Kyberturvallisuuslain täytäntöönpano

Hallituksen esitys 57/2024 eduskunnalle kyberturvallisuusdirektiivin (NIS2-direktiivin) täytäntöönpanoa koskevaksi lainsäädännöksi annettiin eduskunnalle 23.5.2024.

Tasavallan presidentti vahvisti lain perjantaina 4.4.2025 ja kyberturvallisuuslaki (124/20259) tuli voimaan 8.4.2025.

Julkishallinnon osalta direktiivi pannaan täytäntöön kyberturvallisuuslailla ja muutoksilla (tiedonhallintalain uusi 4 a luku) julkisen hallinnon tiedonhallinnasta annettuun lakiin.

Soveltamisalaan kuuluvia toimijoita edellytetään ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa 8.5.2025 mennessä (1 kk siirtymäaika).

Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkoivat lain voimaantulosta.

1.   Toimijoiden velvoitteet

1. Toimijan on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä. Riskienhallintatoimenpiteiden toteuttaminen ja dokumentointi riskienhallinnan toimintamalliin, johdon vastuu riskienhallinnasta ja sen toteuttamisen valvonnasta.
2. Velvollisuus ilmoittaa merkittävästä poikkeamasta valvovalle viranomaiselle sekä ilmoittaa merkittävästä poikkeamasta palvelujen vastaanottajille ja yleisölle sekä ilmoittaa merkittävästä kyberuhkasta sekä kyberuhkan hallitsemiseksi käytettävissä olevista toimenpiteistä niille palvelujen vastaanottajille, joihin merkittävä kyberuhka saattaa vaikuttaa.
3. Ilmoituksen voi tehdä Traficomin Kyberturvallisuuskeskuksen NIS2-ilmoitussovelluksella.

2.   Toimijaksi ilmoittautuminen

Toimintaa koskeva ilmoitus valvovalle viranomaiselle. Tarkista laista oletko NIS2-toimija. Toimijoiden on ilmoitettava oman toimialansa valvovalle viranomaiselle seuraavat tiedot:

1. Toimijan nimi
2. Yhteystiedot, kuten osoite, sähköposti ja puhelinnumero
3. Julkiset IP-osoitealueet
4. Onko toimija keskeinen toimija
5. EU:n jäsenvaltiot, joissa toimija tarjoaa palveluaan
6. Osallistuminen kyberturvallisuustietojen vapaaehtoiseen jakamisjärjestelyyn

3.   Merkittävän poikkeaman ilmoittaminen

Kaikkien NIS2 -toimijoiden on aina ilmoitettava merkittävästä poikkeamasta valvovalle viranomaiselle

• 24 h kuluessa ensi-ilmoitus
  • Havainto merkittävästä poikkeamasta
  • Epäilläänkö, että kyseessä on rikos tai vihamielinen teko
  • Rajat ylittävien vaikutusten mahdollisuus
• 72 h kuluessa jatkoilmoitus
  • Arvio poikkeaman laadusta, vakavuudesta ja vaikutuksista
  • Vaarantumisindikaattorit (IOC), jos mahdollista
  • Mahdolliset täydennykset
• Mahdollinen väliraportti
• 1 kk kuluessa loppuraportti
  • Yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista
  • Poikkeaman arveltu aiheuttaja
  • Toimenpiteet tilanteen hoitamiseksi
  • Mahdolliset rajat ylittävät vaikutukset

4.   Merkittävä poikkeama

NIS2-direktiivin 23 artiklan 3 kohdan nojalla poikkeama katsotaan merkittäväksi, jos

• on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita; tai
• jos poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

5.   Säädöspohja

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut suosituksen osana keskitetyn yhteyspisteen viranomaisyhteistyötä ja koordinointitehtävää.

Suosituksen taustalla on NIS2-direktiivin riskienhallintavelvoitteiden täsmentäminen ja tulkintakäytäntöjen yhteensovittaminen.

Suositus voi tukea toimijoiden kyberturvallisuuden riskienhallinnan suunnittelua. Suositukseen on koottu tietoa ja käytännön esimerkkejä siitä, millaisia toimenpiteitä laissa säädettyihin vaatimuksiin voi kuulua ja kuvataan erilaisia keinoja, joita valvova viranomainen voi harkintansa ja arvionsa mukaan käyttää ohjaus- ja valvontatehtävissään.

• Valvova viranomainen ratkaisee, millaiset toimenpiteet täyttävät säädetyt vaatimukset kullakin toimialalla.
• Suosituksen mukaisten käytäntöjen toteuttaminen ei takaa sitä, että toimija täyttäisi kansallisen sääntelyn edellyttämät vaatimukset.

6.   Suosituksen sisällöstä

Suositukseen on koottu yleisimmin käytetyt kyberturvallisuuden riskienhallintakeinot.

• Esimerkkejä toteutuksista, joita valvoja viranomainen saattaa kohdata valvonnan yhteydessä.
• Esimerkkejä todennusmenetelmistä ja viittaukset yleisimpiin kansallisiin ja kansainvälisiin viitekehyksiin.

7.   Kyberturvallisuuden riskienhallinnan toimenpiteet

1. Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja toimenpiteiden vaikuttavuuden arviointi.
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet.
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen.
4. Toimitusketjun välittömien toimittajien ja palveluntarjoajien palveluiden yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet ja kyberturvallisuuskäytännöt.
5. Omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen.
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus.
7. Pääsynhallinnan ja todentamisen menettelyt.
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet.
9. Poikkeamien havainnointi ja käsittely.
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muun toiminnan jatkuvuuden hallinta.
11. Perustason tietoturvakäytännöt.
12. Fyysisen ympäristön sekä välttämättömien resurssien varmistaminen.

 

ETÄTYÖ JA TIETOTURVA

Koronapandemian vuoksi maailma ei ole enää entisensä, mm. etätyö aiheuttaa merkittäviä muutoksia työelämään ja muutos heijastuu globaalisti koko yhteiskuntaan, koska etätyö sekä etäopetus ovat tulleet jäädäkseen ja saattavat jatkaa kasvuaan tästä eteenpäin. Painetta siihen tulee myös ilmastonmuutoksen takia, koska myös työmatkaliikenne on osittain korvattavissa etätyöllä.

Organisaatiot ovat varautuneet huonosti etätyön tietoturvallisuusuhkiin, niiden tulee kuitenkin tiedostaa oma vastuunsa riskien minimoimisessa, sillä tämä ei ole sellainen asia, josta viranomaisten pitäisi huolehtia yritysten ja organisaatioiden puolesta.

Laaja siirtymä etätyöhön lisäsi myös suojaamattomien laitteiden määrän verkoissa. Kehityssuunta on huolestuttava, koska Internetiin näkyvät etäyhteyspalvelut altistavat laitteet ja käyttäjät mahdollisten haavoittuvuuksien hyödyntämiselle. Rikolliset etsivät murrettavia palveluita verkosta automatisoidusti ja yrittävät tunkeutua niihin. Pahimmissa tapauksissa hakkerit voivat murtautua kodin kautta työpaikan verkkoon. Kukaan tuskin haluaa olla se työntekijä, jonka todetaan olleen koko yritysverkon saastuttaneen haittaohjelman alkuperä. Saatat kuitenkin tietämättäsi toimia yritykseen kohdistuvan hyökkäyksen murtokohtana. On myös hyvä muistaa, että rikollisilla on tapana käyttää huijaus- ja kalasteluviesteissään ajankohtaisia teemoja kuten korona

On myös huomioitava mitä etätyön järjestäminen vaatii luottamuksellisen tiedon käsittelyssä, asiakasturva, tietoturva ja tietosuoja huomioiden. Kotona olosuhteet saattavat olla vaihtelevassa kunnossa, siksi etätyötä tehtäessä tulee noudattaa soveltuvin osin kaikkia samoja turvallisuusperiaatteita kuin varsinaisissa toimitiloissa suoritettavassa työssä. Työntekijän on myös sitouduttava noudattamaan etätyössä samaa salassapitovelvollisuutta, jota häneltä työssä ollessa normaalistikin edellytetään.

Näillä vinkeillä varmistat, ettet tule huijatuksi ainakaan oman hölmöilysi takia

Työasioita ei kailoteta julkisissa liikennevälineissä eikä salassa pidettäviä asioita puhuta edes perheen kesken kotona. Epäilyttäviä linkkejä ei avata ja saaduista huijausviesteistä ja mahdollisista huijausyrityksistä tulee aina ilmoittaa tietoturvasta vastaavalle henkilölle tai esihenkilölle, eikä henkilötietoja sisältäviä dokumentteja lähetetä salaamattomalla sähköpostilla. Riskin toteutumisen voi usein välttää sillä, että pysähtyy hetkeksi miettimään ennen kuin toimii.

Tee päivitykset ajallaan

Kun teet päivitykset ajallaan, haittaohjelmat eivät pääse käyttöliittymän aukoista läpi. Haittaohjelmaa kannattaa epäillä, jos kone hidastuu yhtäkkisesti tai käyttäytyy muuten oudosti. Ongelmasta voivat kertoa esimerkiksi haittaohjelmasta varoittavat ponnahdusikkunat, ilmoitukset joissa kerrotaan, että tietoturvaa tarkistetaan ja yhtäkkisesti aukeava selaimen ehdotus tallentaa tai suorittaa jokin tiedosto.

Huolehdi ajantasaisesta virustorjuntaohjelmasta

Koneelle kannattaa ladata laadukas virustorjuntaohjelma. Myös virustorjunta tulee pitää ajan tasalla ja tehdä päivitykset. Virustorjuntaohjelman tulee olla aina toiminnassa ja tarkistaa, onko ohjelmisto päivittynyt.

Älä käytä samaa salasanaa monessa palvelussa

Tähän syyllistyy moni. Kun on keksinyt yhden hyvän salasanan, sitä sitten käytetään jokaisessa mahdollisessa paikassa. Käytäntöön liittyy vain se ongelma, että jos salasana murretaan, murtajalla on nyt pääsy kaikkiin palveluihin, joissa käytät samaa salasanaa.

Käytä sellaisia salasanoja, jotka ovat pitkiä, mutta kuitenkin helposti muistettavissa. Esimerkiksi runonpätkä voi toimia hyvänä salasanana, kun sitä muokkaa erikoismerkein.  Tärkeintä on, että salasanat ovat riittävän vahvoja ja jokaiseen palveluun käytetään eri salasanaa.

Käytä myös eri selaimia eri tarkoituksiin: esimerkiksi Facebook yhdellä selaimella, sähköposti toisella ja pankkiasiat kolmannella. Eri selaimia käyttämällä voi välttyä tietyltä profiloinnilta, jota tehdään selaimen evästeiden perusteella. Esimerkiksi pankkiasioiden hoitamiseen voi käyttää selaimen yksityistilaa, jolloin selaimen ei pitäisi tallentaa evästeitä.

Epäilyttävän sähköpostin tunnusmerkit

• Viestissä vedotaan kiireeseen
• Lähettäjän sähköposti ei ole uskottava. Kiinnitä huomiota sähköpostiosoitteen muotoon kuten lähettäjän nimeen ja epätyypilliseen verkkotunnukseen
• Viestissä vedotaan kohdehenkilön korkeaan asemaan
• Viestissä vedotaan pelkoon maksamatta jättämisen seuraamuksista
• Viestissä on linkki, jonka kohde on tuntematon. Tarkista ensimmäisenä linkin kohde viemällä kursori linkin päälle klikkaamatta itse linkkiä. Jos epäilet vähääkään viestin aitoutta, älä avaa mitään linkkejä.

Muista myös…

Yhteisten ohjeiden ja tiedostojen täytyy olla kaikkien löydettävissä ja saatavilla, milloin tahansa ja missä tahansa. Toki jotkut tiedot voivat olla saatavilla vain tietyllä organisaatiotasolla. Kuitenkaan minkään tiedon ei pitäisi olla vain yhden ihmisen tiedossa missään vaiheessa. Älä rakenna itsestäsi työyhteisöä hidastavaa pullonkaulaa rajoittamalla tiedonsaantia.

Tarkista osoitetiedot

Kun hoidat esimerkiksi pankkiasioita tai teet ostoksia verkossa, muista aina tarkistaa osoiteriviltä, että käytössä on salattu yhteys. Salatun yhteyden tunnistaa osoitteen alkuosasta, jossa www-osoite alkaa muodossa https://. Mikäli yhteys ei ole salattu, et voi luottaa siihen, että joku ylimääräinen osapuoli ei pääse käsiksi esimerkiksi luottokorttitietoihisi. Älä myöskään kopioi suoraan url-osoitetta esim. sähköpostiviestistä vaan kirjoita se selaimen osoiteriville.

Toimitusjohtajahuijaus

Toimitusjohtajahuijauksessa huijarit lähettävät toimitusjohtajan tai muun avainhenkilön nimissä sähköpostia ja yrittävät saada esim. maksuliikennettä hoitavan henkilön tekemään tilisiirtoja rikollisten tileille. Jos epäilee sähköpostin aitoutta, kannattaa klikata Vastaa-toimintoa. Tällöin todellisen meiliosoitteen pitäisi tulla näkyville. Jos toimitus- tai talousjohtajan käyttämä sähköpostiosoite on esimerkiksi TJ@yritys.fi, rikolliset ovat saattaneet lähettää huijausviestejä osoitteesta TJ@yritys1.fi. Mikäli hiemankin epäilee viestin aitoutta, tulee se varmistaa esimerkiksi puhelinsoitolla. Tarkistus kannattaa tehdä etenkin epätavallisissa tilisiirroissa tai muissa tavanomaisesta toiminnasta poikkeavissa tilanteissa.

Nykyisin myös suorat puhelinsoitot ovat yleistyneet. Näissä puheluissa soittaja voi esiintyä esimerkiksi Microsoftin tukihenkilönä. Tällä varjolla hän yrittää saada yhteyden tietokoneeseesi ja sitä kautta haltuunsa esimerkiksi henkilötietosi ja pankkiyhteystietosi. Älä koskaan anna puhelimessa tietoja, jotka sisältävät salasanoja, henkilötietoja tai muita yksilöiviä tietoja.

Sosiaalinen media

Facebookissa tai muussa sosiaalisen median palvelussa kerrottuja tietoja voidaan käyttää haitanteossa ja rikollisissa tarkoituksissa. Monesti tiedot päätyvät isompaan levitykseen kuin alun perin oli tarkoitus. Siihen voi liittyä monia uhkia. Samalla tavalla kuin kotiosoitteen kertominen, myös matkojen kehuminen voi helpottaa rikollisten työtä huomattavasti. Jo vuonna 2010 uutisoitiin siitä, kuinka varasliiga valitsi kohteensa sosiaalisen median lomakuvien perusteella. Ja kuten monesti on todettu, kerran internetiin ladattua tai kirjoitettua asiaa ei enää saa sieltä lopullisesti pois.

Kun lataat puhelimeesi uutta sovellusta, kannattaa tarkistaa, millaisiin tietoihin sovellus pääsee käsiksi. Tarvitsetko todella sovelluksen, joka vaatii oikeudet puhelutietoihisi ja tekstiviesteihisi? Yksityisiä tietojasi voidaan näin myydä eteenpäin, joten ei ole mitään takuita siitä, minne ne päätyvät.

…tiedot, jotka kiinnostavat verkkorikollisia

• Tiedot, jotka ovat muunnettavissa rahaksi sellaisenaan
• Tiedot, jotka ovat hyödynnettävissä rikosten tekemiseen, kuten
  • Liikesalaisuudet
  • Henkilö- ja terveystiedot
  • Käyttäjätunnukset ja salasanat
  • Maksukorttitiedot

Älä luovuta arkaluontoisia tietoja sähköpostitse

Tiedätkin jo, että viranomaiset tai esimerkiksi pankkisi eivät koskaan tiedustele salasanojasi tai muuta arkaluontoista tietoa sähköpostitse. Jos epäilyksesi heräävät, kysy itseltäsi seuraavat kysymykset: Kuka kysyy? Miksi? Jos sinusta tuntuu jotain palvelua käytettäessä oudolta tai sinua alkaa epäilyttää palvelun luotettavauus, luota vaistoosi.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.

TOIMINNANOHJAUS KATTAA NYT MYÖS TIETOTURVALLISUUDEN

Talouselämä 11/2019 | Verkkolehti sivu 29

Jotta toimintaa voidaan ohjata, täytyy ymmärtää sen tavoitteet ja keinot niihin pääsemiseksi. Näin on myös tietoturvallisuudessa. Tämän perusajatuksen pohjalta on kehitetty Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™. Menetelmä perustuu prosessien analysointiin ja ottaa kantaa tietoturvallisuuden suunnitteluun, toteutukseen ja hallintaan.

EU:n tietosuoja-asetus pakotti organisaatiot selvittämään ja kuvaamaan henkilötietojen käsittelytapoja. Usein analyysi perustui henkilötietoja sisältävien tietokantojen läpikäyntiin.

”Tietoturvallisuuden Toiminnanohjaus™ lähestyy asiaa organisaation toiminnan luonteen, prosessien ja niille asetettujen tavoitteiden, vaatimusten ja työnkuvien kautta”, kertoo Matti Timonen, yksi Fordione Oy:n perustajista.

”Näin voidaan varmistua siitä, että tarvittavat tietoturvallisuustoiminnot ovat vaatimusten mukaisia ja että ne huomioidaan myös työnkuvissa ja niihin liittyvässä osaamisessa.”

”GDPR-projektit vahvistivat näkemystämme siitä, että tekninen tietoturvallisuus on Suomessa varsin hyvässä kunnossa, mutta hallinnollisella puolella riittää vielä tekemistä”, Timonen jatkaa.

Tämä merkitsee muun muassa jatkuvuudenhallintaa, riskikartoituksia, tietoturvallisuuden jatkuvaa parantamista, hallintomalleja sekä henkilöstön tietoturvallisuustietoisuuden lisäämistä.

Lue koko artikkeli: lataa pdf  tai avaa verkkojulkaisu

Lue lisää tietoturvallisuuden toiminnanohjauksesta

EU:N TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET

EU:n yleistä tietosuoja-asetusta 679/2016 (General Data Protection Regulation) alettiin soveltamaan täysimääräisenä 25.5. 2018. Asetuksena GDPR on suoraan sovellettavaa EU lainsäädäntöä. Asetus sisältää sääntelyn mm. siitä, milloin saa kerätä ja käsitellä henkilötietoja ja mitä velvollisuuksia henkilötietojen käsittelyyn liittyy. Lähtökohtana on suojella kuluttajaa ja turvata heidän oikeutensa koskien henkilötietojen käsittelyä. Asetus koskee kaikkia EU:n alueella toimivia yrityksiä ja yhteisöjä ja se on suoraan sovellettavaa lainsäädäntöä.

Asetus sisältää kansallista liikkumavaraa mahdollistaen jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa asetuksen mukaiset muutokset toteutetaan tietosuojalailla (1050/2018), joka tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsemmennetään tietosuoja-asetusta ja sitä sovelletaan rinnakkain asetuksen kanssa sekä se korvaa vanhan henkilötietolain.

Asetuksen velvoitteiden noudattamista tuetaan tehokkaalla täytäntöönpanolla; valvontaviranomainen voi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja merkittäviä hallinnollisia sakkoja.

Tietoturvan on oltava kunnossa. Tietosuojaa ei pystytä toteuttamaan ilman kunnollista tietoturvaa. Tietosuoja-asetuksen merkittävimpiä muutoksia on osoitusvelvollisuus. Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä aktiivisesti osoittamaan noudattavansa lakia. Tietosuojan tulee olla sisäänrakennettuna kaikkeen organisaation toimintaan.

Tilintekovelvollisuusperiaate tarkoittaa, että organisaatioiden tulee osoittaa asetuksenmukaisuutensa ja riittävät tietosuojaan tähtäävät toimenpiteet, jotka täytyy todistaa dokumentaatiolla.

Näitä ovat mm. tietosuojapolitiikka, tietosuojaselosteet, tietoarkkitehtuuri- ja tietovirtakuvaukset, koulutusmateriaalit, sertifioinnit, tietotilinpäätösraportointi, roolit, vastuut, prosessit, työohjeet ym.

Organisaation johdon ja esimiesten rooli tietosuojan toteutumisessa

Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät tyypillisesti henkilötietojen käsittelyä koskevat päätökset eli käyttävät rekisterinpitäjälle kuuluvaa määräysvaltaa. Johto ja esimiehet toimivat myös esimerkkinä henkilötietojen käsittelyssä sillä he myös käsittelevät henkilötietoja esimerkiksi rekrytointien yhteydessä.

Tietosuoja-asetuksen suurimmat muutokset

• Osoitus- ja dokumentointivelvollisuus
• Tietosuojavastaavan  nimittäminen ja tehtävät
• Tietoturvaloukkauksista ilmoittaminen
• Vahingonkorvaus, hallinnolliset sakot ja niihin varautuminen
• Rekisteröityjen laajemmat oikeudet
• Tiukentuneet suostumuksen edellytykset
• Tietosuojaa koskeva vaikutustenarviointi
• Rajoitukset profiloinnille
• Henkilötietojen käsittelijöiden velvollisuudet ja sanktiot
• Sisäänrakennettu ja oletusarvoinen tietosuoja

Rajoitteita

Asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa ammatilliseen tai kaupalliseen toimintaan.

• Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.
• Asetusta sovelletaan kuitenkin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, jotka mahdollistavat ym. tietojen keräämisen tarjoamassaan palvelussa.

Asetuksessa pyritään huomioimaan myös yritysten kokoluokka siltä osin että yritysten on toteutettava vaatimukset kohtuullisin toimenpitein.

Käsitteistöä

Rekisterinpitäjä on taho, joka yksin tai yhdessä toisten tahojen kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Eli se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan.

Rekisteröity on luonnollinen henkilö, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen henkilö tai oikeushenkilö voi kohtuuden rajoissa käyttää.

Henkilötietojen käsittelijä on taho, se todellinen tietoja tallentava, kokoava ja säilyttävä jne. esim. palveluntarjoaja.

Yhteisrekisterinpitäjät päättävät yhdessä yhden tai useamman organisaation kanssa, ”miksi” ja ”miten” henkilötietoja käsitellään.

Tietosuoja on ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. Tietosuojan tarkoituksena on varmistaa, ettei tietoja käytetä ilman aiheetta ja turvata tiedon kohteen yksityisyys sekä edut, oikeudet ja vapaudet sekä oikeusturva.

Tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, saatavuuden ja eheyden turvaamiseen tarkoitetut keinot. Ne toimenpiteet ja (tekniset) keinot, joilla (kaikkia) tietoja pyritään suojaamaan. Tiedot voivat olla mitä tahansa dataa; mittaustuloksia, autojen rekisterinumeroita, rahansiirtoja tai kaupan kuukausiraporttia varten kerättyjä myyntilukuja

Henkilötietoja ovat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietoja ovat esimerkiksi:

• nimi, osoite, IP-osoite
• henkilötunnus, kulttuurinen profiili
• sormenjälki kuvana, terveystiedot
• sähköpostiosoite, verkkotunnistetiedot
• luottokortin numero, tulot
• henkilö jäljitettynä sijaintiin esim. matkapuhelimen avulla
• joissakin tapauksissa myös puhelinnumero ja ajoneuvon rekisterinumero

 

Henkilötietoja saa käsitellä, jos siihen on vähintään yksi seuraavista syistä:

• Suostumus (rekisteröity antaa luvan esim. sähköiseen suoramarkkinointiin)
• Oikeutettu etu (esim. asiakkuus, jäsenyys, työsuhde, sopimus)
• Sopimus (esim. henkilö tilaa tavaroita, jolloin syntyy asiakassuhde)
• Lakisääteinen velvoite (esim. osakasluettelo, palkkatiedot jne.)
• Elintärkeä etu (esim. ihmishenkien suojeleminen)
• Yleinen etu (esim. tutkimus ja arkistointi)

Osoitusvelvollisuus

Osoitusvelvollisuuden avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:

• lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• käyttötarkoitussidonnaisuus
• tietojen minimointi
• täsmällisyys
• säilytyksen rajoittaminen
• eheys ja luottamuksellisuus

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että näitä periaatteita on noudatettu!

Rekisteröidyn informoiminen

Asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva sen vastuulla olevat käsittelytoimet. Tarkoituksena on, että dokumentaation pohjalta saa ajantasaisen kokonaiskuvan organisaation harjoittamasta henkilötietojen käsittelystä ja osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.

Selostetta käsittelytoimista ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidylle suunnatun informaation tuottamisessa. Seloste on osa laajempaa tietosuojan toimintaperiaatteita koskevaa dokumentaatiota esim. tietotilinpäätös. Tämä seloste on pyydettäessä saatettava valvontaviranomaisen saataville.

MITÄ GDPR (GENERAL DATA PROTECTION REGULATION)  KÄYTÄNNÖSSÄ TARKOITTAA?

Tietosuoja oletukseksi

• Oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
• Tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
• Henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville
• Jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset
• Palvelussa tulee oletuksena olla päällä käyttäjän kannalta oikeat tietosuoja-asetukset
• Järjestelmissä oltava olettamana tietosuojan turvaaminen
• Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta aina koko käsiteltävien henkilötietojen elinkaaren loppuun

Tilivelvollisuus

• Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.
• Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan noudattavansa laki. Aiemmin ”Do It”, nyt ”Prove It”
• Velvoittaa dokumentointiin

Ilmoitus tietojen vuotamisesta

• Vähäistä suurempien tietoturvaloukkausten tapahtuessa rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa
• Henkilötietojen käsittelijän on tiedon saamisen jälkeen ilmoitettava viipymättä rekisterinpitäjälle
• Rekisterinpitäjällä on velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta viivytyksettä myös rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle
  • Ei kuitenkaan vaadita jos;
  • on toteutettu asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu niitä ( erityisesti salaus)
  • on toteutettu jatkotoimenpiteet, joilla varmistetaan, ettei korkea riski enää todennäköisesti toteudu
  • ilmoitus vaatisi kohtuutonta vaivaa. Tällöin on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla
• Loukkaukset on dokumentoitava

Rekisteröidyn oikeudet

Oikeus tulla unohdetuksi

• Kun henkilötietoja ei enää tarvita, ne tulee hävittää järjestelmästä, ellei käsittelylle ole laillista perustetta
• Henkilö voi vaatia, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne alun perin kerättiin, ellei käsittelylle ole laillista perustetta
• Henkilötiedot saa pyynnöstä huolimatta säilyttää muun muassa silloin, jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi/rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
• Rekisteröity peruuttaa suostumuksensa tai vastustaa käsittelyä eikä oikeusperustetta käsittelylle ole
• Henkilöllä on oikeus saada omat tiedot käyttöönsä yleisesti käytettävässä tiedonsiirtomuodossa
• Saattaa edellyttää muutoksia niin toimintatapoihin kuin tietojärjestelmiin

Oikeus tietojen siirtämiseen

• Rekisteröidyn pitää halutessaan pystyä viemään tietonsa mukanaan toiselle palveluntarjoajalle
• Rekisteröidyllä on oikeus vaatia, että tiedot siirretään suoraan rekisterinpitäjältä toiselle
  • (Henkilötietojen vapaan liikkuvuuden tukemiseksi EU:ssa ja rekisterinpitäjien välisen kilpailun edistämiseksi)
• Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen sekä automaattiseen käsittelyjärjestelmään
  • (Tämä oikeus koskee vain rekisteröidyn toimittamia tietoja ts. oikeus tietojen siirtämiseen järjestelmästä toiseen kattaa rekisteröidyn tietoisesti ja aktiivisesti toimittamat tiedot sekä hänen toimintansa tuottamat henkilötiedot)
• Helpottaa palveluntarjoajan vaihtamista ja edistää sisämarkkinoiden uusien palveluiden kehittämistä
  • (Tietojen jälleenkäyttöarvo kasvaa)

Oikeus olla joutumatta automatisoitujen päätösten kohteeksi

• Rekisteröidyllä on lähtökohtaisesti oikeus olla olematta sellaisen päätöksen kohde, joka perustuu pelkästään automaattiseen tietojenkäsittelyyn
  • (Esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista)
• Yritykset eivät saa käyttää eivätkä myydä keräämiään luonnolliseen henkilöön liittyviä tietoja ilman lupaa
• Luonnollinen henkilö voi itse määrätä, haluaako hän automaattisen profiloinnin piiriin
• Tällaiset toimenpiteet ovat kuitenkin sallittavia
  • Jos ne ovat hyväksytty laissa
  • Toteutettu sopimuksen tekemisen tai sen täytäntöönpanon yhteydessä
  • Rekisteröity on antanut niihin muuten suostumuksensa

Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä

Rekisterinpitäjällä on velvollisuus toimittaa rekisteröidyille tietoja henkiötietojen käsittelystä kun henkilötietoja kerätään rekisteröidyltä itseltään tai jostain muualta.

Oikeus saada pääsy tietoihin

Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa. Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalveluiden ja verkkotunnistetietojen yhteydessä.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaiseen ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi asetuksessa luetellussa neljästä perusteesta, kuten jos rekisteröity kiistää henkilötietojensa paikkansapitävyyden.

Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille

Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyiden rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.

Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta

Kun henkiötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

Oikeus tehdä valitus valvontaviranomaiselle

Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on, taikka jossa väitetty rikkominen on tapahtunut.

Oikeus saada korvaus aiheutuneista vahingoista

Jos henkilölle aiheutuu asetuksen rikkomisesta aineetonta tai aineellista vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan

Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että häneen asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu asetusta.

Lasten henkilötietojen rekisteröinti

Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tämä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palveluiden käyttämiseen. Rekisterkinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.

Tietosuojavastaava – Data privacy officer

• Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy henkilöiden säännöllinen ja järjestelmällinen seuranta tai erityisiin henkilötietoryhmiin kohdistuva laajamittainen käsittely.
• Tietosuojavastaava voidaan nimittää, vaikkei tietosuoja-asetus tähän nimenomaisesti velvoita. Niissä tilanteissa, joissa tietosuojavastaavan nimittäminen ei ole nimenomaisesti velvollisuus, on organisaatiossa kuitenkin syytä määritellä henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioiminen organisaation toiminnassa ja joka voi toimia yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.
• Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
• Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.
• Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan.
• Tietosuojavastaava ei vastaa tietosuojan toteutumisesta. Vastuu on aina organisaation johdolla.

Hallinnolliset seuraamukset – Administrative sanctions

• Valvontaviranomainen voi määrätä henkilötietojen käsittelyä, keskeyttää henkilötietojen käsittelemisen ja antaa sakkoja jonka määrä voi olla 20 miljoonaa € tai 4 % kansainvälisestä vuotuisesta liikevaihdosta.
• Tämän lisäksi vahinkoa kärsinyt osapuoli voi vielä vaatia korvausta rekisterinpitäjältä tai käsittelijältä sekä oikeus tehdä valitus valvontaviranomaiselle
• Käytettävissä on myös lievempiä keinoja, kuten varoitus, huomautus, rekisterinpitäjälle annettavat määräykset, käsittelyä koskevien rajoitusten asettaminen, keskeytysmääräyksen asettaminen.
• Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuosi.

Entäpä maineriski?

Jos rekisterinpitäjä rikkoo asetusta, viranomainen voi;

• Varoittaa siitä, aiotut käsittelytoimet ovat todennäköisesti asetuksen vastaisia
• Antaa huomautuksen, jos käsittelytoimet ovat olleet asetuksen vastaisia
• Määrätä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn oikeuksien käyttöä
• Määrätä saattamaan käsittelytoimet asetuksen mukaisiksi, tarvittaessa tietyllä tavalla ja määräajassa
• Asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, myös käsittelykiellon
• Pitää sisäistä rekisteriä asetuksen rikkomisista ja niiden vuoksi toteutetuista toimenpiteistä (kuten varoituksista ja seuraamuksista)
• Määrätä sakkoa em. korjaavien toimenpiteiden lisäksi tai asemasta olosuhteista riippuen

”Tanskassa taksiyritystä rangaistiin vanhojen asiakkaiden puhelinnumeroiden säilyttämisestä ilman perusteita, yritys selitti säilyttämistä tietojärjestelmän kankeudella. Tietosuoja-asetuksen yleiset käsittelyperiaatteet mm. ”tietojen minimointi” ja ”säilytyksen rajoittaminen” eivät täyttyneet. Sakoksi suositeltiin 160 000 €, joka on 3% vuosittaisesta liikavaihdosta.”

Vaikutus sopimussuhteisiin

• Sopimuskanta sekä sopimusperäiset järjestelyt arvioitava myös tietosuojanäkökulmasta.
• Valitaan vain sellaisia toimittajia, joiden toimittamien tuotteiden tietosuojataso vastaa asetuksen vaatimuksia
• Tietosuojavaatimukset kannattaa asettaa jo tarjouspyynnössä ja liittää ne osaksi tarjouspyynnön perusteella tehtävää sopimusta
• Perinteisesti: Rekisterinpitäjä ensisijaisessa vastuussa
  • Sekä suhteessa rekisteröityihin että viranomaisiin
• Nykyään: Käsittelijän vastuuasema ja riskit muuttuivat merkittävästi asetuksen myötä, osin ensisijaisessakin vastuussa (yhdessä rekisterinpitäjän kanssa)
  • Vastuuta voidaan lisäksi kanavoida sopimuksellisesti => käsittelijän riskitaso kasvaa merkittävästi
• Säilytetäänkö pilvessä?
• Miten huomioidaan alihankintaketjut?
• Ovatko vanhat sopimukset asetuksen mukaisia?
• Asetuksessa luetellaan yksityiskohtaisesti, mistä asioista on sovittava

Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on jatkossa sovittava siitä kirjallisesti

• Sopimuksessa on oltava ainakin seuraavat seikat käsiteltyinä;
  • käsittelyn kohde ja kesto
  • käsittelyn luonne ja tarkoitus
  • henkilötietojen tyyppi ja rekisteröityjen ryhmät
  • rekisterinpitäjän velvollisuudet ja oikeudet
• Käsittelijän velvollisuudet on mainittava sopimuksessa nimenomaisesti joita ovat:
  • velvollisuus noudattaa rekisterinpitäjän (dokumentoituja) ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
  • huolehtia salassapitovelvollisuudesta
  • palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös jos tiedot lainsäädännön mukaan säilytettävä)
  • antaa rekisterinpitäjälle kaikki ne tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista varten

Asetus vaikuttaa vääjäämättä jokaisen henkilötietoja käsittelevän organisaation toimintaan

Kun organisaatio on kartoittanut henkilötietojen käsittelyn nykytilan, seuraavaksi tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tietosuoja-asetuksen sääntely sen suorittamalle henkilötietojen käsittelylle tarkoittaa. Käsittelyn yhteydessä on toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät.

NELJÄ ASKELTA TIETOSUOJA-ASIOIDEN HALTUUN OTTAMISEKSI

1. Tietosuoja on pidettävä johdon agendalla

• Ensimmäiseksi kannattaa ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään, miksi niitä kerätään (käyttötarkoitus), kuka niitä käsittelee, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan
• Laadittava selosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset
• Varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet
• Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla. Johdon tulee olla sitoutunut tietosuojatyöhön jotta organisaation muun toiminnan tavoitteet toteuttaisivat tietosuojan järjestelmällistä kehitystyötä
• Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (esim. johto, HR, IT-vastaava, lakimies ja viestintä)

2. Tunnistettava toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa

• Selvitettävä EU:n tietosuoja-asetuksen vaikutus organisaation henkilötietojen käsittelyn prosesseihin ja teknologiaan, puutteet verrattuna tuleviin vaatimuksiin sekä näistä puutteista johtuvat riskit.
• Laadittava kehityssuunnitelma vaatimustenmukaisuuden saavuttamiseksi.
• Nykytilan arviointi tämän hetkisten henkilötietojen käsittelyn hallintamallin, prosessien, käytäntöjen, kontrollien ja ohjeistuksen läpikäynti haastattelujen, testauksen ja dokumentaation perusteella.
• Tietosuojan kehityssuunnitelman laadinta nykytila-analyysin ja riskianalyysin pohjalta, kehitystoimenpiteet.
• Tiedon virtojen käsittely ja säilyttäminen eri tasoissa
• Käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä
• Hallinnoidaanko tietoa päällekkäisesti
• Arkistoinnin haasteet

3. Selvitettävä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa, esimerkiksi laatimalla tietotilinpäätös.

Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: tiedon syntyä, käsittelyä, arkistointia ja siirtämistä edelleen yhteistyökumppaneille.

• Tunnistaa tietosuojaa koskevat kysymykset ja otettava ne huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä/kehitetään tietojärjestelmiä
• On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseks.
• Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle

4. Rakennettava tietosuojan kehitysohjelma ja varmistettava menestymisen edellytykset

• Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida
• Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja
• Sisäiset tarkastusmenetelmät esim. tietotilinpäätös
• Ohjeistukset, koulutus ja valvonta
• Toimintasuunnitelma poikkeustilanteiden varalle
• Laaditaan suunnitelma: miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan
• Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely
• Vastuut organisaatiossa

Toimenpiteet, jotka tulee toteuttaa koskien sovellettavaa lainsäädäntöä.

• Valitse tietosuoja-asioista vastaava henkilö
• Tee henkilötiedoista inventaario, mitä henkilötietoja missäkin järjestelmässä
• Tee henkilötietojen käsittelijöiden kanssa kirjalliset käsittelysopimukset
• Varmista että organisaation omalle henkilöstölle sekä henkilötietojen käsittelijöille on laadittu ja toimitettu tarvittava ohjeistus henkilötietojen käsittelystä
• Prosessi koskien henkilötietojen tietoturvaloukkauksia
• Prosessi tietopyyntöjen vastaanottamiseen ja käsittelyyn
• Tee henkilötietojen käsittelyä koskevat selosteet
• Huolehdi osaamisesta
• Valvo henkilötietojen käyttöä
• Seuraa tiedottamista (www.tietosuoja.fi ja www.fordione.fi)

Tiedon elinkaarenhallinnan tietosuojariskejä

• Kerätään liikaa henkilötietoja
• Henkilötietojen käsittelytarkoituksia ei ole määritelty
• Käsitellään vanhentuneita / virheellisiä / epärelevantteja tietoja
• Käsitellään tietoja lainvastaisiin tai käsittelyn tarkoituksen vastaisiin tarkoituksiin
• Käsittelijöiden piiri ei ole minimoitu
• Tietosuojatoimintojen tilasta ei saada tietoa mittareiden ja raportoinnin puutteellisuuden vuoksi
• Henkilötietoihin on pääsy asiattomilla, valvontaa ei ole järjestetty tai se on puutteellista
• Ei suojata tietoja riittävällä tasolla

… JA LOPUKSI, KYSY ITSELTÄSI AINAKIN NÄMÄ;

1. Tiedetäänkö mitä henkilötietoja kerätään?
2. Kenellä on pääsy henkilötietoihin?
3. Missä henkilötietoja säilytetään?
4. Onko henkilötietojen käsittely kuvattu?
5. Siirretäänkö / luovutetaanko / käsitelläänkö henkilötietoja organisaation ulkopuolella?
6. Täyttääkö sopimukset kolmansien osapuolien kanssa GDPR -vaatimukset?
7. Tiedostetaanko yrityksessänne millä edellytyksillä ja mitä tarkoitusta varten henkilötietoja voidaan kerätä, tallettaa ja käsitellä?
8. Onko jokaisesta henkilörekisteristä laadittu julkisesti saatavilla olevat rekisteri- ja tietosuojaselosteet?
9. Onko yrityksenne johdon taholta huolehdittu siitä, että henkilötietojen käsittelyyn liittyvät vastuut ja tehtävät on määritelty asianmukaisesti?
10. Tunnistatko milloin toiminnassa muodostuu henkilötietoja, kun esimerkiksi suunnittelet sähköistä kaupankäyntiä?
11. Voidaanko osoittaa, että kerätyt henkilötiedot ovat henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia?
12. Tiedetäänkö millaisten henkilötietojen käsittely on kiellettyä ja millä edellytyksillä niitä voidaan käsitellä?
13. Tunnistatko rekisteröidyn oikeudet henkilötietojen käsittelyyn, milloin rekisteröidyllä on yleensä oikeus tarkastaa itseään koskevat tiedot sekä vaatia virheellisen tiedon oikaisua sekä kieltää henkilötietojensa käsittely ja miten oikeudet toteutetaan?
14. Noudattaako yritys yleisiä tietosuojaperiaatteita ja kerrotaanko niistä esimerkiksi yrityksen kotisivuilla?
15. Tiedättekö milloin organisaatiolla on tietosuoja-asetuksen mukainen ilmoitusvelvollisuus joista täytyy tehdä ilmoitus valvovalle viranomaiselle ja rekisteröidylle itselleen?
16. Onko organisaatiolle nimetty tietosuojavastaava?
17. Pystytäänkö todistamaan että henkilötietojen keräämiseen on saatu rekisteröidyn suostumus?
18. Onko organisaatiolla johdon hyväksymä tietoturva- ja suojapolitiikka?
19. Onko organisaatiossa tietoturvallisuuteen liittyviä tiedotteita, ohjeita ja koulutusta?
20. Onko organisaatiolla viestintäsuunnitelma, strategia ja politiikka?

TIETOTURVALLISUUDEN TOIMINNANOHJAUS™

Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™ -palvelun avulla EU:n tietosuoja-asetuksen vaatimusten täyttäminen helpottuu olennaisesti. Se ottaa kantaa niin olemassa oleviin kuin vaadittaviin hallintomalleihin ja sen avulla analysoidaan organisaation henkilötietoja käsittelevät prosessit nopeasti ja kattavasti.

Lopputuloksena syntyy tietotilinpäätös, jonka avulla asetuksen osoitusvelvollisuus voidaan täyttää ja joka varmistaa, että tietoturvallisuus on johdon agendalla.

Joustavuutensa ja kustannustehokkuutensa ansiosta se voidaan sovittaa kaiken kokoisille organisaatioille sopivaksi.

Soita meille tai jätä yhteydenottopyyntö TÄSTÄ