PYYDÄ TARJOUS

Ota yhteyttä ja pyydä tarjous! Sovitaan tapaaminen, käydään läpi tavoitteenne ja annamme tarjouksen liiketoiminnallenne sopivasta ratkaisusta.

Seuraa meitä Somessa
 

FAQ

TIETOTURVA EI OLE ONGELMA VAAN RATKAISU

Usein kysytyt kysymykset

Mitä EU:n yleinen tietosuoja-asetus (GDPR) tarkoittaa yritysten ja yhteisöjen kannalta?

Minkälaisia toimia asetus edellyttää organisaatiolta?

Ruotsissa on tulossa ensimmäiset GDPR-tuomiot. Miten Suomessa? Voiko asetusta kansallisesti tulkita väljemmin tai tiukemmin?

Suomessa 5/2018 – 5/2019 tuli vireille 11892 asiaa, joista tietoturvaloukkauksia koski 3748. Huhtikuussa 2019 Tanskassa taksiyritystä rangaistiin vanhojen asiakkaiden puhelinnumeroiden säilyttämisestä ilman perusteita, yritys selitti säilyttämistä tietojärjestelmän kankeudella. Tietosuoja-asetuksen yleiset käsittelyperiaatteet mm. “tietojen minimointi” ja “säilytyksen rajoittaminen” eivät täyttyneet. Sakoksi suositeltiin 160 000 €, joka on 3% vuosittaisesta liikavaihdosta, yleensä suositukset hyväksytty Tanskassa muutoksetta. Suomi tulee noudattamaan yhteistä pohjoismaista linjaa. Koska tietosuoja-asetus on koko EU:n yhteinen, yksi maa ei voi pitkällä aikavälillä tulkita sitä poikkeuksellisen väljästi tai tiukasti, siihen puuttuvat muut jäsenmaat.

Tarkoittaako rekisterinpitäjä käytännössä kaikkia yrityksiä joilla on henkilökuntaa?

Käytännössä kyllä, melkein kaikki yritykset ja organisaatiot käsittelevät henkilötietoja. Rekisterinpitäjä on yritys, viranomainen, yhdistys tai muu yhteisö, ei tietty osasto, työntekijä tai rekisteriä teknisesti ylläpitävä palveluntarjoaja. Käytännössä lähes kaikki yritykset ovat siis rekisterinpitäjiä jo pelkästään sillä perusteella, että heillä on omaa henkilökuntaa.

”Ilmoitusvelvollisuus henkilötietojen loukkaamisesta.” Kuka on valvontaviranomainen?

Joka maalla on oma valvontaviranomainen, jonka jäsenvaltio nimittää. Asetuksen mukaan valvontaviranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja. Sen lisäksi on EU-tasoinen johtava valvontaviranomainen, joka määrittelee sellaisten rekisterinpitäjien toimintaa, joilla on toimintaa useammissa maissa. Euroopan tietosuojaneuvosto voi lisäksi antaa sitovia tulkintoja asetuksen soveltamisesta.

Eikö lähes kaikissa yrityksissä ole henkilötietojärjestelmä, jossa on tiedossa vaikka ammattiliiton jäsenyys?

Usein näin on. Kyseessä on silloin erityinen tietoryhmä, eli puhutaan arkaluontoisista tiedoista. Jos organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin, silloin tietosuojavastaava tulisi nimittää.

Onko henkilöstömäärällä myös merkitystä siihen pitääkö tietosuojavastaava nimittää?

Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy rekisteröityjen henkilöiden säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia.

Asetuksen mukaan velvollisuus tietosuojavastaavan nimittämiseen tulee kyseeseen, kun yksi ehto näistä täyttyy:

  • on kyse julkisen sektorin toimijasta, joka ei ole tuomioistuin.
  • organisaation ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.
  • organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.
Vastuusta suhteessa ulkoisiin palveluntarjoajiin; onko todella niin, että sen voi täysin ulkoistaa palveluntarjoajalle?

Vastuuta ei voi koskaan ulkoistaa, vastuu on aina organisaatiolla itsellään. Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, pitää näiden sopimusten sisältö käydä läpi ja tarkistaa, vastaako se asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.

Asetuksen mukaan ulkoistaessa henkilötietojen käsittelyä rekisterinpitäjän (=se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan) ja käsittelijän (= se todellinen tietoja tallentava, kokoava ja säilyttävä jne.) on jatkossa sovittava kirjallisesti.

Rekisterin pitäjän määritelmästä vielä – entä kun kyse on b2b-asiakkaiden tiedoista, jotka tarvitaan palvelun tuottamista varten? Tiedoissa on esim. nimi, sähköposti, titteli ja yritys…

Ei ole merkitystä, onko rekisteri b2b- vai b2c-käytössä. Oleellista on, että kun henkilötiedoista pidetään rekisteriä, jonka voi yhdistää luonnollisin henkilöihin, kyseessä on henkilötietorekisteri.

Käytössäni on Microsoftin Azure-palvelu, onko Microsoft rekisterinpitäjä? Koskevatko asetuksen velvoitteet myös Microsoftia ja muita amerikkalaisia firmoja.

Asetuksessa on säädetty henkilötietojen siirtämisestä EU:n ulkopuoliselle toimijalle jonka tarkoituksena on varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään – myös EU:n ulkopuolella, kuten internetissä usein on asian laita. Asetusta sovelletaan tietyissä määritellyissä tilanteissa myös EU:n ulkopuolelle sijoittautuneisiin organisaatioihin. Tietoja ei saa myöskään luovuttaa EU-alueen ulkopuolelle ilman henkilön lupaa.

Miten määritellään henkilötieto? Ovatko esimerkiksi laskutusjärjestelmässä olevat yksityisasiakkaan osoitetiedot tämän asetuksen piirissä?

Henkilötieto on kaikkeen tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, osoite, ip-osoite, henkilötunnus, sormenjälki kuvana, sähköpostiosoite, luottokortin numero).

Olemme konserniin kuuluva osakeyhtiö. Riittääkö, että tietosuojavastaava on nimitetty emoyhtiöön, eikä meillä sitä erikseen tarvitse olla, vaikka meillä on laajamittaista henkilöjen tietojen säilömistä?

Tietosuojavastaava voi olla organisaation henkilöstön jäsen tai ulkoistettu resurssi joka voi toimia myös useamman eri organisaation tietosuojavastaavana. Konserni voin nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.

Uusiin sopimuksiin kannattaa varmaan saada mukaan viittaus siihen, että noudattaa GDPR:ää. Miten nykyiset voimassa olevat sopimukset?

On syytä käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseksi. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta.

Tilivelvollisuus tarkoittaa, että yrityksessä on toteutettu tarvittavat organisatoriset- ja tekniset toimenpiteet. Onko olemassa listaa mitä nämä toimenpiteet ovat?

Ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilintekovelvollisuus) noudattavansa lakia.

Organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:

  • henkilöstön koulutus
  • henkilöstölle annetut ohjeet ja määräykset
  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • säilytyksen rajoittaminen ja
  • eheys ja luottamuksellisuus.

Eräs keino osoittaa tämä on toteuttaa edellisten tietojen perusteella laadittava tietotilinpäätös.

Muodostaako kameravalvonnan tallennin henkilörekisterin (julkisessa tilassa olevat kamerat, esim. rautatieasemalla)?

Tallennettu kuva ja ääni ovat henkilötietoja, jos yksityishenkilö on niistä tunnistettavissa. Jos kameranvalvontajärjestelmä tallentaa tunnistettavaa kuvaa tai ääntä, kyse on henkilötietojen automaattisesta käsittelystä. Tallenteiden säilytysajalla ei ole vaikutusta henkilötietolain soveltamiseen. Kameravalvonnan harjoittaja on henkilötietolaissa tarkoitettu rekisterinpitäjä, vaikka tallenteet säilytettäisiin esimerkiksi vain tunnin ajan.

Millaisia tietoturvaloukkausilmoituksia tietosuojavaltuutettu on saanut?

Tietoturvaloukkauksia tulee noin 10 päivässä eli 4 kk:ssa toistatuhatta ilmoitusta (2018) ja niiden aiheet vaihtelevat yksittäisiä kansalaisia koskevista ylikansallisiin loukkauksiin.

Myymme järjestelmää asiakkaillemme, jossa säilytetään arkaluontoista henkilötietoa. Palvelut kuitenkin sijaitsevat kumppanimme konesalissa. Mikä on vastuunjako korvausvelvollisuudessa?

Jos kumppani tarjoaa vain kapasiteettipalveluita ja palvelut ovat asiakkaan eivätkä kumppanin, silloin vastuu on asiakkaalla. Jos yrityksesi tarjoaa vaikkapa palkkahallinnon palveluja yrityksille tai yrityksesi pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja, yrityksesi on asetuksen mukaan henkilötietojen käsittelijä.

Rekisterinpitäjän ja käsittelijän tulee palvelusopimuksessa sopia keskinäiset vastuunsa henkilötietojen käsittelystä.

Käytännössä tämä tarkoittaa sitä, että edustitpa sitten rekisterinpitäjää tai henkilötietojen käsittelijää, kaikki yrityksienne väliset henkilötietojen käsittelyä koskevat sopimukset täytyy päivittää.

Julkisissa pilvipalveluissa, Google/O365, tarjoaja pitää itsellä oikeuden muuttaa sääntöjään, miten haluaa. Esim. siirtää data EU:n ulkopuolelle. Miten tällaiseen pitäisi reagoida?

Uuden tietosuoja-asetuksen mukaan rekisterinpitäjien sekä henkilötietojen käsittelijöiden tulee tietää, missä paikassa henkilötietoja käsitellään ja säilytetään. Mahdollisuutta siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle rajoitetaan asetuksessa ankarasti.

Pilvipalvelut saattavat mahdollisesti käyttää ETA:n ulkopuolella sijaitsevia palvelimia. Myös pilvipalvelun tietojenkäsittelylaitteisto voi olla EU:n ulkopuolisen palveluntarjoajan hallinnassa. Tällöin henkilötietojen siirron tulee tapahtua tietosuoja-asetuksen tiedonsiirtosääntöjen mukaisesti.

Onko lopullinen vastuu tietosuojavastaavalla vai firmalla? Eli jos firma ei toteuta tietosuojavastaavan ehdotuksia tilanteen parantamiseksi, niin kumpaa mahdollisesti sakotetaan? Onko tietosuojavastaavalla juridista vastuuta henkilönä?

Vastuu on yrityksellä. Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Tietosuojavastaava ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle. Tietosuojavastaavan on oltava riippumaton eikä hän saa ottaa vastaan ohjeita tehtäviensä hoitamisen yhteydessä.

Koskeeko asetus myös Ahvenmaan postimyyntiyrityksiä?

Kyllä koskee.

Miten pohjoismaisiin tietosuojakäytäntöihin ym. vaikuttaa se, että kaikki Pohjoismaat eivät ole EU:n jäseniä?

Pohjoismaat, jotka eivät kuulu EU:hun, noudattavat yleistä tietosuoja-asetusta ETA-sopimuksen perusteella.

Miten WhatsApp -sovelluksen käyttö esim. koulun ja päiväkodin viestinnässä? Pysyykö henkilötiedot EU:n / ETA:n sisäpuolella? Onko turvallista?

Henkilötietojen käsittelyssä on noudatettava henkilötietojen käsittelyä koskevaa lainsäädäntöä. EU:n yleisen tietosuoja-asetuksen lisäksi henkilötietojen käsittelyyn sovelletaan tietosuojalakia (tuli voimaan 1.1.2019) joka täydentää ja täsmentämään tietosuoja-asetusta. Lisäksi henkilötietojen käsittelyyn voi vaikuttaa toimialakohtainen lainsäädäntö. Unionin oikeuden etusijaperiaatteen mukaisesti kansallista lainsäädäntöä ei voi soveltaa siten, että se olisi ristiriidassa tietosuoja-asetuksen kanssa.

Henkilötieto on määritelty tietosuoja-asetuksen 4 artiklan 1 kohdassa. Tietosuoja-asetuksen yhtenä periaatteena on riskiperusteinen lähestymistapa ja riskiarvio tehdään rekisteröidyn näkökulmasta. Arviossa huomioidaan henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

WhatsApp-sovelluksen käytössä tulisi selvittää tarkemmin esimerkiksi, minkälaisia tietoja siellä tultaisiin käsittelemään, miten tiedot on suojattu ja millaiset käyttöehdot palvelussa on. WhatsApp on maailmanlaajuisesti käytössä oleva palvelu, joka voi mahdollisesti siirtää henkilötietoja EU:n ulkopuolelle. Rekisterinpitäjän tulee ottaa edellä mainitut asiat ja niihin liittyvä lainsäädäntö huomioon, kun se arvioi, onko sovellus mahdollista ottaa käyttöön.

Kuka ei voi asemansa puolesta olla tietosuojavastaava?

Tietosuojavastaavan on oltava riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Koska jokainen organisaatio on erilainen, eturistiriitoja on tarkasteltava tapauskohtaisesti.

Tietosuojavastaava ei voi olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelyn tarkoitusten ja keinojen määrittely on rekisterinpitäjälle kuuluva tehtävä. Eturistiriitoja voi syntyä, jos tietosuojavastaavaksi on nimetty esimerkiksi tietoturvavastaava tai ylimmän johdon edustaja.

Asetusta ei liene sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn, jos se on yksinomaan henkilökohtaista?

Juuri näin, asetuksen soveltamisalan ulkopuolelle jää henkilön henkilökohtaisen tai kotitalouttaan koskevan toiminnan yhteydessä suorittama henkilötietojen käsittely. Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.

Asetusta sovelletaan kuitenkin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, jotka mahdollistavat ym. tietojen keräämisen tarjoamassaan palvelussa.

Mitä tarkoitetaan käyttäjän profiloinnin rajoituksella?

Yritykset eivät saa käyttää keräämiään tietojaan tai myydä niitä ilman käyttäjän lupaa. Jokaisella luonnollisella henkilöllä on oltava oikeus olla joutumatta tietojen automaattisen käsittelyn avulla tapahtuvaan profilointiin perustuvien toimenpiteiden kohteeksi. Esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista. Tällaiset toimenpiteet ovat kuitenkin sallittavia jos ne ovat hyväksytty laissa, toteutettu sopimuksen tekemisen tai sen täytäntöönpanon yhteydessä tai rekisteröity on antanut niihin nimenomaisen suostumuksensa.

Mitä tarkoittaa yhteisrekisterinpitäjät?

Yhteisrekisterinpitäjyydestä on kysymys silloin, toimijat määrittelevät yhdessä henkilötietojen käsittelyn tarkoitukset ja keinot sekä jakavat rekisterinpitäjän vastuun. Tällöin yhteisrekisterinpitäjien tulee tietosuoja-asetuksen 26 artiklan mukaisesti määritellä keskinäisellä järjestelyllä ja läpinäkyvällä tavalla kunkin vastuualueet tietosuoja-asetuksessa olevien velvoitteiden noudattamiseksi. Tehtävänjaon rekisteröidyn oikeuksien käytön sekä rekisteröidyn informoinnin osalta on oltava selkeä. Järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

Voiko arkaluonteisia tietoja käyttää Microsoftin pilvipalveluissa, esim. Yammer?

Yrityksen tai organisaation saattaa olla hankala tai jopa mahdoton näyttää toteen asetuksen 32 artiklan vaatimukset käsittelyn tietoturvallisuudelle. Esimerkiksi Yammer yleensä postittaa keskustelut sähköpostilla niille ryhmän jäsenille, jotka eivät ole keskustelun aikana aktiivisesti läsnä, mutta on esimerkiksi mainittuna keskustelussa. Mobiiliudessa ja pilvipalveluiden käytössä kannattaa huomioida, että käsiteltävä tieto saattaa levitä hallitsemattomasti organisaation ulkopuolisiin laitteisiin.

Jos palautekyselyissä mainitaan työntekijän nimi, tuleeko se pseudonymisoida tai anonymisoida palautteista?

Henkilötietoja tulee aina käsitellä vain siinä määrin, kuin se on tarpeellista. Jos kyselyistä saatavia palautteita käsitellään sellaisiin tarkoituksiin, joissa työntekijän yksilöinti ei ole tarpeen, on yksilöivät tiedot syytä poistaa palautteesta. Työntekijöiden henkilötietojen käsittelyssä tulee lisäksi ottaa huomioon, mitä yksityisyyden suojasta työelämässä on säädetty.

Näin jossain esityksessä määritelmän asetuksen sitovuuden ”raja arvoista” jossa rekisterinpitäjää sitoi vaatimukset jos yksilöiviä rekisteri tietueita oli yli 5000kpl. Onko tällainen kohtuullisuus pykälä olemassa? Esim. jos parturilla on asiakasrekisterissä 200 henkilöä, ovat asetuksen vaatimukset todella kuormittavia.

Asetuksessa on määritelty poikkeus, joka koskee alle 250 työntekijän yrityksiä. Poikkeus koskee velvoitetta ylläpitää selostetta käsittelytoimista. Poikkeus ei kuitenkaan ole voimassa, jos käsittely ”todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu erityisiin tietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.”

Lisäksi toimenpiteitä toteutettaessa otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski. Yksiselitteistä raja-arvoa asetus ei määritä, mutta edellä olevan perusteella suojausvaatimukset ovat parturilla kevyemmät kuin vaikkapa terveydenhuollon potilasrekistereissä.

IP osoite, joka näkyy, eikä välttämättä ole minun vaan palomuurin tai koulun/kirjaston tietokoneen, tulkitaanko se henkilötiedoksi?

Osa IP-osoitteista on yksityisverkon osoitteita, jolloin julkiseen internetiin näkyy vain palvelun tarjoajan yhdyskäytävän julkinen IP-osoite. Esimerkiksi puhelimet ja koti-adsl-reitittimet saattavat taas käyttää hyvin pitkiä aikoja samaa julkista IP-osoitetta, jolloin laitteen käyttämä internet-yhteys pystytään kohdistamaan käyttäjään. IP-osoite jää www-palvelimien lokitietoihin, joissa taas näkyvät myös www-palvelimelta pyydetyt sivut tai www-palvelimelle lähetetyt tiedot. IP-osoite on henkilötieto ja se voidaan monissa tapauksissa liittää käyttäjään. Erityisen tarkkaan kannattaisi miettiä, antaako sijaintitietojaan (esimerkiksi selaimen kysymiä), koska yhdessä IP-osoitteen kanssa voidaan myös henkilön liikkumista paikantaa.

Miten asetuksen suhteen tulisi tehdä?

Tietoturvan ja tietosuojan nykytila-analyysi on hyvä lähtökohta johon kannattaa käyttää ulkopuolisen asiantuntijan apua.

Tietosuojavaltuuten toimisto suosittelee tekemään tietotilinpäätöksen. Tietotilinpäätös on organisaation laatima vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Tietotilinpäätöstä voidaan käyttää yhtenä keinona tietosuoja-asetuksen osoitusvelvollisuuden toteuttamisessa.

Kysy meiltä – Me vastaamme.

ME LÖYDÄMME RATKAISUJA

Tietoturvallisuuden Toiminnanohjaus™ mahdollistaa riskien tehokkaan tunnistamisen

lataus

TIETOHALLINTO

Tietohallintopalvelumme auttaa valitsemaan oikein. Analysoimme toimintaprosessit ja etsimme ratkaisun.

Tietojrjestelmt

TIETOSUOJA

Tietoturvallisuuden Toiminnanohjaus™ on tietoturvallisuuden prosessilähtöinen analysointi ja kehittäminen

Konsultointi

TIETOTURVALLISUUS

Tietosuojavastaava -palvelu on organisaatioille, joiden tietosuojavastaava toimii tehtävässä oman toimen ohella.

Haluatko saada lisätietoa tai tarjouksen teille sopivasta ratkaisusta