EVÄSTEET JA NIIDEN SALLITTU KÄYTTÖ

Tietosuojavaltuutetun toimisto antoi 14.5.2021 päätöksen siitä, miten organisaatioiden tulisi pyytää suostumus evästeiden tallentamiseen. Aikaisempien Traficomin ohjeiden mukaan katsottiin, että usein selainasetuksella annettava suostumus on riittävä. Päätöksen mukaan käyttäjä ei voi antaa selainasetuksella suostumusta muihin kuin teknisesti välttämättömiin evästeisiin, eikä ”jatkamalla sivun selailua hyväksyt evästeet” -ilmoituksella.

Vaikka evästeet ovat tietosuojassa vain yksityiskohta, niistä käytävää keskustelua on viime vuosina ollut tietosuojasäännösten muututtua, myös kansallisen ja eurooppalaisen tulkinnan eroavaisuuksien vuoksi.

Päätöksen osalta on huomioitavaa, että mikään säädös ei ole muuttunut eikä mikään oikeusaste ole antanut aiemmasta poikkeavia tulkintoja. Kyseessä on siis yksittäisen viranomaisen tulkinnan muutos. Epäselvyyttä on tuottanut toimivaltuuksien jakautuminen Suomessa, tietosuojavaltuutettu valvoo henkilötietojen käsittelyä, joita voidaan kerätä mm. evästeiden kautta, mutta evästeiden teknisen asentamisen lainmukaisuus on Traficomin toimivallassa. Päätöksen myötä ohje vastaa melko hyvin niitä tulkintoja, joita muissa EU-maissa on tehty jo aiemmin samojen asetusten pohjalta. Mitään siirtymäaikaa ei ole, joten näin olisi pitänyt toimia jo vuosia.

Yleinen tietosuoja-asetus (2016/679) sisältää edellytykset sille, milloin henkilön antamaa suostumusta voidaan pitää pätevänä: suostumus on annettava aktiivisella toimella, että se on vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu henkilötietojen käsittelyyn, eikä sitä voi antaa esimerkiksi vaikenemalla, valmiiksi rastitetulla ruuduilla tai jättää jokin toimi toteuttamatta. Tahdonilmaisu voisi olla, että käyttäjä rastittaa itse ruudun vieraillessaan verkkosivustolla tai valitsee itse asetukset palvelussa. Suostumuksen peruuttaminen tulee olla myös yhtä helppoa kuin sen antaminen, eikä peruuttamisesta saa aiheutua haittaa.

Jos sivustolla käytetään kolmansien osapuolien evästeitä mm. mainonnan kohdentamiseksi tai palveluiden kehittämiseksi, käyttäjälle tulee tarjota aito tilaisuus valita vapaasti, hyväksyykö hän tarjotut ehdot vai hylkääkö ne, sivuston ylläpitäjän omassa palvelussa, eikä vierailemalla kunkin kumppanin verkkosivuilla erikseen ja kieltää evästeiden käyttö jokaisen kohdalta erikseen.

Nyt olisi korkea aika tarkastella omien www-sivujen ja mobiiliapplikaatioiden käytäntöjä. Vaikka yleisesti puhutaankin vain evästeistä, nämä säännöt koskevat kaikkea käyttäjän päätelaitteelle tallennettavia tietoja. Toiminnan kannalta teknisesti välttämättömiä evästeitä saa edelleen asettaa, mutta esimerkiksi analytiikkaan ja mainontaan liittyvät vaativat aina suostumuksen.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.

PUHELIMITSE TAPAHTUVA TIETOJENKALASTELU

Ilmiöstä käytetään myös englanninkielistä nimitystä vishing.  Vishing tulee sanoista voice phishing, eli kyse on huijauspuheluista. Vishing eroaa perinteisestä ja esimerkiksi sähköpostin avulla tapahtuvasta phishingistä siinä, että tietoja kalastellaan nimenomaan soittamalla uhrin puhelimeen. Vastaaja manipuloidaan luovuttamaan henkilökohtaisia tietojaan, joilla rikollinen sitten tekee rahaa.

Suomessa esiintyneet teknisen tuen huijauspuhelut näyttävät saaneen uutta vauhtia. Huijauspuhelu voi tulla mistä numerosta tahansa, myös suomalaisesta. Soittajan numerot ovat väärennettyjä, joten niiden estämisestä ei ole apua.

Useissa tapauksissa Intialaisittain englantia puhuva soittaja on kertonut edustavansa Microsoftin teknistä tukea – Windows technical department.

Puheluita saattaa tulla esim. suomalaisesta 045-numerosta, brittiläisestä +44-numerosta ja marokkolaisesta +212-numerosta. Numeron alkuperään ei voi luottaa, sillä ne ovat usein väärennettyjä. Näytöllä voi myös lukea, että numero on tuntematon. Erityisen ikävä huijaustapa on sellainen, jossa puhelinnumero on väärennetty muistuttamaan aitoa puhelinnumeroa. Tällöin huijari saattaa esiintyä luotettavana tahona ja pyrkii luottamuksen kautta saamaan uhrista tietoja ja rikollista hyötyä. Esim. muka pankista soittava huijari pyytää jollain verukkeella uhria kertomaan verkkopankkitunnuksensa.

Huijauksen kaava on yleensä samanlainen. Soittaja väittää, että uhrin tietokoneella on tietoturvaongelma ja pyytää avaamaan koneen korjatakseen sen. Soittaja vetoaa kiireeseen ja haluaa, että tietokoneeseen asennetaan etähallintaohjelma ”avun antamiseksi”. Todellinen tarkoitus on kaapata tietokone sekä onkia käyttäjän arkaluonteisia tietoja ja sitten esimerkiksi kirjautua uhrin pankkitilille rahan varastamista varten tai tehdä bitcoin-ostoksia tämän nimissä.

Soittaja ei aina esiinny Microsoftin nimissä. Huijari voi väittää edustavansa myös esimerkiksi kotimaista teleoperaattoria ja kertoa, että tietosi pitää päivittää esimerkiksi palvelinrikon takia. Kyse on silkasta huijauksesta, sillä operaattorit eivät pyydä mitään tietoja puhelimitse, eivätkä varsinkaan soita minkään laite- tai muun vian takia.

Tiedossa on myös soittoja, joissa puhelin on pirissyt, mutta lakannut pian soimasta. Tähän on kaksi mahdollista selitystä: kyseessä voi olla kalliiksi käyvä takaisinsoittohuijaus. Puhelimeen jää tieto vastaamattomasta puhelusta, jonka tarkoitus on houkutella vastaanottaja soittamaan takaisin tähän ulkomailla olevaan numeroon. Takaisin soittaminen voi tulla kalliiksi, sillä EU-alueen ulkopuolella olevaan puhelinnumeroon soittaminen voi maksaa useita euroja minuutilta, satelliittipuhelinnumeroon soittaminen jopa kymmenen euroa minuutilta tai enemmän. Toinen vaihtoehto on, että kyse on läpi menneestä Microsoft-huijaussoittoja tehtailevasta tietokoneen tekemästä automaattisoitosta, johon ei ole löytynyt huijarien soittokeskuksesta vapaata työntekijää. Tuntemattomasta numerosta tulleeseen puheluun ei kannata soittaa takaisin.

Kyberturvallisuuskeskukselle on raportoitu satoja puhelinnumeroita, joista huijaussoittoja on tullut. Yleisiä numeroita ovat esimerkiksi +35840. +35845. 09-alkuiset numerot tai muiden kotimaisten telealueiden suuntanumerot. Myös yritysnumeroita ja samoja numeroita ilman ulkomaan suuntanumeroa esiintyy paljon.

Jos olet vastannut epämääräiseen puheluun, lyö luuri soittajan korvaan. Rikolliselle ei tarvitse olla kohtelias. Usein nämä huijarifirmat myös opastavat työntekijöitään, kuinka pohjoismaisia uhreja pitää lähestyä, jotta nämä lentävät helpommin lankaan.

Jos konnat saivat pääsyn tietokoneellesi tai pankkitilillesi, soita heti pankkiisi ja tee sen jälkeen rikosilmoitus.

Poista huijarin asentamat etähallintaohjelmat, ja vaihda kaikki sähköpostin, sosiaalisen median ja muiden palveluiden salasanat. Huijarit keräävät muun muassa sosiaalisesta mediasta julkisia tietoja niistä henkiöistä, joille soitetaan.

Suhtaudu epäilevästi kaikkiin yllättäviin puhelinsoittoihin, sähköpostiviesteihin tai vierailuihin, joissa tuntematon henkilö väittää olevansa peräisin luotetusta organisaatiosta.

Älä luovuta tietoja itsestäsi, ellet ole varma henkilön valtuuksista pyytää niitä.

Rajoita sosiaalisessa mediassa jakamasi henkilökohtaisen tiedon määrää. Internet on julkinen tietovaranto, joten jaa vain sellaista tietoa jonka kaikki saavat nähdä.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.

ETÄTYÖ JA TIETOTURVA

Koronapandemian vuoksi maailma ei ole enää entisensä, mm. etätyö aiheuttaa merkittäviä muutoksia työelämään ja muutos heijastuu globaalisti koko yhteiskuntaan, koska etätyö sekä etäopetus ovat tulleet jäädäkseen ja saattavat jatkaa kasvuaan tästä eteenpäin. Painetta siihen tulee myös ilmastonmuutoksen takia, koska myös työmatkaliikenne on osittain korvattavissa etätyöllä.

Organisaatiot ovat varautuneet huonosti etätyön tietoturvallisuusuhkiin, niiden tulee kuitenkin tiedostaa oma vastuunsa riskien minimoimisessa, sillä tämä ei ole sellainen asia, josta viranomaisten pitäisi huolehtia yritysten ja organisaatioiden puolesta.

Laaja siirtymä etätyöhön lisäsi myös suojaamattomien laitteiden määrän verkoissa. Kehityssuunta on huolestuttava, koska Internetiin näkyvät etäyhteyspalvelut altistavat laitteet ja käyttäjät mahdollisten haavoittuvuuksien hyödyntämiselle. Rikolliset etsivät murrettavia palveluita verkosta automatisoidusti ja yrittävät tunkeutua niihin. Pahimmissa tapauksissa hakkerit voivat murtautua kodin kautta työpaikan verkkoon. Kukaan tuskin haluaa olla se työntekijä, jonka todetaan olleen koko yritysverkon saastuttaneen haittaohjelman alkuperä. Saatat kuitenkin tietämättäsi toimia yritykseen kohdistuvan hyökkäyksen murtokohtana. On myös hyvä muistaa, että rikollisilla on tapana käyttää huijaus- ja kalasteluviesteissään ajankohtaisia teemoja kuten korona

On myös huomioitava mitä etätyön järjestäminen vaatii luottamuksellisen tiedon käsittelyssä, asiakasturva, tietoturva ja tietosuoja huomioiden. Kotona olosuhteet saattavat olla vaihtelevassa kunnossa, siksi etätyötä tehtäessä tulee noudattaa soveltuvin osin kaikkia samoja turvallisuusperiaatteita kuin varsinaisissa toimitiloissa suoritettavassa työssä. Työntekijän on myös sitouduttava noudattamaan etätyössä samaa salassapitovelvollisuutta, jota häneltä työssä ollessa normaalistikin edellytetään.

Näillä vinkeillä varmistat, ettet tule huijatuksi ainakaan oman hölmöilysi takia

Työasioita ei kailoteta julkisissa liikennevälineissä eikä salassa pidettäviä asioita puhuta edes perheen kesken kotona. Epäilyttäviä linkkejä ei avata ja saaduista huijausviesteistä ja mahdollisista huijausyrityksistä tulee aina ilmoittaa tietoturvasta vastaavalle henkilölle tai esihenkilölle, eikä henkilötietoja sisältäviä dokumentteja lähetetä salaamattomalla sähköpostilla. Riskin toteutumisen voi usein välttää sillä, että pysähtyy hetkeksi miettimään ennen kuin toimii.

Tee päivitykset ajallaan

Kun teet päivitykset ajallaan, haittaohjelmat eivät pääse käyttöliittymän aukoista läpi. Haittaohjelmaa kannattaa epäillä, jos kone hidastuu yhtäkkisesti tai käyttäytyy muuten oudosti. Ongelmasta voivat kertoa esimerkiksi haittaohjelmasta varoittavat ponnahdusikkunat, ilmoitukset joissa kerrotaan, että tietoturvaa tarkistetaan ja yhtäkkisesti aukeava selaimen ehdotus tallentaa tai suorittaa jokin tiedosto.

Huolehdi ajantasaisesta virustorjuntaohjelmasta

Koneelle kannattaa ladata laadukas virustorjuntaohjelma. Myös virustorjunta tulee pitää ajan tasalla ja tehdä päivitykset. Virustorjuntaohjelman tulee olla aina toiminnassa ja tarkistaa, onko ohjelmisto päivittynyt.

Älä käytä samaa salasanaa monessa palvelussa

Tähän syyllistyy moni. Kun on keksinyt yhden hyvän salasanan, sitä sitten käytetään jokaisessa mahdollisessa paikassa. Käytäntöön liittyy vain se ongelma, että jos salasana murretaan, murtajalla on nyt pääsy kaikkiin palveluihin, joissa käytät samaa salasanaa.

Käytä sellaisia salasanoja, jotka ovat pitkiä, mutta kuitenkin helposti muistettavissa. Esimerkiksi runonpätkä voi toimia hyvänä salasanana, kun sitä muokkaa erikoismerkein.  Tärkeintä on, että salasanat ovat riittävän vahvoja ja jokaiseen palveluun käytetään eri salasanaa.

Käytä myös eri selaimia eri tarkoituksiin: esimerkiksi Facebook yhdellä selaimella, sähköposti toisella ja pankkiasiat kolmannella. Eri selaimia käyttämällä voi välttyä tietyltä profiloinnilta, jota tehdään selaimen evästeiden perusteella. Esimerkiksi pankkiasioiden hoitamiseen voi käyttää selaimen yksityistilaa, jolloin selaimen ei pitäisi tallentaa evästeitä.

Epäilyttävän sähköpostin tunnusmerkit

• Viestissä vedotaan kiireeseen
• Lähettäjän sähköposti ei ole uskottava. Kiinnitä huomiota sähköpostiosoitteen muotoon kuten lähettäjän nimeen ja epätyypilliseen verkkotunnukseen
• Viestissä vedotaan kohdehenkilön korkeaan asemaan
• Viestissä vedotaan pelkoon maksamatta jättämisen seuraamuksista
• Viestissä on linkki, jonka kohde on tuntematon. Tarkista ensimmäisenä linkin kohde viemällä kursori linkin päälle klikkaamatta itse linkkiä. Jos epäilet vähääkään viestin aitoutta, älä avaa mitään linkkejä.

Muista myös…

Yhteisten ohjeiden ja tiedostojen täytyy olla kaikkien löydettävissä ja saatavilla, milloin tahansa ja missä tahansa. Toki jotkut tiedot voivat olla saatavilla vain tietyllä organisaatiotasolla. Kuitenkaan minkään tiedon ei pitäisi olla vain yhden ihmisen tiedossa missään vaiheessa. Älä rakenna itsestäsi työyhteisöä hidastavaa pullonkaulaa rajoittamalla tiedonsaantia.

Tarkista osoitetiedot

Kun hoidat esimerkiksi pankkiasioita tai teet ostoksia verkossa, muista aina tarkistaa osoiteriviltä, että käytössä on salattu yhteys. Salatun yhteyden tunnistaa osoitteen alkuosasta, jossa www-osoite alkaa muodossa https://. Mikäli yhteys ei ole salattu, et voi luottaa siihen, että joku ylimääräinen osapuoli ei pääse käsiksi esimerkiksi luottokorttitietoihisi. Älä myöskään kopioi suoraan url-osoitetta esim. sähköpostiviestistä vaan kirjoita se selaimen osoiteriville.

Toimitusjohtajahuijaus

Toimitusjohtajahuijauksessa huijarit lähettävät toimitusjohtajan tai muun avainhenkilön nimissä sähköpostia ja yrittävät saada esim. maksuliikennettä hoitavan henkilön tekemään tilisiirtoja rikollisten tileille. Jos epäilee sähköpostin aitoutta, kannattaa klikata Vastaa-toimintoa. Tällöin todellisen meiliosoitteen pitäisi tulla näkyville. Jos toimitus- tai talousjohtajan käyttämä sähköpostiosoite on esimerkiksi TJ@yritys.fi, rikolliset ovat saattaneet lähettää huijausviestejä osoitteesta TJ@yritys1.fi. Mikäli hiemankin epäilee viestin aitoutta, tulee se varmistaa esimerkiksi puhelinsoitolla. Tarkistus kannattaa tehdä etenkin epätavallisissa tilisiirroissa tai muissa tavanomaisesta toiminnasta poikkeavissa tilanteissa.

Nykyisin myös suorat puhelinsoitot ovat yleistyneet. Näissä puheluissa soittaja voi esiintyä esimerkiksi Microsoftin tukihenkilönä. Tällä varjolla hän yrittää saada yhteyden tietokoneeseesi ja sitä kautta haltuunsa esimerkiksi henkilötietosi ja pankkiyhteystietosi. Älä koskaan anna puhelimessa tietoja, jotka sisältävät salasanoja, henkilötietoja tai muita yksilöiviä tietoja.

Sosiaalinen media

Facebookissa tai muussa sosiaalisen median palvelussa kerrottuja tietoja voidaan käyttää haitanteossa ja rikollisissa tarkoituksissa. Monesti tiedot päätyvät isompaan levitykseen kuin alun perin oli tarkoitus. Siihen voi liittyä monia uhkia. Samalla tavalla kuin kotiosoitteen kertominen, myös matkojen kehuminen voi helpottaa rikollisten työtä huomattavasti. Jo vuonna 2010 uutisoitiin siitä, kuinka varasliiga valitsi kohteensa sosiaalisen median lomakuvien perusteella. Ja kuten monesti on todettu, kerran internetiin ladattua tai kirjoitettua asiaa ei enää saa sieltä lopullisesti pois.

Kun lataat puhelimeesi uutta sovellusta, kannattaa tarkistaa, millaisiin tietoihin sovellus pääsee käsiksi. Tarvitsetko todella sovelluksen, joka vaatii oikeudet puhelutietoihisi ja tekstiviesteihisi? Yksityisiä tietojasi voidaan näin myydä eteenpäin, joten ei ole mitään takuita siitä, minne ne päätyvät.

…tiedot, jotka kiinnostavat verkkorikollisia

• Tiedot, jotka ovat muunnettavissa rahaksi sellaisenaan
• Tiedot, jotka ovat hyödynnettävissä rikosten tekemiseen, kuten
  • Liikesalaisuudet
  • Henkilö- ja terveystiedot
  • Käyttäjätunnukset ja salasanat
  • Maksukorttitiedot

Älä luovuta arkaluontoisia tietoja sähköpostitse

Tiedätkin jo, että viranomaiset tai esimerkiksi pankkisi eivät koskaan tiedustele salasanojasi tai muuta arkaluontoista tietoa sähköpostitse. Jos epäilyksesi heräävät, kysy itseltäsi seuraavat kysymykset: Kuka kysyy? Miksi? Jos sinusta tuntuu jotain palvelua käytettäessä oudolta tai sinua alkaa epäilyttää palvelun luotettavauus, luota vaistoosi.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.

TOIMINNANOHJAUS KATTAA NYT MYÖS TIETOTURVALLISUUDEN

Talouselämä 11/2019 | Verkkolehti sivu 29

Jotta toimintaa voidaan ohjata, täytyy ymmärtää sen tavoitteet ja keinot niihin pääsemiseksi. Näin on myös tietoturvallisuudessa. Tämän perusajatuksen pohjalta on kehitetty Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™. Menetelmä perustuu prosessien analysointiin ja ottaa kantaa tietoturvallisuuden suunnitteluun, toteutukseen ja hallintaan.

EU:n tietosuoja-asetus pakotti organisaatiot selvittämään ja kuvaamaan henkilötietojen käsittelytapoja. Usein analyysi perustui henkilötietoja sisältävien tietokantojen läpikäyntiin.

”Tietoturvallisuuden Toiminnanohjaus™ lähestyy asiaa organisaation toiminnan luonteen, prosessien ja niille asetettujen tavoitteiden, vaatimusten ja työnkuvien kautta”, kertoo Matti Timonen, yksi Fordione Oy:n perustajista.

”Näin voidaan varmistua siitä, että tarvittavat tietoturvallisuustoiminnot ovat vaatimusten mukaisia ja että ne huomioidaan myös työnkuvissa ja niihin liittyvässä osaamisessa.”

”GDPR-projektit vahvistivat näkemystämme siitä, että tekninen tietoturvallisuus on Suomessa varsin hyvässä kunnossa, mutta hallinnollisella puolella riittää vielä tekemistä”, Timonen jatkaa.

Tämä merkitsee muun muassa jatkuvuudenhallintaa, riskikartoituksia, tietoturvallisuuden jatkuvaa parantamista, hallintomalleja sekä henkilöstön tietoturvallisuustietoisuuden lisäämistä.

Lue koko artikkeli: lataa pdf  tai avaa verkkojulkaisu

Lue lisää tietoturvallisuuden toiminnanohjauksesta

SUOMALAISET EIVÄT LUOTA YRITYKSIIN HENKILÖTIETOJEN KÄSITTELIJÖINÄ

Kun olin nuori mies, näin elokuvan, joka suorastaan räjäytti tajuntani. Merimies, jonka aallot hylkäsivät, oli teoksen nimi. Siinä oli mielestäni kaikkea, mitä teinipoika tarvitsi (säästän teidät kuitenkin sisällön kertomiselta ja annan mielikuvitukselle tilaa). Kehuinkin elokuvaa estoitta ystävilleni. Kysyttäessä mistä se kertoo, kerroin itse jotain hämärää. Elokuvan syvin olemus oli auttamatta peittynyt noiden mieltäni syvästi kutkuttaneiden kohtausten alle. Harmi sinällään, sillä elokuva on omalla karulla tavallaan vallan mainio.

Vastaava hämmennys valtasi mieleni lukiessani Tiedon teettämästä tietosuojaan liittyvästä tutkimuksesta (HS 13.2.2019). Jutun mukaan lähes puolet suomalaista kokee nimenomaa yritykset joko jonkin verran, tai peräti erittäin epäluotettavina henkilötietojen käsittelijöinä. Mitenkäs tämä voi olla mahdollista? Etenkin kun suurin osa suomalaisista yrityksistä kertoo kysyttäessä tehneensä GDPR:n edellyttämiä muutoksia ja kaikki on nyt sen suhteen enemmän kuin kunnossa. Tarkennetaan sen verran, että tuo viimeisin väittämä perustuu osittain tutkimuksiin, mutta ennen kaikkea empiiriseen palautteeseen. Väittämän perusteella on kaiketi pakko uskoa, että asiat ovat todella kunnossa. Vai olisiko sittenkin pienen skeptisyyden paikka? Mitäpä, jos uskoisimmekin englantilaista matemaatikkoa ja filosofia William Kingdon Cliffordia? Hän kun väitti, että on suorastaan moraalitonta uskoa mihinkään ilman riittäviä perusteita.

Haaste ei siis välttämättä ole siinä, etteikö asioita olisi tehty. Varmasti on tehty. Enemmän tai vähemmän, mutta tehty on. Voisiko ongelmaksi siis muodostua suomalainen perisynti, eli vaatimattomuus? Ajatusmalli siitä, että mitä niillä tehdyillä asioilla nyt repostelemaan, kun lainpykälät kerran täytetään. Harmittavasti kapuloita rattaisiin lyö saman tutkimuksen Ruotsissa saadut tulokset. Ne kun ovat perin samansuuntaisia. Ja koska me, jos jotkut, tiedämme, että vaatimattomuus ei välttämättä ole se suurin ruotsalainen perisynti, on syytä siis etsittävä jostain muualta.

Asetuksen yksi olennaisimmista asioista on henkilötietojen käsittelyn läpinäkyvyys. Rekisteröidyn tulee tietää mitä tietoja hänestä on kerätty, miksi näin on tehty, mihin tietoja luovutetaan ja kauanko niitä säilytetään. Omat tiedot tulee päästä myös tarkastamaan ja tietyissä tilanteissa poistamaan. Nyt kun mediat pullistelevat uutisia epämääräisistä tietojen luovutuksista ja tietomurroista ja näiden aiheuttamista murheista, on entistä tärkeämpää, että yksilö todella tunnistaa ja tiedostaa itsestään kerätyt tiedot ja niiden käyttötarkoituksen. Asetuksen minimivaade tämän ehdon täyttämiselle on rekisteröidyn informointilomake. Oikein laadittuna se kyllä, ainakin periaatteessa, kertoo nuo yllä mainitut asiat. Mutta sitten toisaalta, eikös tuo tutkimuksen tulos kerro, että tämä ei tunnu oikein riittävän? Käsittelyyn kun ei selosteista huolimatta luoteta. Tuleekin olla siis vielä avoimempi ja läpinäkyvämpi.

Ennen tietosuoja-asetuksen voimaantuloa Tietosuojavaltuutetun toimisto lanseerasi tietotilinpäätös -konseptin. Sisäiseen ja ulkoiseen käyttöön tarkoitetun raportin, joka kuvaa läpinäkyvästi kaikki organisaation tietovarannot, tietovirrat ja tietojen käsittelyyn liittyvät järjestelmät sekä tietojen käyttötarkoitukset.Lisäksi se ottaa kantaa rekisteröidyn oikeuksiin, tiedon käsittelijöihin, käsittelyyn liittyviin riskeihin, tiedon elinkaareen, sekä sihen, miten tietosuoja ja tietoturva toteutuvat organisaation toiminnassa. Siis ylipäätään kaikkiin niihin asioihin, jotka rekisteröidyn kannalta ovat olennaisia. Tietotilinpäätöksen hienoin puoli on se, että lähtökohtaisesti sitä ei tuoteta kertaluonteisesti, vaan vuosittain osana hyvin hallittua tietoturvallisuutta. Näin varmistutaan, että kaikki vuoden aikana tapahtuneet muutokset huomioidaan ja viestitään rekisteröidyille. Tämä jos mikä tuo läpinäkyvyyttä ja auttaa luomaan luottamusta organisaation henkilötietojen käsittelyyn. Eli tekemään juuri sitä, mikä tuntuu tällä hetkellä olevan hieman kateissa. Olisiko siis nyt aika tuottaa tietotilinpäätös? Ettei vain kävisi, kuten sille elokuvan merimiehelle.

EU:N TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET

EU:n yleistä tietosuoja-asetusta 679/2016 (General Data Protection Regulation) alettiin soveltamaan täysimääräisenä 25.5. 2018. Asetuksena GDPR on suoraan sovellettavaa EU lainsäädäntöä. Asetus sisältää sääntelyn mm. siitä, milloin saa kerätä ja käsitellä henkilötietoja ja mitä velvollisuuksia henkilötietojen käsittelyyn liittyy. Lähtökohtana on suojella kuluttajaa ja turvata heidän oikeutensa koskien henkilötietojen käsittelyä. Asetus koskee kaikkia EU:n alueella toimivia yrityksiä ja yhteisöjä ja se on suoraan sovellettavaa lainsäädäntöä.

Asetus sisältää kansallista liikkumavaraa mahdollistaen jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa asetuksen mukaiset muutokset toteutetaan tietosuojalailla (1050/2018), joka tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsemmennetään tietosuoja-asetusta ja sitä sovelletaan rinnakkain asetuksen kanssa sekä se korvaa vanhan henkilötietolain.

Asetuksen velvoitteiden noudattamista tuetaan tehokkaalla täytäntöönpanolla; valvontaviranomainen voi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja merkittäviä hallinnollisia sakkoja.

Tietoturvan on oltava kunnossa. Tietosuojaa ei pystytä toteuttamaan ilman kunnollista tietoturvaa. Tietosuoja-asetuksen merkittävimpiä muutoksia on osoitusvelvollisuus. Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä aktiivisesti osoittamaan noudattavansa lakia. Tietosuojan tulee olla sisäänrakennettuna kaikkeen organisaation toimintaan.

Tilintekovelvollisuusperiaate tarkoittaa, että organisaatioiden tulee osoittaa asetuksenmukaisuutensa ja riittävät tietosuojaan tähtäävät toimenpiteet, jotka täytyy todistaa dokumentaatiolla.

Näitä ovat mm. tietosuojapolitiikka, tietosuojaselosteet, tietoarkkitehtuuri- ja tietovirtakuvaukset, koulutusmateriaalit, sertifioinnit, tietotilinpäätösraportointi, roolit, vastuut, prosessit, työohjeet ym.

Organisaation johdon ja esimiesten rooli tietosuojan toteutumisessa

Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät tyypillisesti henkilötietojen käsittelyä koskevat päätökset eli käyttävät rekisterinpitäjälle kuuluvaa määräysvaltaa. Johto ja esimiehet toimivat myös esimerkkinä henkilötietojen käsittelyssä sillä he myös käsittelevät henkilötietoja esimerkiksi rekrytointien yhteydessä.

Tietosuoja-asetuksen suurimmat muutokset

• Osoitus- ja dokumentointivelvollisuus
• Tietosuojavastaavan  nimittäminen ja tehtävät
• Tietoturvaloukkauksista ilmoittaminen
• Vahingonkorvaus, hallinnolliset sakot ja niihin varautuminen
• Rekisteröityjen laajemmat oikeudet
• Tiukentuneet suostumuksen edellytykset
• Tietosuojaa koskeva vaikutustenarviointi
• Rajoitukset profiloinnille
• Henkilötietojen käsittelijöiden velvollisuudet ja sanktiot
• Sisäänrakennettu ja oletusarvoinen tietosuoja

Rajoitteita

Asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa ammatilliseen tai kaupalliseen toimintaan.

• Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.
• Asetusta sovelletaan kuitenkin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, jotka mahdollistavat ym. tietojen keräämisen tarjoamassaan palvelussa.

Asetuksessa pyritään huomioimaan myös yritysten kokoluokka siltä osin että yritysten on toteutettava vaatimukset kohtuullisin toimenpitein.

Käsitteistöä

Rekisterinpitäjä on taho, joka yksin tai yhdessä toisten tahojen kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Eli se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan.

Rekisteröity on luonnollinen henkilö, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen henkilö tai oikeushenkilö voi kohtuuden rajoissa käyttää.

Henkilötietojen käsittelijä on taho, se todellinen tietoja tallentava, kokoava ja säilyttävä jne. esim. palveluntarjoaja.

Yhteisrekisterinpitäjät päättävät yhdessä yhden tai useamman organisaation kanssa, ”miksi” ja ”miten” henkilötietoja käsitellään.

Tietosuoja on ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. Tietosuojan tarkoituksena on varmistaa, ettei tietoja käytetä ilman aiheetta ja turvata tiedon kohteen yksityisyys sekä edut, oikeudet ja vapaudet sekä oikeusturva.

Tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, saatavuuden ja eheyden turvaamiseen tarkoitetut keinot. Ne toimenpiteet ja (tekniset) keinot, joilla (kaikkia) tietoja pyritään suojaamaan. Tiedot voivat olla mitä tahansa dataa; mittaustuloksia, autojen rekisterinumeroita, rahansiirtoja tai kaupan kuukausiraporttia varten kerättyjä myyntilukuja

Henkilötietoja ovat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietoja ovat esimerkiksi:

• nimi, osoite, IP-osoite
• henkilötunnus, kulttuurinen profiili
• sormenjälki kuvana, terveystiedot
• sähköpostiosoite, verkkotunnistetiedot
• luottokortin numero, tulot
• henkilö jäljitettynä sijaintiin esim. matkapuhelimen avulla
• joissakin tapauksissa myös puhelinnumero ja ajoneuvon rekisterinumero

 

Henkilötietoja saa käsitellä, jos siihen on vähintään yksi seuraavista syistä:

• Suostumus (rekisteröity antaa luvan esim. sähköiseen suoramarkkinointiin)
• Oikeutettu etu (esim. asiakkuus, jäsenyys, työsuhde, sopimus)
• Sopimus (esim. henkilö tilaa tavaroita, jolloin syntyy asiakassuhde)
• Lakisääteinen velvoite (esim. osakasluettelo, palkkatiedot jne.)
• Elintärkeä etu (esim. ihmishenkien suojeleminen)
• Yleinen etu (esim. tutkimus ja arkistointi)

Osoitusvelvollisuus

Osoitusvelvollisuuden avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:

• lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• käyttötarkoitussidonnaisuus
• tietojen minimointi
• täsmällisyys
• säilytyksen rajoittaminen
• eheys ja luottamuksellisuus

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että näitä periaatteita on noudatettu!

Rekisteröidyn informoiminen

Asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva sen vastuulla olevat käsittelytoimet. Tarkoituksena on, että dokumentaation pohjalta saa ajantasaisen kokonaiskuvan organisaation harjoittamasta henkilötietojen käsittelystä ja osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.

Selostetta käsittelytoimista ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidylle suunnatun informaation tuottamisessa. Seloste on osa laajempaa tietosuojan toimintaperiaatteita koskevaa dokumentaatiota esim. tietotilinpäätös. Tämä seloste on pyydettäessä saatettava valvontaviranomaisen saataville.

MITÄ GDPR (GENERAL DATA PROTECTION REGULATION)  KÄYTÄNNÖSSÄ TARKOITTAA?

Tietosuoja oletukseksi

• Oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
• Tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
• Henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville
• Jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset
• Palvelussa tulee oletuksena olla päällä käyttäjän kannalta oikeat tietosuoja-asetukset
• Järjestelmissä oltava olettamana tietosuojan turvaaminen
• Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta aina koko käsiteltävien henkilötietojen elinkaaren loppuun

Tilivelvollisuus

• Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.
• Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan noudattavansa laki. Aiemmin ”Do It”, nyt ”Prove It”
• Velvoittaa dokumentointiin

Ilmoitus tietojen vuotamisesta

• Vähäistä suurempien tietoturvaloukkausten tapahtuessa rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa
• Henkilötietojen käsittelijän on tiedon saamisen jälkeen ilmoitettava viipymättä rekisterinpitäjälle
• Rekisterinpitäjällä on velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta viivytyksettä myös rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle
  • Ei kuitenkaan vaadita jos;
  • on toteutettu asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu niitä ( erityisesti salaus)
  • on toteutettu jatkotoimenpiteet, joilla varmistetaan, ettei korkea riski enää todennäköisesti toteudu
  • ilmoitus vaatisi kohtuutonta vaivaa. Tällöin on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla
• Loukkaukset on dokumentoitava

Rekisteröidyn oikeudet

Oikeus tulla unohdetuksi

• Kun henkilötietoja ei enää tarvita, ne tulee hävittää järjestelmästä, ellei käsittelylle ole laillista perustetta
• Henkilö voi vaatia, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne alun perin kerättiin, ellei käsittelylle ole laillista perustetta
• Henkilötiedot saa pyynnöstä huolimatta säilyttää muun muassa silloin, jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi/rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
• Rekisteröity peruuttaa suostumuksensa tai vastustaa käsittelyä eikä oikeusperustetta käsittelylle ole
• Henkilöllä on oikeus saada omat tiedot käyttöönsä yleisesti käytettävässä tiedonsiirtomuodossa
• Saattaa edellyttää muutoksia niin toimintatapoihin kuin tietojärjestelmiin

Oikeus tietojen siirtämiseen

• Rekisteröidyn pitää halutessaan pystyä viemään tietonsa mukanaan toiselle palveluntarjoajalle
• Rekisteröidyllä on oikeus vaatia, että tiedot siirretään suoraan rekisterinpitäjältä toiselle
  • (Henkilötietojen vapaan liikkuvuuden tukemiseksi EU:ssa ja rekisterinpitäjien välisen kilpailun edistämiseksi)
• Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen sekä automaattiseen käsittelyjärjestelmään
  • (Tämä oikeus koskee vain rekisteröidyn toimittamia tietoja ts. oikeus tietojen siirtämiseen järjestelmästä toiseen kattaa rekisteröidyn tietoisesti ja aktiivisesti toimittamat tiedot sekä hänen toimintansa tuottamat henkilötiedot)
• Helpottaa palveluntarjoajan vaihtamista ja edistää sisämarkkinoiden uusien palveluiden kehittämistä
  • (Tietojen jälleenkäyttöarvo kasvaa)

Oikeus olla joutumatta automatisoitujen päätösten kohteeksi

• Rekisteröidyllä on lähtökohtaisesti oikeus olla olematta sellaisen päätöksen kohde, joka perustuu pelkästään automaattiseen tietojenkäsittelyyn
  • (Esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista)
• Yritykset eivät saa käyttää eivätkä myydä keräämiään luonnolliseen henkilöön liittyviä tietoja ilman lupaa
• Luonnollinen henkilö voi itse määrätä, haluaako hän automaattisen profiloinnin piiriin
• Tällaiset toimenpiteet ovat kuitenkin sallittavia
  • Jos ne ovat hyväksytty laissa
  • Toteutettu sopimuksen tekemisen tai sen täytäntöönpanon yhteydessä
  • Rekisteröity on antanut niihin muuten suostumuksensa

Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä

Rekisterinpitäjällä on velvollisuus toimittaa rekisteröidyille tietoja henkiötietojen käsittelystä kun henkilötietoja kerätään rekisteröidyltä itseltään tai jostain muualta.

Oikeus saada pääsy tietoihin

Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa. Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalveluiden ja verkkotunnistetietojen yhteydessä.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaiseen ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi asetuksessa luetellussa neljästä perusteesta, kuten jos rekisteröity kiistää henkilötietojensa paikkansapitävyyden.

Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille

Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyiden rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.

Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta

Kun henkiötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

Oikeus tehdä valitus valvontaviranomaiselle

Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on, taikka jossa väitetty rikkominen on tapahtunut.

Oikeus saada korvaus aiheutuneista vahingoista

Jos henkilölle aiheutuu asetuksen rikkomisesta aineetonta tai aineellista vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan

Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että häneen asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu asetusta.

Lasten henkilötietojen rekisteröinti

Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tämä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palveluiden käyttämiseen. Rekisterkinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.

Tietosuojavastaava – Data privacy officer

• Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy henkilöiden säännöllinen ja järjestelmällinen seuranta tai erityisiin henkilötietoryhmiin kohdistuva laajamittainen käsittely.
• Tietosuojavastaava voidaan nimittää, vaikkei tietosuoja-asetus tähän nimenomaisesti velvoita. Niissä tilanteissa, joissa tietosuojavastaavan nimittäminen ei ole nimenomaisesti velvollisuus, on organisaatiossa kuitenkin syytä määritellä henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioiminen organisaation toiminnassa ja joka voi toimia yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.
• Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
• Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.
• Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan.
• Tietosuojavastaava ei vastaa tietosuojan toteutumisesta. Vastuu on aina organisaation johdolla.

Hallinnolliset seuraamukset – Administrative sanctions

• Valvontaviranomainen voi määrätä henkilötietojen käsittelyä, keskeyttää henkilötietojen käsittelemisen ja antaa sakkoja jonka määrä voi olla 20 miljoonaa € tai 4 % kansainvälisestä vuotuisesta liikevaihdosta.
• Tämän lisäksi vahinkoa kärsinyt osapuoli voi vielä vaatia korvausta rekisterinpitäjältä tai käsittelijältä sekä oikeus tehdä valitus valvontaviranomaiselle
• Käytettävissä on myös lievempiä keinoja, kuten varoitus, huomautus, rekisterinpitäjälle annettavat määräykset, käsittelyä koskevien rajoitusten asettaminen, keskeytysmääräyksen asettaminen.
• Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuosi.

Entäpä maineriski?

Jos rekisterinpitäjä rikkoo asetusta, viranomainen voi;

• Varoittaa siitä, aiotut käsittelytoimet ovat todennäköisesti asetuksen vastaisia
• Antaa huomautuksen, jos käsittelytoimet ovat olleet asetuksen vastaisia
• Määrätä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn oikeuksien käyttöä
• Määrätä saattamaan käsittelytoimet asetuksen mukaisiksi, tarvittaessa tietyllä tavalla ja määräajassa
• Asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, myös käsittelykiellon
• Pitää sisäistä rekisteriä asetuksen rikkomisista ja niiden vuoksi toteutetuista toimenpiteistä (kuten varoituksista ja seuraamuksista)
• Määrätä sakkoa em. korjaavien toimenpiteiden lisäksi tai asemasta olosuhteista riippuen

”Tanskassa taksiyritystä rangaistiin vanhojen asiakkaiden puhelinnumeroiden säilyttämisestä ilman perusteita, yritys selitti säilyttämistä tietojärjestelmän kankeudella. Tietosuoja-asetuksen yleiset käsittelyperiaatteet mm. ”tietojen minimointi” ja ”säilytyksen rajoittaminen” eivät täyttyneet. Sakoksi suositeltiin 160 000 €, joka on 3% vuosittaisesta liikavaihdosta.”

Vaikutus sopimussuhteisiin

• Sopimuskanta sekä sopimusperäiset järjestelyt arvioitava myös tietosuojanäkökulmasta.
• Valitaan vain sellaisia toimittajia, joiden toimittamien tuotteiden tietosuojataso vastaa asetuksen vaatimuksia
• Tietosuojavaatimukset kannattaa asettaa jo tarjouspyynnössä ja liittää ne osaksi tarjouspyynnön perusteella tehtävää sopimusta
• Perinteisesti: Rekisterinpitäjä ensisijaisessa vastuussa
  • Sekä suhteessa rekisteröityihin että viranomaisiin
• Nykyään: Käsittelijän vastuuasema ja riskit muuttuivat merkittävästi asetuksen myötä, osin ensisijaisessakin vastuussa (yhdessä rekisterinpitäjän kanssa)
  • Vastuuta voidaan lisäksi kanavoida sopimuksellisesti => käsittelijän riskitaso kasvaa merkittävästi
• Säilytetäänkö pilvessä?
• Miten huomioidaan alihankintaketjut?
• Ovatko vanhat sopimukset asetuksen mukaisia?
• Asetuksessa luetellaan yksityiskohtaisesti, mistä asioista on sovittava

Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on jatkossa sovittava siitä kirjallisesti

• Sopimuksessa on oltava ainakin seuraavat seikat käsiteltyinä;
  • käsittelyn kohde ja kesto
  • käsittelyn luonne ja tarkoitus
  • henkilötietojen tyyppi ja rekisteröityjen ryhmät
  • rekisterinpitäjän velvollisuudet ja oikeudet
• Käsittelijän velvollisuudet on mainittava sopimuksessa nimenomaisesti joita ovat:
  • velvollisuus noudattaa rekisterinpitäjän (dokumentoituja) ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
  • huolehtia salassapitovelvollisuudesta
  • palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös jos tiedot lainsäädännön mukaan säilytettävä)
  • antaa rekisterinpitäjälle kaikki ne tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista varten

Asetus vaikuttaa vääjäämättä jokaisen henkilötietoja käsittelevän organisaation toimintaan

Kun organisaatio on kartoittanut henkilötietojen käsittelyn nykytilan, seuraavaksi tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tietosuoja-asetuksen sääntely sen suorittamalle henkilötietojen käsittelylle tarkoittaa. Käsittelyn yhteydessä on toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät.

NELJÄ ASKELTA TIETOSUOJA-ASIOIDEN HALTUUN OTTAMISEKSI

1. Tietosuoja on pidettävä johdon agendalla

• Ensimmäiseksi kannattaa ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään, miksi niitä kerätään (käyttötarkoitus), kuka niitä käsittelee, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan
• Laadittava selosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset
• Varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet
• Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla. Johdon tulee olla sitoutunut tietosuojatyöhön jotta organisaation muun toiminnan tavoitteet toteuttaisivat tietosuojan järjestelmällistä kehitystyötä
• Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (esim. johto, HR, IT-vastaava, lakimies ja viestintä)

2. Tunnistettava toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa

• Selvitettävä EU:n tietosuoja-asetuksen vaikutus organisaation henkilötietojen käsittelyn prosesseihin ja teknologiaan, puutteet verrattuna tuleviin vaatimuksiin sekä näistä puutteista johtuvat riskit.
• Laadittava kehityssuunnitelma vaatimustenmukaisuuden saavuttamiseksi.
• Nykytilan arviointi tämän hetkisten henkilötietojen käsittelyn hallintamallin, prosessien, käytäntöjen, kontrollien ja ohjeistuksen läpikäynti haastattelujen, testauksen ja dokumentaation perusteella.
• Tietosuojan kehityssuunnitelman laadinta nykytila-analyysin ja riskianalyysin pohjalta, kehitystoimenpiteet.
• Tiedon virtojen käsittely ja säilyttäminen eri tasoissa
• Käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä
• Hallinnoidaanko tietoa päällekkäisesti
• Arkistoinnin haasteet

3. Selvitettävä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa, esimerkiksi laatimalla tietotilinpäätös.

Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: tiedon syntyä, käsittelyä, arkistointia ja siirtämistä edelleen yhteistyökumppaneille.

• Tunnistaa tietosuojaa koskevat kysymykset ja otettava ne huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä/kehitetään tietojärjestelmiä
• On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseks.
• Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle

4. Rakennettava tietosuojan kehitysohjelma ja varmistettava menestymisen edellytykset

• Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida
• Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja
• Sisäiset tarkastusmenetelmät esim. tietotilinpäätös
• Ohjeistukset, koulutus ja valvonta
• Toimintasuunnitelma poikkeustilanteiden varalle
• Laaditaan suunnitelma: miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan
• Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely
• Vastuut organisaatiossa

Toimenpiteet, jotka tulee toteuttaa koskien sovellettavaa lainsäädäntöä.

• Valitse tietosuoja-asioista vastaava henkilö
• Tee henkilötiedoista inventaario, mitä henkilötietoja missäkin järjestelmässä
• Tee henkilötietojen käsittelijöiden kanssa kirjalliset käsittelysopimukset
• Varmista että organisaation omalle henkilöstölle sekä henkilötietojen käsittelijöille on laadittu ja toimitettu tarvittava ohjeistus henkilötietojen käsittelystä
• Prosessi koskien henkilötietojen tietoturvaloukkauksia
• Prosessi tietopyyntöjen vastaanottamiseen ja käsittelyyn
• Tee henkilötietojen käsittelyä koskevat selosteet
• Huolehdi osaamisesta
• Valvo henkilötietojen käyttöä
• Seuraa tiedottamista (www.tietosuoja.fi ja www.fordione.fi)

Tiedon elinkaarenhallinnan tietosuojariskejä

• Kerätään liikaa henkilötietoja
• Henkilötietojen käsittelytarkoituksia ei ole määritelty
• Käsitellään vanhentuneita / virheellisiä / epärelevantteja tietoja
• Käsitellään tietoja lainvastaisiin tai käsittelyn tarkoituksen vastaisiin tarkoituksiin
• Käsittelijöiden piiri ei ole minimoitu
• Tietosuojatoimintojen tilasta ei saada tietoa mittareiden ja raportoinnin puutteellisuuden vuoksi
• Henkilötietoihin on pääsy asiattomilla, valvontaa ei ole järjestetty tai se on puutteellista
• Ei suojata tietoja riittävällä tasolla

… JA LOPUKSI, KYSY ITSELTÄSI AINAKIN NÄMÄ;

1. Tiedetäänkö mitä henkilötietoja kerätään?
2. Kenellä on pääsy henkilötietoihin?
3. Missä henkilötietoja säilytetään?
4. Onko henkilötietojen käsittely kuvattu?
5. Siirretäänkö / luovutetaanko / käsitelläänkö henkilötietoja organisaation ulkopuolella?
6. Täyttääkö sopimukset kolmansien osapuolien kanssa GDPR -vaatimukset?
7. Tiedostetaanko yrityksessänne millä edellytyksillä ja mitä tarkoitusta varten henkilötietoja voidaan kerätä, tallettaa ja käsitellä?
8. Onko jokaisesta henkilörekisteristä laadittu julkisesti saatavilla olevat rekisteri- ja tietosuojaselosteet?
9. Onko yrityksenne johdon taholta huolehdittu siitä, että henkilötietojen käsittelyyn liittyvät vastuut ja tehtävät on määritelty asianmukaisesti?
10. Tunnistatko milloin toiminnassa muodostuu henkilötietoja, kun esimerkiksi suunnittelet sähköistä kaupankäyntiä?
11. Voidaanko osoittaa, että kerätyt henkilötiedot ovat henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia?
12. Tiedetäänkö millaisten henkilötietojen käsittely on kiellettyä ja millä edellytyksillä niitä voidaan käsitellä?
13. Tunnistatko rekisteröidyn oikeudet henkilötietojen käsittelyyn, milloin rekisteröidyllä on yleensä oikeus tarkastaa itseään koskevat tiedot sekä vaatia virheellisen tiedon oikaisua sekä kieltää henkilötietojensa käsittely ja miten oikeudet toteutetaan?
14. Noudattaako yritys yleisiä tietosuojaperiaatteita ja kerrotaanko niistä esimerkiksi yrityksen kotisivuilla?
15. Tiedättekö milloin organisaatiolla on tietosuoja-asetuksen mukainen ilmoitusvelvollisuus joista täytyy tehdä ilmoitus valvovalle viranomaiselle ja rekisteröidylle itselleen?
16. Onko organisaatiolle nimetty tietosuojavastaava?
17. Pystytäänkö todistamaan että henkilötietojen keräämiseen on saatu rekisteröidyn suostumus?
18. Onko organisaatiolla johdon hyväksymä tietoturva- ja suojapolitiikka?
19. Onko organisaatiossa tietoturvallisuuteen liittyviä tiedotteita, ohjeita ja koulutusta?
20. Onko organisaatiolla viestintäsuunnitelma, strategia ja politiikka?

TIETOTURVALLISUUDEN TOIMINNANOHJAUS™

Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™ -palvelun avulla EU:n tietosuoja-asetuksen vaatimusten täyttäminen helpottuu olennaisesti. Se ottaa kantaa niin olemassa oleviin kuin vaadittaviin hallintomalleihin ja sen avulla analysoidaan organisaation henkilötietoja käsittelevät prosessit nopeasti ja kattavasti.

Lopputuloksena syntyy tietotilinpäätös, jonka avulla asetuksen osoitusvelvollisuus voidaan täyttää ja joka varmistaa, että tietoturvallisuus on johdon agendalla.

Joustavuutensa ja kustannustehokkuutensa ansiosta se voidaan sovittaa kaiken kokoisille organisaatioille sopivaksi.

Soita meille tai jätä yhteydenottopyyntö TÄSTÄ