27.10.2020

Tunnista ja tunne tietosuojavastuusi!

EU:n yleinen tietosuoja-asetus, tuttavallisemmin GDPR, aiheutti voimaan tullessaan paljon kohinaa yritysten keskuudessa. Asetuksen asettamat sanktiot ja vaatimukset herättivät kasapäin kysymyksiä ja ennakkoluuloja sekä runsaasti lisätyötä organisaatioiden tietosuojasta vastaaville tahoille. Kuluneiden päivien aikana koko suomalaista yhteiskuntaa järkyttänyt Psykoterapiakeskus Vastaamon asiakastietojärjestelmän tietomurto on nostanut ennennäkemättömällä ja surullisella tavalla esiin tietoturva- ja tietosuojavelvoitteiden merkityksen. Ottamatta enempää kantaa kyseiseen tapaukseen uskon viime päivien uutisoinnin herättäneen useat yritykset pohtimaan velvollisuuksiaan rekisterinpitäjänä entistä tarkemmin. Jokaisen rekisterinpitäjän, oli kyse sitten yhdistyksen jäsenrekisteristä tai pk-yrityksen asiakasrekisteristä, on tärkeä tunnistaa vastuunsa ja tietosuojan merkitys jokaisen yksilön perusoikeutena.

On hyvä muistaa, että:

  • Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero, kotiosoite, sähköpostiosoite (kuten etunimi.sukunimi@lrhto.fi), auton rekisterinumero, sijaintitiedot, IP-osoite, potilastiedot ja isovanhempien perinnöllisiä sairauksia koskevat tiedot.
  • Rekisterinpitäjä on ihminen, yritys, viranomainen tai yhteisö, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjä voi olla esimerkiksi jäsenistään tietoja keräävä yhdistys, asiakasrekisteriä pitävä asianajotoimisto, verkkokauppa tai sosiaalisen median palvelu. Tietojen säilytystavalla ei ole merkitystä. Tietoja voidaan säilyttää IT-järjestelmien ohella perinteisessä paperiarkistossa.
  • Kaikki henkilötietoihin kohdistuvat toimenpiteet tietojen suunnittelusta ja keräämisestä niiden käsittelyyn ja henkilötietojen poistamiseen ovat henkilötietojen käsittelyä. Yleisessä tietosuoja-asetuksessa säännellyt tietosuojaperiaatteet tulevat noudatettavaksi koko henkilötietojen käsittelyn elinkaaren ajan.  

Tietosuojaperiaatteiden mukaan henkilötietoja on käsiteltävä muun ohella luottamuksellisesti ja turvallisesti. Henkilötietoja tulee suojata niin luvattomalta ja lainvastaiselta käsittelyltä kuin vahingossa tapahtuvalta hävittämiseltä, tuhoamiselta ja vahingoittumiselta. Rekisterinpitäjän on arvioitava mahdollisia riskejä ja organisaatioon tietosuoja- ja tietoturvan tasoa sekä ennen käsittelyyn ryhtymistä että koko henkilötietojen käsittelyn elinkaaren ajan. Suojatoimien riittävyyttä ja toimivuutta on testattava säännöllisesti. Riskianalyysi korostuu erityisesti määriteltäessä niitä teknisiä toimenpiteitä, joilla henkilötietoja suojataan. Tarvittaessa rekisterinpitäjän on ryhdyttävä parannustoimiin havaittujen puutteiden korjaamiseksi. Turvallisuuden vaatimukset on otettava huomioon myös esimerkiksi ulkoisten tiedonkäsittelijöiden, kuten pilvipalvelutarjoajien, kanssa solmittavissa sopimuksissa.

Huomionarvoista on, että edelleen suurin osa tietosuojaloukkauksista tapahtuu huolimattomuuden, inhimillisten virheiden sekä rekisterinpitäjän tietämättömyyden ja jopa välinpitämättömyyden seurauksena. Mikäli rekisterinpitäjä ei huolehdi henkilötietojen luottamuksellisesti ja turvallisesta käsittelystä, voi laiminlyönneillä olla vakavia seurauksia rekisteröidyille. On hyvä muistaa, että hakkerointien ja kyberhyökkäysten ohella tietoturvaloukkauksia voivat olla esimerkiksi hävinnyt USB-tikku, varastettu tietokone tai henkilötietoja sisältävän sähköpostin lähettäminen väärälle henkilölle.

Tietoturvaloukkauksesta tulee ilmoittaa tietosuojavaltuutetun toimistolle, mikäli loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille tai vapauksille. Tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta. Tietoturvaloukkauksesta on ilmoitettava myös rekisteröidylle silloin, jos loukkaus todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille. Korkean riskin olemassaolo arvioidaan tapauskohtaisesti. On kuitenkin selvää, että mitä arkaluonteisempaan tietoon tietoturvaloukkaus kohdistuu, sen suurempi riski siitä aiheutuu loukkauksen kohteena olevalle henkilölle.

Monessa organisaatiossa GDPR:n tuomien vaatimusten huomioon ottaminen on vielä yli kaksi vuotta asetuksen voimaantulon jälkeen alkutekijöissä.  Organisaatioiden on viimeistään nyt herättävä arvioimaan, mitä kaikkea tietoa niillä on hallussaan ja miten kyseistä tietoa säilytetään ja käsitellään.

Milla Forsman

asianajaja