Tietosuoja - SecMeter

Sisältöön

Tietosuoja

Yritysturvallisuus > Tietosuoja
Tietosuoja henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

Tietosuojalla tarkoitetaan henkilön oikeutta määrätä itseään koskevien tietojen käytöstä. Käytännössä tämä tarkoittaa sitä, että käytettäessä henkilötietoja muihin kuin lainsäädännössä mainittuihin käyttötarkoituksiin, tarvitaan tietojen keräämiseen henkilön suostumus, joka on annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen hyväksyntä henkilötietojen käsittelyn.

Rekisterinpitäjällä tulee olla riittävät taloudelliset ja tekniset edellytykset henkilötietojen asianmukaiseen käsittelyyn.
Laillisuusvalvonnassa tai kansainvälisten ihmisoikeuksien valvontaelinten oikeuskäytännössä ei ole hyväksytty lainvastaisen tilan oikeutukseksi sitä, että organisaatiolla ei ole taloudellisia resursseja saattaa tilannetta lain edellyttämän mukaiseksi. Lähde: (apulaisoikeusasiamiehen sijainen Pasi Pölönen 4.7.2012 Dnro 150/4/11)

EU:n 99 artiklaa sisältävä tietosuoja-asetus (GDPR, General Data Protection Regulation) hyväksyttiin lopullisesti torstaina 14.4.2016 Euroopan parlamentin ja neuvoston päätöksillä. Asetus julkaistiin Euroopan unionin virallisessa lehdessä 4.5.2016. Yritysten ja julkisen sektorin on sovellettava kaikessa henkilötietojen käsittelyssä tietosuoja-asetusta 25.5.2018 alkaen.

Tietosuoja-asetus jättää jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Suomessa säädettiin uusi tietosuojalaki, jolla täydennettiin ja täsmennettiin EU:n yleistä tietosuoja-asetusta. Hallituksen esitys tietosuojalaiksi (HE 9/2018) annettiin eduskunnalle 1.3.2018.

Tietosuoja-asetuksessa tietoyhteiskunnan palvelujen käytön alaikärajaksi on määritelty 16-vuotta. Kansallisella lainsäädännöllä on mahdollista laskea ikäraja 13-vuoteen asti. Yleisin ikäraja EU-maissa on 16-vuotta, mutta esimerkiksi Ruotsissa ja Tanskassa 13-vuotta.

Uusi tietosuojalaki oli tarkoitus saada voimaan 25.5.2018. Kesällä 2018 laki oli kuitenkin edelleen valiokuntakäsittelyssä. Tietosuojalaki kumoaa voimaan tullessaan nykyisen henkilötietolain ja lain tietosuojalautakunnasta sekä tietosuojavaltuutetusta.

Suomessa henkilörekistereiden suojaamiseen ja henkilötietojen käsittelyn valvontaan on suhtauduttu huolestuttavan yliolkaisesti. Henkilörekistereiden kontrollit ja valvonta ovat useimmilla rekisterinpitäjillä täysin riittämättömällä tasolla. EU:n tietosuoja-asetus pyrkii korjaamaan tilannetta mm. rekisterinpitäjän osoitusvelvollisuuden avulla.

Rekisterinpitäjät ovat ottaneet vain harvoin huomioon henkilörekisterien rakentamiseen liittyvissä vaatimusmäärittelyissä mm. lokitietojen, käyttövaltuushallinnan ja henkilötietojen käytönvalvonnan vaatimukset. Useimmille rekisterinpitäjille riittävä tavoite on ollut jonkin tasoisen perustoiminnallisuuden saavuttaminen. Kyberuhkan konkretisoituessa yrityksen johto toteaa tyypillisesti, että ”henkilötietojen luottamuksellisuus on meille äärettömän tärkeätä ja kaiken toimintamme lähtökohta”.

Tietojärjestelmien kehitysvaiheessa tietoturvan merkitystä ei kuitenkaan ymmärretä. Tietoturva-asiantuntijoita ei kuunnella ja jos kuunnellaankin ei riittäviä konkreettisia tietoturvamekanismeja toteuteta tai niiden toimivuutta testata. Tietojärjestelmien määrittelijöillä ei ole useinkaan ollut riittävää käsitystä hyvästä rekisterinpitotavasta, säädösten asettamista velvoitteista ja rekisteröityjen oikeuksien huomioimisesta. Tietojärjestelmäprojekteille on ollut tyypillistä, että näitä asioita mahdollisesti koskevat vaatimukset siirretään kiireestä ja kustannussyistä johtuen jatkokehittämisen varaan, eikä niihin koskaan palata.

Tietosuojavaltuutetun mukaan terveydenhuollon sektorilla on määrällisesti eniten ilmoitettuja tietovuotoja, eikä tilanne näytä kehittyvän parempaan suuntaan. Toinen merkittävä ilmoitusten kohde on rahoitustoimiala. Tilastojen perusteella vuoden 2018 kuuden ensimmäisen kuukauden aikana tietosuojavaltuutetulle tuli noin 4200 juttua vireille. Juttumäärä oli enemmän kuin vuonna 2017 yhteensä. Lähteet: yle.fi 27.7.2018, TV1 uutislähetys 27.7.2018 kello 20.30.

Kansalaisilla on oikeus luottaa siihen, että rekisterinpitäjä operoi henkilötiedoilla luottamuksellisesti, joko henkilön antamalla suostumuksella tai lakisääteisten tehtäviensä puitteissa. Jokaisen työyhteisön jäsenen tulee ylläpitää hyvää tietosuojakulttuuria ja viestittää luottamuksellisuutta henkilötietojen käsittelyssä.

Rekisterinpidon vastuuhenkilöiden kohdalla kysymys on lopulta siitä, että uskaltaa rohkeasti kyseenalaistaa totuttuja toimintamalleja ja asettaa kilpailevat intressit (tietosuojaperiaatteiden toteutus, resurssipula, kiire ja kustannukset) oikeaan arvojärjestykseen. Tätä kyseenalaistusta ei rekisterinpitäjän henkilöstö useinkaan rohkene tehdä.


TIETOSUOJAPERIAATTEET

Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat rekisterin osan. Rekisterinpitäjällä tulee olla kokonaiskuva henkilötietojen käsittelyn nykytilasta mm. siitä mitä henkilötietoja se käsittelee ja miten tietosuojaperiaatteet on huomioitu. Rekisterinpitäjän keskeisiä tietosuojaperiaatteita ovat:

  • käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • tietojen täsmällisyys
  • tietojen säilytyksen rajoittaminen
  • tietojen eheys ja luottamuksellisuus
  • rekisterinpitäjän osoitusvelvollisuus.

Rekisterinpitäjän on noudatettava tietosuojaperiaatteita kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjällä on osoitusvelvollisuus, jonka perusteella rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuojaperiaatteita.

Hyvä tietosuojakulttuuri
Hyvä tietosuojakulttuuri muodostuu tietosuojaa kunnioittavista ratkaisuista ja teoista, niin pienten kuin suurtenkin asioiden kohdalla. Hyvän tietosuojakulttuurin muodostuminen edellyttää johdon tahtotilaa ja johdon hyväksymiä kirjallisia käytännesääntöjä, joiden noudattamisen valvontaan se on sitoutunut.

Käytännesääntöjen tulee myös näkyä käytännön toiminnassa siten, että tietosuojaa loukkaavia menettelytapoja ei hyväksytä ja asiat pyritään ratkaisemaan rekisteröityjen oikeuksia kunnioittaen.

Huono tietosuojakulttuuri
Huonoa tietosuojakulttuuria edustaa johdon ja henkilöstön välinpitämättömyys tietosuojaa koskevia käytännesääntöjä kohtaan. Erityisen huonoa tietosuojakulttuuria edustavat toimintatavat, joissa johto ei puutu käytännesäännöistä poikkeamiseen tai hyväksyy hiljaa ratkaisuja, jotka loukkaavat hyvää rekisterinpitotapaa ja lopulta murentavat hyvän tietosuojakulttuurin perusteita.

Johdon tulee ottaa huomioon, että organisaatiossa vakiintunut käytännesääntöjen vastainen toimintakulttuuri (hiljainen hyväksyntä) katsotaan juridiikassa sopimuksenluonteiseksi ja siten oikeutta luovaksi menettelytavaksi. Näin ollen johdon myötävaikuttaessa käytännesääntöjen mitätöintiin se kantaa myös osavastuun mahdollisten tietosuojaloukkausten seurauksista.

Henkilötiedot kappatavarana
Henkilötietojen keräys on kansainvälinen ilmiö. Tietojen vahingollista käyttöä ei kyetä valvomaan. Esimerkiksi henkilötiedot ja henkilöprofiilit ovat kauppatavaraa, joita tuotetaan, liikutellaan ja myydään yhä monipuolistuvin ja tehostuvin menetelmin.

Tietojärjestelmät keräävät monenlaisia tietoja henkilöistä, joita on mahdollista yhdistellä automaattisesti. Henkilötietoja on myös mahdollista profiloida monin eri tavoin. Tietojen pohjalta voi syntyä päätöksiä, jotka loukkaavat ja rajoittavat henkilön tasavertaisuutta tai laillisia oikeuksia.

Kansalaisten ja erityisesti tiettyjen yhteiskunnan avainhenkilöryhmien henkilötiedot vieraan valtion tiedustelupalvelun käsissä vaarantaa kansallisen turvallisuuden ja mahdollistaa mm. valehenkilöllisyyksien luomisen (illegaalit). Asialla on luonnollisesti myös toinen valoisampi puoli, tietoja voidaan käyttää ja myös käytetään asianmukaisesti henkilön eduksi ja hyödyksi. Ongelmaksi asia muodostunee silloin, kun henkilö menettää kontrollin itseään koskeviin tietoihinsa, eikä voi päättää mihin häntä koskevia tietoja käytetään.

Henkilötunnuksen käyttö
EU:n tietosuoja-asetuksen 87 artiklan mukaan jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilönumeron tai muun yleisen tunnisteen käsittelyn edellytykset. Kansallista henkilönumeroa tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tietosuoja-asetuksen mukaisesti.

Henkilötunnus ei ole sinänsä salassa pidettävä tai arkaluonteinen tieto. Rekisterinpitäjän kuitenkin huolehtimaan siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. (Lähde: Eduskunnan oikeusasiamies 14.12.2007, Dnro 3229/4/06)

Case "Työterveydenhuolto"
Työpaikkalääkäri tiedusteli vuositarkastuksen yhteydessä potilaansa rahatilannetta, koska lääkärin tiedossa oli, että potilaan palkasta ulosmitataan vanhoja velkarästejä. Eduskunnan oikeusasiamiehen ennakkopäätöksen mukaan tieto ulosotosta ei saa olla muiden kuin ulosottomiehen, palkanlaskijan ja ulosmitattavan henkilön tiedossa.

Henkilötietojen käsittely on erittäin herkkä ja arkaluonteinen asia. On suositeltavaa, että yrityksen lakimies tarkistaa ja hyväksyy kaikkien henkilötietoja käsittelevien sovellusten kuvaruutunäytöt (kuvaruudulle tulostuvat tiedot).

Case "Käsittelyvirhe Helsingin sosiaalivirastossa"
Asiakas sai postissa oman päätöksensä liitteenä toisen asiakkaan paperit. Asiakkaan omat asiapaperit olivat kadonneet käsittelyn aikana. Selvityksen mukaan kahden asiakkaan paperit olivat menneet ristiin käsittelyn aikana. Virheen syytä ei pystytty toteamaan.

Apulaisoikeuskansleri Jonkka piti aiheellisena, että sosiaaliviraston työntekijöiden ohjeistuksessa ja koulutuksessa painotetaan salassapitosäännösten huolellista noudattamista ja sen varmistamista, ettei asiakkaan luottamuksellisia tietoja joudu toisten asiakkaiden tietoon.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön