Sisältöön

Käytännesäännöt - SecMeter

Ohita valikko
Ohita valikko

Käytännesäännöt

Yritysturvallisuus > Tietosuoja
Ohita valikko
Käytännesäännöt



Euroopan unionin yleinen tietosuoja-asetuksen (GDPR) 40 artikla korostaa, että sääntelyn keskeinen ulottuvuus ei rajoitu pelkästään viranomaisten valvontaan, vaan kannustaa myös toimialoja itseohjautuvaan vastuunkantoon. Tämän tavoitteen saavuttamiseksi GDPR mahdollistaa käytännesääntöjen laatimisen rekisterinpitäjien ja henkilötietojen käsittelijöiden edustuselinten, kuten yritysten toimesta.

Käytännesäännöt ovat konkreettinen työkalu, jonka avulla eri toimialat voivat soveltaa GDPR:n yleisiä velvoitteita omaan toimintaympäristöönsä sopivalla ja tarkoituksenmukaisella tavalla. GDPR:n artikla 40 antaa elinkeinotoimintaa harjoittaville tahoille mahdollisuuden laatia käytännesääntöjä, jotka täsmentävät asetuksen säännösten soveltamista muun muassa henkilötietojen käsittelyn lainmukaisuuden, tietoturvan, rekisteröityjen oikeuksien toteuttamisen sekä rekisterinpitäjien ja käsittelijöiden vastuiden osalta.

Tällaiset säännöt voivat esimerkiksi ohjata, miten työterveyshuollon toimijat käsittelevät potilastietoja tai miten markkinointialan yritykset soveltavat suostumusperiaatetta. Kyse ei ole siis sääntelyn keventämisestä vaan sen soveltamisen käytännönläheisestä ja sektorikohtaisesta konkretisoinnista.

Käytännesääntöjen arvo ei kuitenkaan perustu ainoastaan niiden sisältöön, vaan myös siihen, kuinka niiden noudattamista valvotaan. GDPR edellyttää, että käytännesääntöihin sisällytetään mekanismit, joiden avulla akkreditoitu valvontaelin voi varmistaa, että sääntöihin sitoutuneet rekisterinpitäjät ja henkilötietojen käsittelijät todella noudattavat niitä. Tämä lisää sääntöjen uskottavuutta ja varmistaa, että ne toimivat käytännössä.

Valvontaelimen on oltava riippumaton ja sen on täytettävä valvontaviranomaisen (kuten kansallisen tietosuojaviranomaisen) asettamat vaatimukset. Tällaisen elimen tehtävänä on suorittaa säännöllisiä tarkastuksia, käsitellä valituksia, antaa suosituksia ja tarvittaessa puuttua rikkomuksiin esimerkiksi varoituksilla tai ehdollisilla hyväksynnöillä.

GDPR:n artikla 40:n taustalla on ajatus siitä, että vastuullinen tietojenkäsittely ei synny pelkästään ulkoisen valvonnan avulla, vaan vaatii sisäistä sitoutumista ja eettistä otetta. Käytännesääntöjen laatiminen ja noudattaminen voivat toimia myös kilpailuetuna, osoituksena luottamusta herättävästä ja läpinäkyvästä toiminnasta.

Toimialakohtaiset säännöt, joita täydentävät valvontamekanismit, luovat vakautta ja selkeyttä toimintaympäristöön, jossa tietosuojavaatimukset saattavat muuten tuntua monitulkintaisilta. Samalla ne tukevat rekisteröityjen oikeuksien toteutumista ja edistävät yhtenäistä tietosuojakulttuuria koko unionin alueella.
Käytännesääntöjen luonnos, muutos tai laajennus on toimitettava valvontaviranomaiselle. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tietosuoja-asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.

Käytännesäännöt on henkilötietolaissa (HetiL 42 §) määritelty käsite, jonka mukaan rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä henkilötietolain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi.

Käytännesääntöjä

  • Käytä ja käsittele tietosuoja-aineistoa vain omien työtehtäviesi hoidossa.
  • Muista, että tietosuoja-aineistoa ei saa tarpeettomasti tallentaa henkilörekistereistä työasemalle tai palvelimelle.
  • Säilytä tietosuoja-aineistoa ulkopuolisilta suojatussa paikassa aina kun olet pois työpaikalta.
  • Huolehdi, ettei kukaan näe tietokoneen näyttöruudulla olevaa tietoa.
  • Vältä turhaa tulostamista ja kopiointia.
  • Nouda tulosteesi verkkotulostimesta välittömästi tulostuksen jälkeen.
  • Käytä tietosuoja-aineiston tuhoamiseen asianmukaisia silppureita ja lukittuja tietoturva-aineiston keräysastioita.
  • Mikäli joudut lähettämään tietosuoja-aineistoa ulos, varmistu, että vastaanottaja on oikeutettu saamaan tiedot ja lähetys on mennyt perille.
  • Käyttäjänä vastaat oman henkilökohtaisen käyttäjätunnuksesi käytöstä.
  • Kirjaudu palveluihin aina omilla käyttäjätunnuksillasi.
  • Käsittele käyttäjätunnusta ja salasanaa samalla tavalla kuin pankkikorttiasi ja tunnuslukuasi.
  • Estä asiaton pääsy tietojärjestelmiin lukitsemalla koneesi aina, kun poistut työpisteestäsi.
  • Muista, että tietosuoja-aineistoa ei voida käsitellä turvallisesti etätyönä.
  • Rekisterinpitäjän on pistokokein valvottava, että henkilötietojen käsittely on lainmukaista ja tietoja käsitellään vain työtehtäviin liittyvistä syistä.

Käytännesäännöt käytettäessä henkilörekistereitä koulutustarkoituksiin
Henkilötietolaissa säännellään henkilötietojen käsittelyn yleiset edellytykset ja velvoitteet, joita on aina noudatettava henkilötietoja käsiteltäessä. Koulutus ei ole sellainen käyttötarkoitus, johon henkilörekisteriin sisältyviä tietoja saa ilman tarpeellisuusharkintaa käyttää.

Mikäli koulutus on mahdollista toteuttaa ilman, että siinä käytetään tunnistetietoja, tulee koulutus näin toteuttaa.
Muutoin henkilörekisterien käyttö koulutukseen loukkaa henkilötietolain 9 §:n tarpeellisuusvaatimusta, tietojen suojaamisvelvoitetta ja tietojen käsittelyn huolellisuusvelvoitetta.

Mikäli koulutustavoitteen kannalta on ehdottoman välttämätöntä käsitellä (näyttää tilaisuudessa) henkilötietoja, eikä niitä ole mahdollista piilottaa, tulee koulutustilaisuuden järjestäjän varmistaa, että käsiteltävät tapaukset eivät liity koulutukseen osallistuvien henkilöiden lähipiiriin, yrityksen sisäpiiriin tai julkisuuden henkilöiden tietoihin.

Koulutukseen ei saa osallistua ulkopuolisia henkilöitä, jotka eivät käytä koulutuksen kohteena olevaa järjestelmää.
Koulutuksen järjestäjän on pidettävä luetteloa siitä, kenelle koulutusta on annettu ja mikä on ollut koulutuksen tarkoitus.

Koulutuksen yhteydessä on erityisesti varmistuttava salassapitovaatimusten täyttymisestä.
Käytännesääntöjen luonnos, muutos tai laajennus on toimitettava valvontaviranomaiselle. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tietosuoja-asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.

Käytännesäännöt on henkilötietolaissa (HetiL 42 §) määritelty käsite, jonka mukaan rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä henkilötietolain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi.

Käytännesääntöjä

  • Käytä ja käsittele tietosuoja-aineistoa vain omien työtehtäviesi hoidossa.
  • Muista, että tietosuoja-aineistoa ei saa tarpeettomasti tallentaa henkilörekistereistä työasemalle tai palvelimelle.
  • Säilytä tietosuoja-aineistoa ulkopuolisilta suojatussa paikassa aina kun olet pois työpaikalta.
  • Huolehdi, ettei kukaan näe tietokoneen näyttöruudulla olevaa tietoa.
  • Vältä turhaa tulostamista ja kopiointia.
  • Nouda tulosteesi verkkotulostimesta välittömästi tulostuksen jälkeen.
  • Käytä tietosuoja-aineiston tuhoamiseen asianmukaisia silppureita ja lukittuja tietoturva-aineiston keräysastioita.
  • Mikäli joudut lähettämään tietosuoja-aineistoa ulos, varmistu, että vastaanottaja on oikeutettu saamaan tiedot ja lähetys on mennyt perille.
  • Käyttäjänä vastaat oman henkilökohtaisen käyttäjätunnuksesi käytöstä.
  • Kirjaudu palveluihin aina omilla käyttäjätunnuksillasi.
  • Käsittele käyttäjätunnusta ja salasanaa samalla tavalla kuin pankkikorttiasi ja tunnuslukuasi.
  • Estä asiaton pääsy tietojärjestelmiin lukitsemalla koneesi aina, kun poistut työpisteestäsi.
  • Muista, että tietosuoja-aineistoa ei voida käsitellä turvallisesti etätyönä.
  • Rekisterinpitäjän on pistokokein valvottava, että henkilötietojen käsittely on lainmukaista ja tietoja käsitellään vain työtehtäviin liittyvistä syistä.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön