Henkilötietojen suojaaminen - SecMeter

Sisältöön

Henkilötietojen suojaaminen

Yritysturvallisuus > Tietosuoja
Riittävää turvallisuustasoa ei ole määritelty lain tasolla eikä oikeustapausten perusteella. Lähtökohtaisesti rekisterinpitäjän tulee itse arvioida käsittelyn riskit ja osoittaa turvallisuustason riittävyys, ottaen huomioon rekisterinpidon tarkoitus ja laajuus.

Sisäänrakennetun tietosuojan periaate velvoittaa huomioimaan tietosuojaperiaatteet. Tietosuoja-asetuksen 32 artiklassa luetellaan henkilötietojen käsittelyn turvallisuuteen liittyvät toimenpiteet.

Rekisterinpitäjän on käsittelyn turvallisuutta arvioidessaan otettava huomioon seuraavat seikat:

  • uusin tekniikka
  • toteuttamiskustannukset
  • henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset
  • luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit
  • rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.

Turvallisuustason toteutuksen tulee pohjautua asianmukaiseen riskiarvioon. Tietosuoja-asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on asianmukaisen turvallisuustason arvioinnissa kiinnitettävä huomiota henkilötietojen käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Ratkaisuja asianmukaisen turvallisuustason saavuttamiseksi

  • henkilötietojen pseudonymisointi ja salaus
  • kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
  • kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
  • menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Suojaamiseen liittyviä keskeisiä vaatimuksia

  • Henkilörekisterien käyttäjillä tulee olla henkilökohtainen voimassa oleva käyttövaltuus.
  • Käyttövaltuus voidaan myöntää vain toimenkuvan mukaisten tehtävien hoidon edellyttämiin rekisteripalveluihin.
  • Käyttövaltuutta ei myönnetä henkilön aseman perusteella.
  • Käyttäjätunnusten tulee olla henkilökohtaisia. Henkilökohtaisen käyttäjätunnuksen salaista osaa (esimerkiksi salasana tai PIN-luku) ei saa luovuttaa edelleen toiselle henkilölle.
  • Henkilö vastaa käyttäjätunnuksellaan tehdyistä rekisteritapahtumista.
  • Työnantaja on huolehtinut, että käyttäjät ovat sitoutuneet tietojen salassapitoon.
  • Käsittelijän on huomioitava hyvään tietojenkäsittelytapaan sisältyvät yksityisyyttä tukevat menettelytavat henkilötietojen kaikissa käsittelyvaiheissa.

RIKOSKOMISARIO SAI SAKOT VIRKASALAISUUDEN RIKKOMISESTA
Vaasan hovioikeus tuomitsi rikoskomisarion sakkoihin virkasalaisuuden rikkomisesta. Mustasaaren käräjäoikeus oli aiemmin antanut samassa jutussa vapauttavan päätöksen. Komisario oli luovuttanut eläinaktivistien henkilötietoja muotitalo Halosen toimitusjohtajalle. Eläinaktivistit olivat osoittaneet mieltä toimitusjohtajan asunnon edustalla. Lähde: (iltalehti.fi 10.12.2009)

YLIKOMISARIO JA PELASTUSLAITOKSEN PALOESIMIES HAASTETTIIN KÄRÄJÄOIKEUTEEN
Syyttäjän mukaan liikkuvan poliisin ylikomisario oli käyttänyt poliisin tietojärjestelmän tietoja sellaisiin tarkoitusiin, jotka eivät liittyneet hänen virkatehtäviinsä. Ylikomisariota syytettiin virkasalaisuuden rikkomisesta, virkavelvollisuuden rikkomisesta ja henkilörekisteririkoksesta. Paloesimiestä syytettiin virkasalaisuuden rikkomisesta. Syyttäjä vaati miehille sakkorangaistusta. Molemmat kiistivät oikeudessa syytteet.

Mikkelin käräjäoikeus tuomitsi liikkuvan poliisin ylikomisarion 860 euron päiväsakkoihin henkilörekisteririkoksesta ja virkavelvollisuuden rikkomisesta. Syyte virkasalaisuuden rikkomisesta hylättiin. Käräjäoikeuden mukaan ylikomisario oli katsonut poliisin tietojärjestelmästä vaimonsa työntekijään liittyviä tietoja. Lähteet: (Iltalehti.fi 18.5.2009, Ilta Sanomat 22.6.2009)

TULLIN YLIETSIVÄ LUOVUTTI TIETOJA POLIISIN REKISTEREISTÄ
Tullin ylietsivä käytti poliisin rekistereitä naisystävänsä ystävättären miesystävän taustojen selvittämiseen. Ylietsivä tarkisti miehen mahdolliseen huumerikollisuuteen liittyvät taustatiedot.

Tarkistuksen tuloksena ylietsivä kertoi naisystävälleen, ettei kyseisellä miehellä ollut huumerikostaustaa. Hovioikeus tuomitsi tullin ylietsivän 640 euron sakkorangaistukseen virkasalaisuuden rikkomisesta. Lähteet: (HS.fi 30.6.2008, Ilta Sanomat 1.7.2008, Iltalehti 30.6.2008)

POLIISI LUOVUTTI TIETOJA POLIISIN REKISTEREISTÄ
Raision kihlakunnan poliisilaitoksella työskennellyt vanhempi rikoskonstaapeli tarkisti luvatta kahden henkilön tiedot poliisin rekistereistä. Poliisi tuomittiin Turun käräjäoikeudessa virkasalaisuuden rikkomisesta 810 euron sakkorangaistukseen. Tietoja poliisilta pyytänyt mieshenkilö oli osallisena raharyöstön yritykseen ja ryöstöön. Lähde: (HS.fi 10.1.2008, Ilta Sanomat 10.1.2008)

POLIISIN TIEDOT VUOTIVAT
Helsingin keskustan poliisipiirin vanhempaa konstaapelia epäiltiin virkasalaisuuden rikkomisesta. Tutkinta- ja kenttätehtävissä toimiva poliisi jäi kiinni salaisten virkatietojen luovuttamisesta. Epäilyt poliisin toimintaa kohtaan heräsivät vuotta aikaisemmin, kun poliisipiiri sai asiasta riittävän näytön. Jutun tutkinnanjohtajana toimi Vantaan syyttäjä. Lähde: (Iltalehti 22.2.1999)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön