaisesta. Soittajan numerot ovat väärennettyjä, joten niiden estämisestä ei ole apua.

Useissa tapauksissa Intialaisittain englantia puhuva soittaja on kertonut edustavansa Microsoftin teknistä tukea – Windows technical department.

Puheluita saattaa tulla esim. suomalaisesta 045-numerosta, brittiläisestä +44-numerosta ja marokkolaisesta +212-numerosta. Numeron alkuperään ei voi luottaa, sillä ne ovat usein väärennettyjä. Näytöllä voi myös lukea, että numero on tuntematon. Erityisen ikävä huijaustapa on sellainen, jossa puhelinnumero on väärennetty muistuttamaan aitoa puhelinnumeroa. Tällöin huijari saattaa esiintyä luotettavana tahona ja pyrkii luottamuksen kautta saamaan uhrista tietoja ja rikollista hyötyä. Esim. muka pankista soittava huijari pyytää jollain verukkeella uhria kertomaan verkkopankkitunnuksensa.

Huijauksen kaava on yleensä samanlainen. Soittaja väittää, että uhrin tietokoneella on tietoturvaongelma ja pyytää avaamaan koneen korjatakseen sen. Soittaja vetoaa kiireeseen ja haluaa, että tietokoneeseen asennetaan etähallintaohjelma ”avun antamiseksi”. Todellinen tarkoitus on kaapata tietokone sekä onkia käyttäjän arkaluonteisia tietoja ja sitten esimerkiksi kirjautua uhrin pankkitilille rahan varastamista varten tai tehdä bitcoin-ostoksia tämän nimissä.

Soittaja ei aina esiinny Microsoftin nimissä. Huijari voi väittää edustavansa myös esimerkiksi kotimaista teleoperaattoria ja kertoa, että tietosi pitää päivittää esimerkiksi palvelinrikon takia. Kyse on silkasta huijauksesta, sillä operaattorit eivät pyydä mitään tietoja puhelimitse, eivätkä varsinkaan soita minkään laite- tai muun vian takia.

Tiedossa on myös soittoja, joissa puhelin on pirissyt, mutta lakannut pian soimasta. Tähän on kaksi mahdollista selitystä: kyseessä voi olla kalliiksi käyvä takaisinsoittohuijaus. Puhelimeen jää tieto vastaamattomasta puhelusta, jonka tarkoitus on houkutella vastaanottaja soittamaan takaisin tähän ulkomailla olevaan numeroon. Takaisin soittaminen voi tulla kalliiksi, sillä EU-alueen ulkopuolella olevaan puhelinnumeroon soittaminen voi maksaa useita euroja minuutilta, satelliittipuhelinnumeroon soittaminen jopa kymmenen euroa minuutilta tai enemmän. Toinen vaihtoehto on, että kyse on läpi menneestä Microsoft-huijaussoittoja tehtailevasta tietokoneen tekemästä automaattisoitosta, johon ei ole löytynyt huijarien soittokeskuksesta vapaata työntekijää. Tuntemattomasta numerosta tulleeseen puheluun ei kannata soittaa takaisin.

Kyberturvallisuuskeskukselle on raportoitu satoja puhelinnumeroita, joista huijaussoittoja on tullut. Yleisiä numeroita ovat esimerkiksi +35840. +35845. 09-alkuiset numerot tai muiden kotimaisten telealueiden suuntanumerot. Myös yritysnumeroita ja samoja numeroita ilman ulkomaan suuntanumeroa esiintyy paljon.

Jos olet vastannut epämääräiseen puheluun, lyö luuri soittajan korvaan. Rikolliselle ei tarvitse olla kohtelias. Usein nämä huijarifirmat myös opastavat työntekijöitään, kuinka pohjoismaisia uhreja pitää lähestyä, jotta nämä lentävät helpommin lankaan.

Jos konnat saivat pääsyn tietokoneellesi tai pankkitilillesi, soita heti pankkiisi ja tee sen jälkeen rikosilmoitus.

Poista huijarin asentamat etähallintaohjelmat, ja vaihda kaikki sähköpostin, sosiaalisen median ja muiden palveluiden salasanat. Huijarit keräävät muun muassa sosiaalisesta mediasta julkisia tietoja niistä henkiöistä, joille soitetaan.

Suhtaudu epäilevästi kaikkiin yllättäviin puhelinsoittoihin, sähköpostiviesteihin tai vierailuihin, joissa tuntematon henkilö väittää olevansa peräisin luotetusta organisaatiosta.

Älä luovuta tietoja itsestäsi, ellet ole varma henkilön valtuuksista pyytää niitä.

Rajoita sosiaalisessa mediassa jakamasi henkilökohtaisen tiedon määrää. Internet on julkinen tietovaranto, joten jaa vain sellaista tietoa jonka kaikki saavat nähdä.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.

TIEDONHALLINTALAKI

Tiedonhallintalaki astui voimaan 1.1.2020. Toiminnan digitalisointi, tietoturvallisuus ja tiedon jakaminen korostuvat uudessa tiedonhallintalaissa. Tiedonhallintaa koskeva lainsäädäntö on ollut aiemmin hajallaan useassa laissa ja osittain vanhentunutta. Tarvittiin siis yhtenäiset tiedonhallinnan menettelyt toiminnan tehostamiseen ja asiakaspalvelun parantamiseen. Tähän tarpeeseen säädettiin tiedonhallintalaki, joka määrittelee valtakunnalliset periaatteet tietojen käsittelyyn ja tiedonhallinnan kuvaamiseen.

Tavoitteena on, että julkiset palvelut ja toiminta on mahdollista toteuttaa entistä laadukkaammin, tuloksellisemmin ja tehokkaammin laadukkaan tiedonhallinnan tukemana sekä edistää tietosuojaa, tietoturvallisuutta ja tietoaineistojen vastuullista hyödyntämistä ja julkisuusperiaatteen toteutumista sekä edistää tietojärjestelmien ja tietovarantojen yhteen toimivuutta.

Tiedonhallintalain soveltamisalasta on säädetty lain 3 §:ssä, jonka mukaisesti tiedonhallintalakia sovelletaan kunnallisiin viranomaisiin ja kuntaan. Tiedonhallintalaissa viranomaisella tarkoitetaan mm. kunnallista viranomaista, joita ovat valtuusto, kunnanhallitus sekä muut kunnalliset toimielimet, kuten lautakunnat. Tiedonhallintalakia sovelletaan myös yksityisoikeudellisiin organisaatioihin, kuten kunnallisiin osakeyhtiöihin silloin, kun ne hoitavat julkisia hallintotehtäviä. Tiedonhallintalaki koskee tiettyjen vaatimusten osalta myös yksityisiä henkilöitä ja yhteisöjä, silloin kun ne toimivat viranomaisen toimeksiannosta tai lukuun tai jos niiden toimintaan muuten sovelletaan julkisuuslakia.

Kunnan omistama osakeyhtiö joutuu soveltamaan tiedonhallintalakia myös tilanteissa, joissa se toimii kunnan viranomaisen lukuun palveluja tuotettaessa, koska kunnan on huolehdittava, että sille säädetyt velvoitteet toteutetaan myös sen palvelujen tuottamisessa. Se, sovelletaanko tiedonhallintalakia kunnan omistaman yrityksen toimintaan, ratkaistaan yhtiön tehtävien kautta. Pelkkä kunnan omistus ei ole peruste tiedonhallintalain soveltamiselle, vaan se ratkaisee, mitä yhtiö tekee ja missä roolissa.

Kunnossa olevalla tietoturvallisuudella turvataan tietovarannoissa olevien tietojen lainmukainen ja asiallinen käsittely, suojataan asiakkaiden tietoja, mahdollistetaan tietojen saatavuus hyväksyttäviin käyttötarkoituksiin sekä turvataan viranomaisten edellytykset hoitaa lakisääteiset tehtävänsä.

Tietojärjestelmien kehittämistä ei pitäisi nähdä pelkkinä tietotekniikkahankkeina, vaan osana toiminnan ja palvelujen kehittämistä. Siksi uuden lain hengessä on vahva korostus tietojohtamiseen ja laajempaan näkökulmaan kehittämistyössä. Toimintaprosessien ja tiedonhallinnan kokonaisvaltaisen suunnittelun pitäisi olla osa viranomaisen toiminnan suunnittelua ja johtamista osana palvelujen kehittämistä.

Kokonaisarkkitehtuurisuosituksista tiedonhallintamallivelvoitteeseen

Tiedonhallintalaki ei enää suosittele organisaatioita kuvaamaan kokonaisarkkitehtuuria vaan se vaatii tiedonhallintayksiköitä, eli lain piirissä olevia julkishallinnon organisaatioita, joita ovat mm. kunnat, kuntayhtymät ja valtion virastot ja laitokset, toteuttamaan tietyt tiedonhallinnan kuvaukset tiedonhallintamallin muodossa. Tiedonhallintayksikön tehtäviin kuuluu muun muassa suunnitella miten lain vaatimukset toteutetaan, laatia tiedonhallinnan kokonaisuuteen liittyvät ohjeet ja järjestää tarvittavaa koulutusta sekä valvoa lain vaatimusten toteutumista ja ohjeiden noudattamista. Tiedonhallintayksikkö hahmottaa alkuun tiedonhallinnan kokonaiskuvan ja arvioi miltä osin nykytila vastaa näihin vaatimuksiin. Nykytilanarviossa tiedonhallintayksikkö tunnistaa, mistä kaikesta tiedonhallinta koostuu, mitä tietoja sillä on ja kuka niitä käsittelee.

Tiedonhallintalaki asettaa julkishallinnolle mm. tarkennettuja ja täsmennettyjä suunnittelu-, kuvaus- ja tietoturvavelvoitteita. Tiedonhallintayksiköiden on siirtymäajan jälkeen kyettävä tuottamaan julkaisukelpoisia arkkitehtuurikuvauksia ja arvioimaan muutosten vaikutuksia tiedonhallinnan kokonaisuuteen. Näistä jälkimmäinen voidaan toteuttaa tietotilinpäätöksen avulla.

Mitä tiedonhallintalaki tarkoittaa käytännössä julkishallinnon toimijoille? 

1.     Suunnittelu- ja kuvausvelvoitteet täsmentyvät ja tarkentuvat:

Tiedonhallintalaki korvaa kokonaisarkkitehtuurikuvauksia velvoittavan nykyisen lainsäädännön (tietohallintolaki), minkä seurauksena yleinen julkishallintoa koskeva kokonaisarkkitehtuurikuvausten velvoite kumoutuu. Termistä kokonaisarkkitehtuuri on luovuttu, mutta itse kokonaisarkkitehtuurin periaatteet ovat edelleen määriteltynä. Kuvaamisvelvoitteet ovat uudessa laissa konkreettisemmat.

Näiden kuvausten kuvausvastuu tulee kullekin tiedonhallintayksikölle. Velvoitteena on myös, että tietohallinnolle on tarjottava asianmukaiset työvälineet laissa määriteltyjen kuvausten laadintaan ja työvälineiden hankinnassa tulee huomioida se, että kuvaukset on pystyttävä julkaisemaan ja olemassa olevat kuvaukset on koottava yhtenäiseksi kokonaisuudeksi.

Laki edellyttää kuvaamaan seuraavat osa-alueet:

1) Toimintaprosessit

2) Tietovarannot

3) Tietoaineiston arkistointi

4) Tietojärjestelmät

5) Tietoturvallisuustoimenpiteet

Tiedonhallintamalli kuvaa esimerkiksi eri prosessit ja sidokset muihin prosesseihin, tietojärjestelmät ja tietovarannot sekä millä tavoin tietoturvallisuus on toteutettu.

Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin,

4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin;

5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin;

6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin.

Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteen toimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä.

Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.

Edellä kuvatut kohdat 1-5 voidaan esittää tehokkaasti ja kattavasti tietotilinpäätöksellä.

2.     Tietoturvallisuus ja turvallisuusluokittelu:

Tietoaineistojen ja tietojärjestelmien tietoturvallisuuden varmistaminen kuuluu osaksi kaikkien viranomaisten tehtäväkenttää. Jokaisen tiedonhallintayksikön pitää jatkossa seurata oman toimintaympäristönsä tietoturvallisuuden tilaa ja varmistaa kaikkien tietoaineistojen ja -järjestelmien turvallisuus koko niiden elinkaaren ajalta. Salassa pidettävien aineistojen osalta laissa määritellään vaatimuksista salatun tiedonsiirtoyhteyden käyttämisestä ja vastaanottajan tunnistautumisesta.

3.     Tietoaineistojen säilyttäminen ja arkistointi:

Säilytysaikojen määrittelyn yhdenmukaistuu ja arkistoitavien tietoaineistojen tunnistamisen helpottuu. Kaikille tietoaineistoille ja asiakirjoille määritellään säilytysajat, jonka jälkeen ne pitää joko tuhota tai arkistoida tietoturvallisesti.

Siirtymäaika kannattaa käyttää täysimääräisesti hyödyksi ja aloittaa työ ajoissa, sillä tekemistä on paljon.

TOIMINNANOHJAUS KATTAA NYT MYÖS TIETOTURVALLISUUDEN

Talouselämä 11/2019 | Verkkolehti sivu 29

Jotta toimintaa voidaan ohjata, täytyy ymmärtää sen tavoitteet ja keinot niihin pääsemiseksi. Näin on myös tietoturvallisuudessa. Tämän perusajatuksen pohjalta on kehitetty Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™. Menetelmä perustuu prosessien analysointiin ja ottaa kantaa tietoturvallisuuden suunnitteluun, toteutukseen ja hallintaan.

EU:n tietosuoja-asetus pakotti organisaatiot selvittämään ja kuvaamaan henkilötietojen käsittelytapoja. Usein analyysi perustui henkilötietoja sisältävien tietokantojen läpikäyntiin.

”Tietoturvallisuuden Toiminnanohjaus™ lähestyy asiaa organisaation toiminnan luonteen, prosessien ja niille asetettujen tavoitteiden, vaatimusten ja työnkuvien kautta”, kertoo Matti Timonen, yksi Fordione Oy:n perustajista.

”Näin voidaan varmistua siitä, että tarvittavat tietoturvallisuustoiminnot ovat vaatimusten mukaisia ja että ne huomioidaan myös työnkuvissa ja niihin liittyvässä osaamisessa.”

”GDPR-projektit vahvistivat näkemystämme siitä, että tekninen tietoturvallisuus on Suomessa varsin hyvässä kunnossa, mutta hallinnollisella puolella riittää vielä tekemistä”, Timonen jatkaa.

Tämä merkitsee muun muassa jatkuvuudenhallintaa, riskikartoituksia, tietoturvallisuuden jatkuvaa parantamista, hallintomalleja sekä henkilöstön tietoturvallisuustietoisuuden lisäämistä.

Lue koko artikkeli: lataa pdf  tai avaa verkkojulkaisu

Lue lisää tietoturvallisuuden toiminnanohjauksesta

SUOMALAISET EIVÄT LUOTA YRITYKSIIN HENKILÖTIETOJEN KÄSITTELIJÖINÄ

Kun olin nuori mies, näin elokuvan, joka suorastaan räjäytti tajuntani. Merimies, jonka aallot hylkäsivät, oli teoksen nimi. Siinä oli mielestäni kaikkea, mitä teinipoika tarvitsi (säästän teidät kuitenkin sisällön kertomiselta ja annan mielikuvitukselle tilaa). Kehuinkin elokuvaa estoitta ystävilleni. Kysyttäessä mistä se kertoo, kerroin itse jotain hämärää. Elokuvan syvin olemus oli auttamatta peittynyt noiden mieltäni syvästi kutkuttaneiden kohtausten alle. Harmi sinällään, sillä elokuva on omalla karulla tavallaan vallan mainio.

Vastaava hämmennys valtasi mieleni lukiessani Tiedon teettämästä tietosuojaan liittyvästä tutkimuksesta (HS 13.2.2019). Jutun mukaan lähes puolet suomalaista kokee nimenomaa yritykset joko jonkin verran, tai peräti erittäin epäluotettavina henkilötietojen käsittelijöinä. Mitenkäs tämä voi olla mahdollista? Etenkin kun suurin osa suomalaisista yrityksistä kertoo kysyttäessä tehneensä GDPR:n edellyttämiä muutoksia ja kaikki on nyt sen suhteen enemmän kuin kunnossa. Tarkennetaan sen verran, että tuo viimeisin väittämä perustuu osittain tutkimuksiin, mutta ennen kaikkea empiiriseen palautteeseen. Väittämän perusteella on kaiketi pakko uskoa, että asiat ovat todella kunnossa. Vai olisiko sittenkin pienen skeptisyyden paikka? Mitäpä, jos uskoisimmekin englantilaista matemaatikkoa ja filosofia William Kingdon Cliffordia? Hän kun väitti, että on suorastaan moraalitonta uskoa mihinkään ilman riittäviä perusteita.

Haaste ei siis välttämättä ole siinä, etteikö asioita olisi tehty. Varmasti on tehty. Enemmän tai vähemmän, mutta tehty on. Voisiko ongelmaksi siis muodostua suomalainen perisynti, eli vaatimattomuus? Ajatusmalli siitä, että mitä niillä tehdyillä asioilla nyt repostelemaan, kun lainpykälät kerran täytetään. Harmittavasti kapuloita rattaisiin lyö saman tutkimuksen Ruotsissa saadut tulokset. Ne kun ovat perin samansuuntaisia. Ja koska me, jos jotkut, tiedämme, että vaatimattomuus ei välttämättä ole se suurin ruotsalainen perisynti, on syytä siis etsittävä jostain muualta.

Asetuksen yksi olennaisimmista asioista on henkilötietojen käsittelyn läpinäkyvyys. Rekisteröidyn tulee tietää mitä tietoja hänestä on kerätty, miksi näin on tehty, mihin tietoja luovutetaan ja kauanko niitä säilytetään. Omat tiedot tulee päästä myös tarkastamaan ja tietyissä tilanteissa poistamaan. Nyt kun mediat pullistelevat uutisia epämääräisistä tietojen luovutuksista ja tietomurroista ja näiden aiheuttamista murheista, on entistä tärkeämpää, että yksilö todella tunnistaa ja tiedostaa itsestään kerätyt tiedot ja niiden käyttötarkoituksen. Asetuksen minimivaade tämän ehdon täyttämiselle on rekisteröidyn informointilomake. Oikein laadittuna se kyllä, ainakin periaatteessa, kertoo nuo yllä mainitut asiat. Mutta sitten toisaalta, eikös tuo tutkimuksen tulos kerro, että tämä ei tunnu oikein riittävän? Käsittelyyn kun ei selosteista huolimatta luoteta. Tuleekin olla siis vielä avoimempi ja läpinäkyvämpi.

Ennen tietosuoja-asetuksen voimaantuloa Tietosuojavaltuutetun toimisto lanseerasi tietotilinpäätös -konseptin. Sisäiseen ja ulkoiseen käyttöön tarkoitetun raportin, joka kuvaa läpinäkyvästi kaikki organisaation tietovarannot, tietovirrat ja tietojen käsittelyyn liittyvät järjestelmät sekä tietojen käyttötarkoitukset.Lisäksi se ottaa kantaa rekisteröidyn oikeuksiin, tiedon käsittelijöihin, käsittelyyn liittyviin riskeihin, tiedon elinkaareen, sekä sihen, miten tietosuoja ja tietoturva toteutuvat organisaation toiminnassa. Siis ylipäätään kaikkiin niihin asioihin, jotka rekisteröidyn kannalta ovat olennaisia. Tietotilinpäätöksen hienoin puoli on se, että lähtökohtaisesti sitä ei tuoteta kertaluonteisesti, vaan vuosittain osana hyvin hallittua tietoturvallisuutta. Näin varmistutaan, että kaikki vuoden aikana tapahtuneet muutokset huomioidaan ja viestitään rekisteröidyille. Tämä jos mikä tuo läpinäkyvyyttä ja auttaa luomaan luottamusta organisaation henkilötietojen käsittelyyn. Eli tekemään juuri sitä, mikä tuntuu tällä hetkellä olevan hieman kateissa. Olisiko siis nyt aika tuottaa tietotilinpäätös? Ettei vain kävisi, kuten sille elokuvan merimiehelle.

TIETOSUOJALAKI

EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi 25.5.2018 alkaen sisältäen kansallista liikkumavaraa. Kaikkiaan noin 50 asetuksen yksittäistä kohtaa mahdollistaa tai velvoittaa jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa EU:n yleisen tietosuoja-asetuksen mukaiset muutokset toteutetaan tietosuojalailla, joka toimii henkilötietojen käsittelyä koskevana yleislakina. Uusi tietosuojalaki tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsmennetään EU:n yleistä tietosuoja-asetusta ja sitä sovelletaan rinnakkain tietosuoja-asetuksen kanssa sekä se korvaa vanhan henkilötietolain.

Tietosuojavaltuutettu jatkaa valvontaviranomaisena. Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu. Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. Vanha tietosuojalautakunta lakkautettiin uuden lain myötä.

Tietosuojavaltuutetun toimisto. Tietosuojavaltuutetulla on toimisto, jossa on tietosuojavaltuutetun lisäksi kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.

• Tietosuojavaltuutetun toimistossa on viisijäseninen asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Se antaa tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen liittyvistä asioista.
• Tietosuojavaltuutettu voi asettaa yritykselle, yhteisölle tai viranomaiselle uhkasakon tietojen luovuttamista koskevan määräyksensä tehosteeksi. Seuraamusmaksu perustuu tietosuoja-asetukseen.
• Tietosuojavaltuutetun toimistoon perustettiin kaksi apulaistietosuojavaltuutetun virkaa. Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.
• Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama kolmijäseninen seuraamuskollegio voi määrätä säännösten rikkomisesta hallinnollisen seuraamusmaksun.

Uusi käsittelyperuste henkilötietojen käsittelemiseksi. Henkilötietoja saa käsitellä jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista sekä jos käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten.

Lapsen ikäraja. Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietosuoja-asetuksessa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tätä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.

Vakuutusyhtiöillä ja ammattiliitoilla erityisoikeuksia. Vakuutusyhtiöille annetaan eritysoikeus käsitellä vakuutettujen ja korvauksenhakijan terveydentilaa, sairauksia tai hoitotoimenpiteitä koskevia tietoja, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi sekä ammattiliittoon kuulumista koskevaan tiedon käsittelyyn, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla.

Seuraamuslautakunta määrää sakoista. Tietosuoja-asetuksessa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Kotietsinnät myös mahdollisia tietosuojarikkomusten selvittämiseksi. Yleisen tietosuoja-asetuksen mukaan valvontaviranomaisella on oikeus päästä kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijöiden tiloihin sekä tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot. Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi.

Työtekijä voi ilmiantaa työnantajansa anonyymisti. Työntekijä voi ilmiantaa työnantajansa tietosuoja-asetuksen tai – lain rikkomisesta ilman pelkoa siitä, että hänen henkilöllisyytensä paljastuu, jos rikkomuksista ilmoittavan henkilölle katsotaan aiheutuvan tästä haittaa.

Henkilötunnuksen käsittely. Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää kuten luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa sekä virka-, työsuhteita koskevissa asioissa. Henkilötunnusta ei saa tarpeettomasti merkitä tulostettuihin tai laadittuihin asiakirjoihin.

Rajoituksia rekisteröidyn oikeuksiin hänestä kerättyihin tietoihin.  Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta sekä yleisen edun mukaisia arkistointitarkoituksia varten, voidaan rekisteröidyn oikeuksista tarvittaessa poiketa säädetyin edellytyksin. Rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.

Henkilötietojen vuotaminen on edelleenkin kiellettyä. Uuden lain mukaan kaikilla henkilötietojen käsittelyyn osallistuvilla on suoraan lain nojalla vaitiolovelvollisuus henkilötietojen käsittelyyn liittyvistä asioista. Henkilökohtaisten tietojen lisäksi se koskee myös toisen henkilön liike- tai ammattisalaisuuksia.

Rikoslaista poistettiin nykyinen henkilörekisteririkos, uusi säännös tietosuojarikoksesta. Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän tai käsittelijän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Rangaistavaa on esim. menettely, jossa henkilö heittää pois henkilötietoja sisältäviä asiakirjoja huolehtimatta niiden tietoturvallisesta hävittämisestä. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuotta. Tämä koskee tilanteita, joissa lainvastainen henkilötietojen käsittely ei ole hallinnollisen seuraamusmaksun piirissä.

Julkishallinnon organisaatioille ei määrätä sakkoja. Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Perusteena on se, että viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu.

Vaitiolovelvollisuus. Jos henkilötietojen käsittelyyn liittyvien toimenpiteiden yhteydessä on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietojaan.

Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi. Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.

Tietoturvallisuuden Toiminnanohjaus™ menetelmä analysoi henkilötietoja käsitteleviä prosesseja antaen käytännönläheiset ja tehokkaat keinot tietosuojariskien tunnistamiseen sekä niiden vaikutusten minimointiin. Viimeistään nyt on aika laittaa henkilötietojen käsittelyn käytännöt kuntoon.

EU:N TIETOSUOJA-ASETUSTA ALETTIIN SOVELTAA TÄYSIMÄÄRÄISENÄ 25.5.2018

Jos yritys käsittelee toisen yrityksen henkilötietoja tai jos se luovuttaa toiselle yrityksenne henkilötietoja palveluiden tuottamista varten, kannattaa olla hereillä ja ottaa selvää EU:n uudesta tietosuoja-asetuksesta. Aiemmin näistä asioista oli voitu sopia melko vapaasti ja lyhyin ehdoin, mutta 25.5.2018 alkaen tilanne muuttui, organisaation täytyy sopia tietyistä velvollisuuksista rekisteriä pitävän yrityksen kanssa kirjallisesti.

Olennaista: sopimuksissa syytä määritellä tarkasti, mistä kumpikin osapuoli käytännössä vastaa; lisäksi huolehdittava siitä, että sopimukset kattavat kaikki ”pakolliset” lausekkeet. Eli määriteltävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan, siis mm. rekisteröidyn oikeus tarkastaa sekä saada oikaistuksi ja poistetuksi tietoja.

REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

Tietosuoja-asetuksen mukaan rekisterinpitäjä (= se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan) on yritys tai muu yhteisö, joka pitää listaa henkilöistä ja rekisteröi heidän tietojaan ja joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käytännössä lähes kaikki yritykset ovat siis rekisterinpitäjiä jo pelkästään sillä perusteella, että heillä on omaa henkilökuntaa.

Jos yritys tarjoaa vaikkapa palkkahallinnon palveluja yrityksille tai yrityksen pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja, yritys on asetuksen mukaan henkilötietojen käsittelijä (= se todellinen tietoja tallentava, kokoava ja säilyttävä, esim. palveluntarjoaja).

PÄIVITÄ KAIKKI HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT SOPIMUKSET

Aiempi normisto, tietosuojadirektiivi ja henkilötietolaki, asettivat henkilötietojen käsittelyä koskevia velvoitteita lähinnä rekisterinpitäjälle: rekisterinpitäjä on perinteisesti vastannut siitä, että se käsittelee henkilötietoja lain vaatimalla tavalla.

Rekisterinpitäjä ja käsittelijä ovat puolestaan voineet vaikkapa palvelusopimuksessa sopia keskinäiset vastuunsa henkilötietojen käsittelystä. Osapuolet ovat saattaneet sopia esimerkiksi siitä, mitä tietoturvatoimia he noudattavat henkilötietojen käsittelyn suhteen ja onko käsittelijällä oikeus siirtää henkilötietoja EU/ETA-alueen ulkopuolelle.

Nykyisin asetus tuo vaatimuksia myös henkilötietojen käsittelijälle ja ne täytyy kirjata mukaan sopimukseen, elleivät ne siellä jo ennestään ole. Käytännössä tämä tarkoittaa sitä, että edustipa yritys sitten rekisterinpitäjää tai henkilötietojen käsittelijää, kaikki yrityksien väliset henkilötietojen käsittelyä koskevat sopimukset täytyy päivittää, mikäli ne ovat voimassa asetuksen voimaantulon jälkeen.

SOVI VÄHINTÄÄN NÄISTÄ ASIOISTA

Mikäli edustaa henkilötietojen käsittelijää, tietosuoja-asetus velvoittaa yritystä sopimaan siitä, että:

• varmistetaan henkilötietojen käsittelyn turvallisuustaso
• käsittelijä tekee ilmoitukset tietoturvaloukkauksista rekisterinpitäjälle
• tarvittaessa yritykseen nimitetään tietosuojavastaava tiettyjen kriteereiden täyttyessä
• käytetään alihankkijaa vain rekisterinpitäjän suostumuksella

Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on sovittava siitä kirjallisesti. Seuraavat neljä kohtaa ovat oltava ainakin rekisterinpitäjän ja kolmannen osapuolen välisessä sopimuksessa käsiteltyinä:

• henkilötietojen käsittelyn kohde ja kesto,
• luonne ja tarkoitus,
• henkilötietojen tyyppi ja
• rekisteröityjen ryhmät (esimerkiksi loppuasiakkaat) sekä
• rekisterinpitäjän oikeudet ja velvollisuudet

SOPIMUKSEEN SISÄLLYTETTÄVÄT ASIAT

Käsittelijän eli ulkoistuspalveluita tarjoavan velvollisuudet on mainittava sopimuksessa nimenomaisesti (artikla 28) joita ovat:

• velvollisuus noudattaa rekisterinpitäjän dokumentoituja ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
• huolehtia salassapitovelvollisuudesta
• toteuttaa kaikki artikloissa 32–36 säädetyt velvollisuudet;
  • tietoturvasta huolehtiminen ja pseudonymisointi
  • tietoturvaloukkauksesta ilmoittaminen viranomaisille
  • tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
  • vaikutustenarviointi
  • ennakkokuuleminen
• palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös, jos tiedot lainsäädännön mukaan säilytettävä)
• antaa rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista osoittamista varten

Käsittelijän on myös ylläpidettävä kirjallista selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista, ja selosteessa on oltava seuraavat tiedot (asiat tulisi todentaa tai pyytää kirjallinen seloste käsittelijältä):

• henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
• kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät
• tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä sekä asianmukaisia suojatoimia koskevat asiakirjat
• mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista (artikla 32, kohta 1)

SOPIMUKSESSA HUOMIOITAVAT ASIAT

• käsittelyn tulee tapahtua rekisterinpitäjän ohjeiden mukaisesti
• kummankin osapuolen salassapitovelvoitteet on yksilöitävä
• käsittelijän tulee sitoutua noudattamaan asianmukaisia toimenpiteitä käsittelyn riskiä vastaavan turvallisuustason varmistamiseksi
• alihankinta on mahdollista vain rekisterinpitäjän luvalla ja käsittelijällä on vastuu alihankkijastaan
• käsittelijän on sitouduttava avustamaan rekisterinpitäjää tämän vastatessa rekisteröityjen pyyntöihin esimerkiksi tilanteissa, joissa rekisteröidyt haluavat pääsyn omiin tietoihinsa
• käsittelijällä on vastuu auttaa rekisterinpitäjää varmistamaan tiettyjen rekisterinpitäjän velvoitteiden, kuten tietojen poistopyynnön, noudattaminen
• henkilötietojen poistosta tai palautuksesta käsittelyyn liittyvien palveluiden päättyessä on syytä sopia (jollei muu lainsäädäntö edellytä tietojen säilyttämistä)

Henkilötietojen käsittelyä koskevien sopimusehtojen painoarvo kasvaa entisestään ja osapuolet sopivat jatkossa yksityiskohtaisempia ehtoja. Vastaavasti sopimuksen osapuolet antavat henkilötietojen käsittelyä koskeville asioille suurempaa painoarvoa myös muissa sopimusehdoissa, kuten takuu- ja vastuunrajoitusehdoissa. Lisääntyneet vastuut näkyvät usein myös palveluiden hinnoittelussa.

VASTUU VAHINGOISTA GDPR:N MUKAAN

Vastuunjako:

1) rekisterinpitäjä vastuussa vahingosta, joka on aiheutunut käsittelystä, joka ei ole GDPR:n mukainen;

2) henkilötietojen käsittelijä vastuussa ainoastaan, jos se ei ole noudattanut käsittelijöille osoitettuja GDPR:n velvoitteita tai se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

• Todistustaakka rekisterinpitäjällä tai käsittelijällä: Osoitettava, ettei ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
• Yhteisvastuu: Jos useampi osallistuja tietojenkäsittelyssä, ja ne ovat vastuussa aiheutuneesta vahingosta, kukin rekisterinpitäjä tai käsittelijä vastuussa koko vahingosta (takautumisoikeus muita vahingonaiheuttajia kohtaan).
• Sopimuksen osapuolilla mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan → sopimusehdot kannattaa laatia huolellisesti.

KAUTTAMME ON SAATAVISSA MYÖS SOPIMUSJURIDIIKKAAN ERIKOISTUNEITA LAKIMIESPALVELUITA

GDPR JA VERKKOKAUPPA

Tietosuoja-asetus koskee kaikkien kansalaisten henkilötietojen käsittelyä. Yhdenmukainen henkilötietolainsäädäntö EU:ssa tukee rajat ylittävää kaupankäyntiä. Kansalaisen on helpompi luottaa esimerkiksi verkkokauppoihin, kun hän tietää, että hänen henkilötietojaan käsitellään kaupanteon yhteydessä asianmukaisesti.

”Tulevaisuudessa bulgarialainen verkkokauppa on tietosuojan kannalta yhtä turvallinen kuin suomalainen, jos kauppa osoittaa noudattavansa asetusta” – Tietosuojavaltuutettu Reijo Aarnio

Suostumuksen hankkiminen

Verkkokaupan asiakkaalta (tilaajalta) ei aina tarvitse pyytää suostumusta henkilötietojen käsittelylle. Tämä johtuu siitä, että tilaus on sopimus, jossa asiakas on osapuolena.

Jos yrityksen asiakkaaksi rekisteröitynyt henkilö on tehnyt verkkopalvelussa ostoksen, tilauksen, varauksen tms., osapuolten välille on muodostunut henkilötietojen käsittelyyn oikeuttava asiallinen yhteys.

Jos osapuolten välille ei ole rekisteröitymisen seurauksena muodostunut asiakassuhdetta, kyse on muusta henkilön suostumukseen perustuvasta tietojen käsittelystä.

Jos suostumus henkilötietojen käsittelyyn on annettu internetissä, on kummankin osapuolen kannalta tarkoituksenmukaista, että henkilö voi myös perua suostumuksensa verkossa. On suositeltavaa, että suostumuksen voi perua samassa sähköisessä palvelukanavassa kuin missä se on annettukin.

Sähköinen markkinointi 

Verkkokaupan asiakkaalle (tilaajalle) saa lähettää sähköistä markkinointia, jos asiakas on aktiivisesti sallinut sen tai jos sähköpostiosoite on saatu tilauksen yhteydessä, eikä asiakas ole aktiivisesti kieltänyt sitä, vaikka kieltomahdollisuutta on tarjottu. Rekisteriselosteessa on oltava maininta sähköisestä markkinoinnista.

Sähköpostimarkkinoinnista ja GDPR:stä puhuttaessa on tärkeää tunnistaa seuraavat roolit: uutiskirjeiden lähettäjä on rekisterinpitäjä (= se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan), ja uutiskirjeteknologian toimittava yritys on henkilötietojen käsittelijä (= se todellinen tietoja tallentava, kokoava ja säilyttävä jne. joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta). GDPR:n keskiössä on rekisterinpitäjän osoitusvelvollisuus, jonka myötä uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle. Henkilötietojen käsittelyä koskevat periaatteet kuvataan GDPR-asetuksen artiklassa 5 ja oikeusperusteet määritellään artiklassa 6.


Kun ylläpidetään henkilörekisteriä, kuten postituslistoja, silloin on oltava näiden henkilötietojen käsittelylle peruste, joka kohtaa vähintään yhden 6. artiklan kohdan kanssa. Kun uutiskirje lähetetään listoilla oleville kontakteille, on viestintä perustuttava yhtä lailla vähintään yhteen artiklan kohdista.

Artikla 6

Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
4. käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
5. käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;  
6.  käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. 

Suostumus henkilötietojen käsittelyyn

Asiakkailta on aina pyydettävä suostumus henkilötietojen käsittelyyn. Tämä on osittain virheellinen väite, sillä suostumuksesta ja sopimuksesta säädetään tietosuoja-asetuksen kuudennessa artiklassa henkilötietojen käsittelyn lainmukaisuudesta. Artiklan johtolause kuuluu: ”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy”. Asiakassuhteessa edellytyksiä on usein useampia. Rekisterinpitäjän ja rekisteröidyn väliseen suhteeseen liittyy usein myös lakisääteisiä velvoitteita tai *oikeutettuja etuja. Suostumusta tulisi käyttää vain sellaisissa tilanteissa, joissa rekisterinpitäjän käytössä ei ole muuta oikeusperustetta henkilötietojen käsittelylle.

* oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde − rekisteröity on esimerkiksi rekisterinpitäjän asiakas tai tämän palveluksessa.

Käytännön esimerkki

Jos rekisteröitynyt on tilannut itse (opt-in = henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn).

Syy käsitellä henkilötietoa on henkilön itsensä antama suostumus: hän on tilannut uutiskirjeen ja haluaa sen antamaansa sähköpostiin. Syy kohtaa artiklan ensimmäisen kohdan kanssa. Syy lähettää uutiskirjettä tälle henkilölle on sama artiklan kohta, suostumuksen mukaisen viestinnän toteuttaminen.

Jos sähköpostimarkkinointi perustuu lupaperusteiseen markkinointiin ja on luotu oma opt-in -lista, toimintamalli soveltuu sellaisenaan yhteen artiklan kanssa.

Entäpä ne kaikki muut vastaanottajat, kuin opt-in -tilaajat? Tulevaisuus on tämän suhteen vielä osittain epävarmaa.

Jos rekisteröitynyt on asiakas 

Syy säilöä rekisteröidyn henkilötietoja on todennäköisesti yrityksen ja asiakaan välillä vallitseva sopimus, asiakassuhde (artiklan toinen kohta).

Syy lähettää uutiskirje asiakkaalle voi olla esimerkiksi sopimuksen täytäntöönpano (sama artiklan kohta), puhuttaessa vaikka verkkokaupan tilausvahvistuksesta.

Muut tilanteet, kuin ylläolevat, millaisia uutiskirjeitä voi lähettää asiakkaalle, joka ei ole antanut lupaa markkinointiviestintään? Mikä lasketaan artiklan mainitsemaksi oikeutetuksi eduksi?

Suostumus voidaan saada, vaikka seuraavanlaisella klausuulilla verkkosivulla

”Vahvistamalla sähköpostisi hyväksyt, että saamme jatkossakin lähettää sinulle hyödyllistä markkinointiin ja viestintää liittyvää sisältöä. Voit milloin tahansa peruuttaa tilauksesi alla olevasta linkistä.”

TIETOSUOJA-ASETUKSEN SIETÄMÄTÖN KEVEYS

Olen tänä vuonna tavannut EU:n tietosuoja-asetuksen tiimoilta asiakkaan jos toisenkin. Keskustelut ovat pääsääntöisesti olleet varsin rakentavia ja kauppaakin on syntynyt ihan mukavasti. Yksi asia on kuitenkin jäänyt hieman pohdituttamaan. Varsin usein asiakas on nimittäin esittänyt toiveen, tai oikeammin vaateen, että jos ja kun tähän on nyt kerran pakko lähteä, niin tehdään sitten vain ne asiat, jotka minimissään täytyy tehdä. Eli mennään ihan rimaa hipoen yli ja that’s it! Ajattelin itse hyödyntää samaa mallia viime kesänä hankkiessani lääkärintodistusta ajokorttia varten. Pyysin lääkäriä tekemään vain ne lääketieteelliset toimet, jotka kortin voimassapitämiseksi aivan minimissään vaaditaan. Hän katsoi minua hieman säälivästi ja antoi kaksi vaihtoehtoa. Joko tarkistus tehdään tai sitä ei tehdä. Ja that’s it! Sama pätee EU:n tietosuoja-asetukseen. Sen vaatimukset joko täytetään tai sitten ei.

Jostain syystä vaatimusten täyttäminen koetaan varsin byrokraattisena. Ainakin mikäli alkusyksystä pitämäni koulutuksen pienimuotoisesta gallupista voi vetää johtopäätöksiä. Pyysin osallistujia nostamaan käden ylös, mikäli tietosuoja-asetuksen, eli tuttavallisemmin GDPR:n, vaatimusten täyttäminen tuntuu heistä turhalta EU-hömpötykseltä. Yli puolet käsistä nousi. Seuraavaksi pyysin nostamaan käden ylös, mikäli omien henkilötietojen päätyminen vääriin käsiin tuntuu hyvältä tai tosi hyvältä jutulta. Yllättäen yhtään kättä ei noussut. Sinällään hieman surkea, mutta varsin odotettu tulos. Miksi siis toimenpiteet, joilla jokaisen toivoma henkilötietojen suojaaminen pyritään turvaamaan, tuntuvat hankalilta ja byrokraattisilta? Yksi syy voi olla se, että asiaan liittyvää tietoa tulee tällä hetkellä joka myyntituutista, ja konkretian löytäminen tästä infomerestä saattaa olla varsin tuskallista. Eli lienee syytä avata asiaa hieman tarkemmin.

EU:n yleinen tietosuoja-asetus on laadittu ennen kaikkea siksi, että yksilön oikeudet omiin tietoihinsa voidaan taata tässä alati digitalisoituvassa maailmassa. Toisaalta asetuksella halutaan myös varmistaa, että jokaisella palvelua tuottavalla taholla on samat toimintaedellytykset ja velvollisuudet kaikissa EU-maissa. Jotta nämä tavoitteet saadaan toteutettua, on laadittu yhteensä 99 artiklaa käsittävä pakottavaa lainsäädäntöä oleva asetus. Kohtalaisen paljon vaikeaselkoista tekstiä omaksuttavaksi. Ja jos päällimmäiseksi mieleen ovat jääneet myyntikirjeissä toistuvasti mainitut kovat sanktiot, on täysin ymmärrettävää, että asia saattaa hieman ahdistaa.

Onneksi tieto ei aina lisää tuskaa. Yksinkertaistettuna asetuksessa on kyse henkilötietojen käsittelyyn liittyvien riskien tunnistamisesta, niiden vaikuttavuuden analysoinnista ja ennen kaikkea riskien minimoimisesta. Ja siitä, että tämä kaikki voidaan myös tarvittaessa valvovalle viranomaiselle osoittaa, eli osoitusvelvoitteen täyttämisestä. Aloitetaan asetusvyyhdin purkaminen organisaation toiminnan luonteesta. Onko henkilötietojen käsittely organisaation ydintoimintaa? Entä onko käsiteltäviä tietoja paljon ja ovatko ne arkaluonteisia? Jos vastaus on kyllä, organisaation saattaa olla tarve nimetä tietosuojavastaava. Kyseessä on sisäinen tai ulkoinen nimetty taho, jonka vastuulla on huolehtia henkilötietojen käsittelyn lainmukaisuudesta.

Henkilöstöhallinnollisten toimien tultua näin täytetyiksi, pääsemmekin pohtimaan itse henkilötietojen käsittelyä. Tyypillisesti suurimmat käsittelyyn kohdistuvat riskit liittyvät tietojen säilyttämiseen, käsittelyoikeuksiin ja tiedon jakeluun. Siksi niistä kannattaakin aloittaa. Tehdään tämä kuvaamalla mitä henkilötietoja sisältäviä tietovarantoja organisaatiolla on, minkälaista tietoa niissä säilytetään ja kuinka pitkään. Sitten analysoidaan ketkä tietoja käsittelevät, miksi ja millaisilla oikeuksilla ja järjestelmillä sekä se, kenelle tietoja mahdollisesti luovutetaan ja miksi. Rinnalla arvioidaan näihin toimintoihin liittyviä uhkia ja riskejä ja pohditaan näiden vaikuttavuutta. Käsittelyprosessien tultua selvitetyiksi, arvioidaan tietoturvallisuuden ja siihen liittyvän dokumentaation tasoa sekä henkilöstön tietoturvatietoisuutta viestintää unohtamatta. Lopuksi käydään vielä henkilötietojen käsittelyyn liittyvät sopimukset lävitse ja lisätään tarvittaessa näihin henkilötietojen käsittelysäännöt. Kaikki havainnot kirjataan ylös ja niiden pohjalta laaditaan kehityssuunnitelma tarvittavista toimenpiteistä ja sovitaan niiden toteuttamisesta. Ja voilà, osoitusvelvollisuus onkin täytetty!

Totuuden nimissä on kuitenkin todettava, että valitettavasti tämä ei kuitenkaan vielä aivan riitä. GDPR tuli nimittäin jäädäkseen. Ja se edellyttää, että kaikki henkilötietoihin kohdistuvat poikkeamat ja niiden käsittelyyn mahdollisesti kohdistuvat merkittävät muutokset, kuten esim. tietojärjestelmämuutokset, tulee kuvata ja viestiä rekisteröidyille ja tarvittaessa myös valvovalle viranomaiselle. Eli kyseessä on siis jatkuva prosessi. Onneksi haasteen selättämiseen löytyy oiva lääke. Tietosuojavaltuutetun toimiston osoitusvelvoitteen täyttämiseen suosittelema vuotuinen tietotilinpäätös. Se on vapaamuotoinen dokumentti, joka kerää yhteen kaiken edellä kuvatun ja lisäksi paljon muuta. Kokemuksesta voin sanoa, että tietotilinpäätös ei ole pelkästään osoitusvelvollisuuteen liittyvä asia. Sen avulla organisaatio voi myös arvottaa tietoturvallisuuttaan yleisesti ja rakentaa turvallisuusidentiteettiään. Eli toisin sanoen synnyttää tietoturvallisuuskulttuuria. Ja kulttuuri on tunnetusti asia, joka ei pelkästään kuulosta hienolta. Se on sitä.

Kirjoittaja Matti Timonen on toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.