Sisältöön

Asiakirjojen turvaluokittelu - SecMeter

Ohita valikko
Ohita valikko

Asiakirjojen turvaluokittelu

Yritysturvallisuus > Tietoturvallisuus
Asiakirjojen turvaluokittelu



Asiakirjojen turvaluokitus on olennainen osa hyvää tiedonhallintatapaa. Siinä asiakirjalle annetaan sisällön perusteella luokitus, joka osoittaa, kuinka suurta suojaamista tieto edellyttää, ja määrittää sen käsittelyyn sovellettavat tietoturvallisuusvaatimukset.

Turvaluokitusmerkinnän ensisijainen tarkoitus on suojata asiakirjan sisältämää tietoa luvattomalta käytöltä, paljastumiselta tai muuttamiselta. Luokitusmerkinnät, kuten Luottamuksellinen, Salainen tai Erittäin salainen, viestivät asiakirjan arkaluonteisuudesta ja ohjaavat, millaisia konkreettisia turvatoimia sen käsittelyssä on noudatettava. Tällaisia toimia voivat olla esimerkiksi säilyttäminen lukituissa tiloissa, pääsyn rajoittaminen vain valtuutetuille henkilöille sekä sähköisten asiakirjojen salaus ja käyttövalvonta.

Suomessa turvaluokitusmerkintä ei ole yrityksille laissa säädetty pakollinen toimi. Julkisuuslaki ja siihen liittyvät säädökset koskevat pääasiassa viranomaistoimintaa, eivätkä edellytä turvaluokitusmerkintöjen käyttöä yksityisellä sektorilla. Tästä huolimatta turvaluokitus on monessa tapauksessa perusteltu ja suositeltava menettelytapa, e erityisesti silloin, kun asiakirjat sisältävät tietoja, joiden vuotaminen voisi aiheuttaa vahinkoa liiketoiminnalle, sidosryhmille tai kansainvälisille suhteille.

Ohjeistuksilla, jotka koskevat turvaluokitusmerkintöjen käyttöä, on tärkeä rooli. Ne eivät ainoastaan täsmennä, milloin merkintä on perusteltu, vaan myös tukevat asiakirjojen suojaamistarpeen arviointia suhteessa lainsäädäntöön, yrityksen omiin tietoturvaperiaatteisiin ja liiketoiminnan vaatimuksiin.

Vaikka turvaluokitusmerkintöjen käyttö ei ole pakollista, niiden harkittu ja johdonmukainen soveltaminen on tärkeä osa vastuullista asiakirjahallintoa. Siksi on olennaista, että yrityksessä tunnetaan turvaluokitusmerkintöjen merkitys ja niitä osataan käyttää oikein sekä lain hengen että käytännön tietoturvatarpeiden mukaisesti.
Suomen oikeusjärjestyksessä julkisuusperiaate toteutuu hallinnon avoimuutena erityisesti asianosais-, käsittely- ja asiakirjajulkisuutena. Julkisia asiakirjoja koskeva tiedonsaantioikeus on säädetty julkisuuslaissa, ja sen mukaan jokaisella on oikeus saada tieto viranomaisen asiakirjasta, jollei laissa toisin säädetä.

Yksityisoikeudelliset yhteisöt kuuluvat julkisuuslain soveltamisalaan vain siltä osin kuin ne hoitavat julkista tehtävää ja käyttävät julkista valtaa. Tällöin niihin sovelletaan samoja avoimuusperiaatteita kuin viranomaisiin. Muussa toiminnassaan yksityiset yritykset eivät ole velvoitettuja noudattamaan julkisuusperiaatetta lainsäädännön nojalla.

Vaikka hyvä tiedonhallintatapa on laissa määritelty erityisesti julkisen hallinnon toimintaa ohjaavaksi periaatteeksi, sen keskeiset osatekijät, kuten tiedon eheyden, saatavuuden ja luottamuksellisuuden varmistaminen ovat olennaisia myös yksityiselle sektorille. Yritysten kannalta hyvä tiedonhallintatapa ei ole pelkästään suositeltavaa, vaan monessa tapauksessa välttämätöntä lainsäädännön noudattamisen, liiketoiminnan jatkuvuuden ja asiakassuhteiden hoidon näkökulmasta.

Yrityksiä koskevat lukuisat säädökset, jotka edellyttävät hyvän tiedonhallinnan mukaista toimintaa. Näitä ovat esimerkiksi:

  • Tietosuojalainsäädäntö (GDPR ja tietosuojalaki), joka edellyttää henkilötietojen käsittelyssä suunnitelmallisuutta, riskienhallintaa, läpinäkyvyyttä ja dokumentointia.
  • Kirjanpito- ja verolainsäädäntö, joka määrittää vaatimuksia tietojen säilyttämiselle ja luotettavuudelle.
  • Sopimus- ja liikesalaisuuslaki (595/2018), joka velvoittaa suojaamaan liiketoiminnan kannalta olennaista salassa pidettävää tietoa.
  • Toimialakohtainen sääntely, esimerkiksi finanssi-, terveys- ja energia-aloilla tietoturva- ja tiedonhallintavaatimukset ovat erityisen tiukkoja.

Hyvän tiedonhallintatavan periaatteiden omaksuminen tukee paitsi sääntelyn noudattamista myös vastuullista ja läpinäkyvää liiketoimintaa. Yrityksille se on keino hallita riskejä, vahvistaa luottamusta ja varmistaa tiedon turvallinen ja tehokas käyttö koko sen elinkaaren ajan.

Yritysten tiedonhallinnan kannalta keskeisiä periaatteita ovat:

  • Tietojen eheys, käytettävyys ja luottamuksellisuus
  • Tietojen elinkaaren hallinta: tiedon luominen, säilytys, arkistointi ja hävittäminen hallitusti
  • Riskienhallinta ja tietoturva
  • Tietojen luokittelu ja käyttöoikeuksien hallinta
  • Läpinäkyvyys ja dokumentointi

Hyvän tiedonhallintatavan hyödyt yrityksille
Hyvin toteutettu tiedonhallinta tuo yritykselle monia etuja:

Luottamuksen vahvistuminen
Turvallinen ja tehokas tiedonhallinta parantaa sidosryhmien luottamusta, mikä voi vahvistaa asiakassuhteita ja tarjota kilpailuetua.

Tehokkaampi riskienhallinta
Hyvä tiedonhallinta vähentää tietovuotojen, vahinkojen ja sääntelyrikkomusten riskiä.

Parempi operatiivinen tehokkuus
Oikeat tiedot löytyvät helposti, mikä nopeuttaa päätöksentekoa ja sujuvoittaa prosesseja.

Sääntelyn noudattaminen
Esimerkiksi GDPR:n, kirjanpitolainsäädännön tai toimialakohtaisten vaatimusten täyttäminen on johdonmukaisempaa ja dokumentoitavissa.

Kansainvälisesti turvallisuusluokiteltu tietoaineisto
Kansainvälisesti turvallisuusluokitellulla tietoaineistolla tarkoitetaan sellaista erityissuojattavaa tietoa, jota Suomen on suojattava kansainvälisen sopimuksen tai Euroopan unionin turvallisuussääntöjen nojalla. Määritelmä perustuu lakiin kansainvälisistä tietoturvallisuusvelvoitteista (588/2004).

Erityissuojattavalla tietoaineistolla tarkoitetaan asiakirjoja, materiaaleja ja niistä johdettuja tietoja, jotka on luokiteltu salassa pidettäviksi kansainvälisen tietoturvallisuusvelvoitteen perusteella. Näihin sisältyvät niin alkuperäiset asiakirjat ja materiaalit kuin myös niistä saatavat tiedot ja niiden pohjalta tuotetut aineistot.

Lakia sovelletaan myös elinkeinonharjoittajiin ja heidän palveluksessaan oleviin, kun nämä ovat osallisina turvallisuusluokitelluissa sopimuksissa tai osallistuvat niiden valmisteluun, kuten hankintakilpailuihin tai alihankintaan.

Ulkoministeriö (UM) toimii kansallisena turvallisuusviranomaisena (National Security Authority, NSA) ja vastaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisesta Suomessa. Valtionhallinnon toimivaltaiset viranomaiset huolehtivat siitä, että suomalaiset yritykset kykenevät käsittelemään ulkomailta tullutta turvallisuusluokiteltua tietoa aineiston vaatimalla tavalla.

Kansainvälisesti turvallisuusluokiteltua aineistoa ovat Suomeen toimitetut asiakirjat, materiaalit ja niihin sisältyvät tiedot, joissa luovuttaja on tehnyt turvallisuusluokkamerkinnän kansainvälisten tietoturvallisuusvelvoitteiden mukaisesti.

Tällaiseen aineistoon sovelletaan lain (588/2004) erityissäännöksiä, jotka säätävät ehdottomasta salassapitovelvollisuudesta. Aineiston salassapitoa ei arvioida julkisuuslain mukaisesti tapauskohtaisesti, vaan se on aina pidettävä salassa, ellei nimenomaisesti toisin määrätä kansainvälisessä sopimuksessa tai sääntelyssä.

Laki sisältää myös rangaistussäännökset salassapitovelvollisuuden rikkomisesta. Rangaistus määräytyy rikoslain (39/1889) mukaisesti virkasalaisuuden rikkomisena, tuottamuksellisena virkasalaisuuden rikkomisena, salassapitorikoksena tai salassapitorikkomuksena.

Mitä arkistolaista kannattaa tietää yrityksessä tietää
Arkistolaki (831/1994) koskee ensisijaisesti julkishallintoa eikä aseta velvoitteita yksityisille yrityksille asiakirjojen luokitteluun tai säilytykseen. Kuitenkin sen periaatteet, erityisesti asiakirjojen käytettävyys, järjestelmällisyys ja säilytysarvon arviointi tarjoavat hyvän viitekehyksen myös yritysten omaan asiakirjahallintaan.

Mitä yrityksen tulee ottaa huomioon?
Vaikka arkistolaki ei koske yrityksiä suoraan, niillä on monia lakisääteisiä velvoitteita, jotka liittyvät asiakirjojen säilyttämiseen ja hallintaan:

  • Kirjanpitolaki velvoittaa säilyttämään kirjanpitoaineiston 6 tai 10 vuotta.
  • Verolainsäädäntö vaatii tositteiden ja selvitysten säilyttämistä määräajan.
  • Tietosuojalainsäädäntö (GDPR) edellyttää, että henkilötietoja ei säilytetä pidempään kuin on tarpeen.
  • Sopimusoikeus ja liikesalaisuuslaki edellyttävät sopimusasiakirjojen ja luottamuksellisen aineiston suojaamista ja hallittua käsittelyä.

Yrityksen asiakirjahallinnon keskeiset käytännöt
Hyvä asiakirjahallinta yrityksessä sisältää seuraavat osa-alueet:

Asiakirjojen elinkaaren hallinta
Määritellään, milloin asiakirja syntyy, miten sitä käsitellään, kuinka kauan sitä säilytetään ja milloin se hävitetään.

Säilytysarvon arviointi
Yrityksen tulee pystyä erottamaan, mitkä aineistot ovat lakisääteisesti säilytettäviä ja mitkä voidaan hävittää.

Tietoturva ja tietosuoja
Asiakirjat säilytetään suojatusti, ja pääsy niihin rajoitetaan tarpeen mukaan.

Järjestelmällisyys ja käytettävyys
Asiakirjat ovat löydettävissä ja ymmärrettävissä myös vuosien päästä.

Miten arkistolain periaatteita voi hyödyntää yrityksessä?
Yritys voi ottaa mallia julkishallinnon arkistolainsäädännön periaatteista seuraavilla tavoilla:

  • Laadi asiakirjahallintasuunnitelma, jossa määritellään asiakirjatyypit ja niiden säilytysajat.
  • Dokumentoi säilytys- ja hävityskäytännöt sisäisissä ohjeissa.
  • Ylläpidä metatietoja, jotta asiakirjojen sisältö, luomisaika ja käsittelijä ovat jäljitettävissä.

Yrityksen tietoturvapolitiikka
Mikäli yritys päättää luokitella asiakirjansa, on asiakirjojen turvaluokitusvaatimus kirjattava myös yrityksen hallituksen hyväksymään tietoturvapolitiikkaan.

Turvaluokitukset ja merkinnät
Tietojen turvaluokitus koskee yksinomaan tallennettua tietoa. Tallentamaton (hiljainen) tieto esimerkiksi asiakaspalvelutilanteissa tietoon tulleita seikkoja ei turvaluokitella, ne kuuluvat salassapitomenettelyn piiriin.

Viranomaisen asiakirjojen turvaluokitus
Salassapito- ja luokitusmerkinnöistä säädetään viranomaisten toiminnan julkisuudesta annetun lain 6 luvun 25 §:ssä (23.6.2005/495) seuraavaa, ”Viranomaisen asiakirjaan, jonka viranomainen antaa asianosaiselle ja joka on salassa pidettävä toisen tai yleisen edun vuoksi, on tehtävä merkintä sen salassa pitämisestä.

Asianosaiselle on annettava tieto hänen salassapitovelvollisuudestaan myös silloin, kun salassa pidettäviä tietoja annetaan suullisesti.”

Lain julkisen hallinnon tiedonhallinnasta (906/2019) 4:n luvun 18 § mukaan viranomaisen asiakirjat on luokiteltava ja niihin on tehtävä turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan.

Turvallisuusluokkaa koskeva merkintä on tehtävä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.

Turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön. Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.

Turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja turvallisuusluokiteltujen asiakirjojen käsittelyyn liittyvistä tietoturvallisuustoimenpiteistä säädetään tarkemmin valtioneuvoston asetuksella. Asiakirjoihin tehtävistä salassapitoa koskevista merkinnöistä säädetään viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä.

Merkintä voidaan tehdä muihinkin kuin 1 momentissa tarkoitettuihin asiakirjoihin. Salassapitomerkintä tehdään merkitsemällä asiakirjaan "SALASSA PIDETTÄVÄ" ja ruotsiksi "SEKRETESSBELAGD". Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Jos salassapito perustuu säännökseen, jossa on vahinkoedellytyslauseke, merkintä voidaan tehdä kuitenkin niin, että siitä ilmenee vain se säännös, johon salassapito perustuu.

Asiakirjan tai siinä olevien tietojen salassapidon perusteiden lakattua, merkinnän poistamisesta tai muuttamisesta on tehtävä merkintä asiakirjaan, johon alkuperäinen merkintä on tehty. Merkinnän asianmukaisuus on tarkistettava viimeistään asiakirjaa ulkopuoliselle annettaessa. (9.8.2019/907)

Turvallisuusluokka merkitään ruotsiksi asiakirjoihin, jotka on laadittu ruotsinkielisinä tai käännetty ruotsiksi. Merkintä voidaan tehdä muulloinkin, jos sitä pidetään tarpeellisena.

Erittäin salainen = ”YTTERST HEMLIG”
Salainen = ”HEMLIG”
Luottamuksellinen = ”KONFIDENTIELL”
Käyttö rajoitettu = ”BEGRÄNSAD TILLGÅNG”

Muuhun kuin salassa pidettävään asiakirjaan tehtävät merkinnät
Lain viranomaistoiminnan julkisuudesta (21.5.1999/62) 14 luvun 16 a §:n (9.8.2019/907) mukaan muuhun kuin salassa pidettävään asiakirjaan voidaan tehdä merkintä  "HARKINNANVARAISESTI ANNETTAVA" ja ruotsiksi "UPPGES ENLIGT PRÖVNING", jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen.

EU:n turvaluokitus
EU:n tasolla yleisiä säännöksiä arkaluonteisten asiakirjojen käsittelystä sisältyy Euroopan parlamentin ja neuvoston avoimuusasetuksen (1049/2001) 9 artiklaan. Neuvoston turvallisuussäännöt on vahvistettu neuvoston päätöksellä (264/2001).

EU:n tietoturvasopimusten käsittelystä kansallisesti vastaa Suomessa ulkoasiainministeriö. EU on allekirjoittanut myös sopimuksen turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja USA:n välillä.

EU:n neuvoston pääsihteeristön turvallisuusyksikkö vastaa EU:lle toimitettujen tai sen kanssa vaihdettujen turvaluokiteltujen tietojen tai aineiston turvaamisesta.

Euroopan komission turvallisuusyksikkö vastaa turvaluokiteltujen tietojen turvaamisesta komissiossa. EU:n asiakirjojen turvaluokitus on seuraava:

  • TRÈS SECRET UE / EU TOP SECRET (Erittäin salainen) Tietoaineiston ilmitulo voi vahingoittaa poikkeuksellisen vakavasti Euroopan unionin, sen yhden tai useamman jäsenvaltion olennaisia etuja.
  • SECRET UE (Salainen) Tietoaineiston ilmitulo voi vahingoittaa vakavasti Euroopan unionin, sen yhden tai useamman jäsenvaltion olennaisia etuja.
  • CONFIDENTIEL UE (Luottamuksellinen) Tietoaineiston ilmitulo voi haitata Euroopan unionin, sen yhden tai useamman jäsenvaltion etuja.
  • RESTREINT UE (Käyttö rajoitettu) Tietoaineiston ilmitulo voi olla epäedullista Euroopan unionin, sen yhden tai useamman jäsenvaltion etujen kannalta.

Naton turvaluokitus
Naton turvallisuusyksikkö (NOS) vastaa turvallisuusjärjestelyjen kehittämisestä Natolle toimitettujen tai sen kanssa vaihdettujen turvaluokiteltujen tietojen tai aineiston suojelemiseksi ja turvaamiseksi. Naton asiakirjojen turvaluokitus on seuraava:

  • COSMIC TOP SECRET (CTS) (Erittäin salainen)
  • NATO SECRET (NS) (Salainen)
  • NATO CONFIDENTIAL (NC) (Luottamuksellinen)
  • NATO RESTRICTED (NR) (Käyttö rajoitettu)

Saksalainen DIN-turvaluokitus

  • DIN 1 julkiset asiakirjat
  • DIN 2 sisäiset asiakirjat
  • DIN 3 luottamukselliset asiakirjat
  • DIN 4 salaiset asiakirjat
  • DIN 5 erittäin salaiset asiakirjat

Yksityisoikeudellisen yhteisön turvaluokitus
Yksityiset yritykset kuuluvat julkisuuslain (621/1999) soveltamisalaan vain siltä osin kuin ne hoitavat julkisia hallintotehtäviä ja käyttävät julkista valtaa. Muutoin yrityksiä ei koske laissa säädetty julkisuusperiaate, eivätkä ne ole velvoitettuja noudattamaan viranomaisten turvaluokittelukäytäntöjä.

Julkisen vallan käyttö tarkoittaa esimerkiksi oikeutta määrätä hallinnollisia sanktioita, käyttää pakkoa tai tehdä velvoittavia hallintopäätöksiä yksipuolisesti. Tällainen valta kuuluu perustuslain mukaan vain viranomaisille tai niille, joille julkista valtaa on erikseen lailla siirretty. Esimerkiksi yksityiset pysäköinninvalvontayritykset eivät toimi laissa viranomaisiksi säädetyssä asemassa, eivätkä ne voi määrätä hallinnollisia seuraamuksia, kuten viranomaisen määräämää pysäköintivirhemaksua.

Yksityisen pysäköinninvalvontayrityksen määräämä sopimusperusteinen maksu on valvontamaksu, jonka yksityinen pysäköintivalvontayritys määrää silloin, kun pysäköinnin ehtoja on rikottu yksityisellä alueella. Termin käyttö on vakiintunut oikeuskäytännössä, ja Korkein oikeus (KKO 2010:23) on pitänyt valvontamaksua hyväksyttävänä osana yksityisoikeudellista sopimussuhdetta.

Turvaluokittelu yrityksissä on vapaaehtoista
Yrityksillä ei ole lakisääteistä velvoitetta luokitella asiakirjojaan turvaluokitusmerkinnöin. Yritys voi kuitenkin oman toimintansa ja riskienhallintansa näkökulmasta määritellä sisäisesti käyttöön otettavat asiakirjojen luokitus- ja käsittelyperiaatteet. Tällaisia voivat olla esimerkiksi luokitukset: sisäinen, luottamuksellinen, liikesalaisuus tai vain johdolle.

Käytännössä yrityksissä ei kuitenkaan aina laadita erillisiä käsittelysääntöjä asiakirjoille. Jos tällaisia ohjeita on olemassa, ne ovat yrityksen sisäisiä määräyksiä. Yhteistyökumppaneilta ei yleensä voida realistisesti vaatia samanlaisten sisäisten sääntöjen noudattamista, ellei niistä ole erikseen sovittu.

Rikosoikeudellinen ja sopimusoikeudellinen suoja
Yrityksen sisäiset asiakirjat eivät yleensä kuulu rikoslain (39/1889) suojaaman virkasalaisuuden tai salassapitovelvollisuuden piiriin, ellei kyse ole viranomaiselle tuotettavasta tiedosta tai viranomaisen päätöksellä salassa pidettäväksi määrätyistä asiakirjoista. Sen sijaan liikesalaisuudet voivat saada rikosoikeudellista suojaa liikesalaisuuslain (595/2018) ja rikoslain perusteella. Tällöin edellytetään, että tieto on:

  • pidetty salassa
  • sillä on taloudellista arvoa
  • ja yritys on ryhtynyt toimenpiteisiin salassapidon varmistamiseksi

Kaikkien edellä mainittujen kriteerien tulee täyttyä.

Sopimuksellinen salassapito
Yritys voi ilmaista salassapitointressinsä solmimalla salassapitosopimuksen (NDA) yhteistyökumppanin kanssa. Sopimuksessa tulisi määritellä:

  • mitä asiakirjoja ja tietoja salassapito koskee
  • mikä on salassapidon kesto
  • mitkä ovat seuraamukset salassapitovelvoitteen rikkomisesta

Salassapidon rikkomistilanteessa syntyneen vahingon todistaminen on usein vaikeaa. Tämän vuoksi sopimukseen kannattaa sisällyttää sopimussakko, jolla tarkoitetaan etukäteen määriteltyä rahallista korvausta, joka erääntyy maksettavaksi pelkän sopimusrikkomuksen perusteella, ilman vahingon määrän todistamista. Sopimussakko toimii ennaltaehkäisevänä välineenä ja selkeyttää korvausvastuuta.

Allekirjoitukset ja henkilökohtainen vastuu
Suositeltavaa on, että salassapitosopimuksen allekirjoittaa yrityksen lisäksi jokainen henkilö, joka saa pääsyn luottamukselliseen tietoon. Tämä vahvistaa henkilökohtaista vastuuta ja helpottaa vastuun kohdentamista mahdollisessa väärinkäytöstilanteessa.

Toimintojen rooli tiedonhallinnassa
Organisaation toiminnoilla on hallinnollinen vastuu omistamastaan tiedosta. Ne vastaavat tietojen käytöstä ja päättävät asiakirjojensa luokitteluperusteista. Nämä käytännöt on huomioitava myös sähköisessä asiakirjahallintajärjestelmässä.

Tiedon omistajan keskeisiä hallinnollisia tehtäviä ovat:

  • tiedon merkityksen arviointi
  • salassapitointressin arviointi
  • tiedon turvaluokittelu
  • turvaluokitellun tiedon käsittelyperiaatteiden määrittely

Turvaluokituksen muuttaminen
Asiakirjan luottamuksellisuusastetta ei voida jälkikäteen korottaa. Luokitusta voidaan kuitenkin alentaa, mikäli salassapitotarve ei enää ole perusteltu.

Turvaluokituksen merkitsemisen poikkeukset
Turvaluokitusta ei merkitä asiakirjoihin, jotka toimitetaan asiakkaille tai viranomaisille. Tämä perustuu siihen, että:

  • Asianosaisella on oikeus käsitellä itseään koskevia tietoja haluamallaan tavalla.
  • Viranomaisia sitoo lakiin perustuva salassapitovelvollisuus.

Turvaluokitusmerkintään liittyvät käsittelyperiaatteet
Yritys voi soveltaa julkisuuslain ja siihen liittyvän asetuksen (viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta) määrittelemiä asiakirjaturvallisuuden periaatteita. Näiden pohjalta:

  • prosessin omistaja,
  • tiedon tuottaja tai
  • viime kädessä tiedon käsittelijä päättää asiakirjojen yksityiskohtaisista käsittelytavoista.

Hankinta-asiakirjat
Laki julkisista hankinnoista edellyttää, että hankintayksiköt soveltavat viranomaisten toiminnan julkisuudesta annettua lakia (621/1999).

Tarjouksia koskevat asiakirjat tulevat julkisiksi sopimuksen solmimisen jälkeen. Viranomaisen on kuitenkin suojattava tarjouskilpailuun osallistuneiden liike- ja ammattisalaisuudet, hintatietoja lukuun ottamatta. Tämän vuoksi turvaluokituksen käyttö on perusteltua hankinta-asiakirjoissa.

Henkilötiedot
Henkilötietojen käsittelyä ohjaa henkilötietolaki (523/1999), joka asettaa rekisterinpitäjälle erityisen huolellisuusvelvoitteen. Turvaluokitus on olennainen osa tätä velvoitetta ja siten keskeinen osa asiakirjaturvallisuutta. Lain yleiset vaatimukset ovat:

  • tietojen tarpeellisuus
  • tietojen virheettömyys
  • käsittelyn huolellisuus
  • asianmukainen suojaaminen

Nämä vaatimukset koskevat kaikkea henkilötietojen käsittelyä.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön