Sisältöön

Rekisterinpitäjän vastuu - SecMeter

Ohita valikko
Ohita valikko

Rekisterinpitäjän vastuu

Yritysturvallisuus > Tietosuoja
Ohita valikko
Rekisterinpitäjän vastuu


Euroopan unionin yleinen tietosuoja-asetus (GDPR) on säädös, jonka tavoitteena on suojata yksilöiden henkilötietoja ja varmistaa niiden käsittelyn läpinäkyvyys, oikeudenmukaisuus ja lainmukaisuus. Asetus asettaa selkeät velvoitteet sekä rekisterinpitäjille että henkilötietojen käsittelijöille. Mikäli näitä velvoitteita rikotaan, seuraamuksina voi olla sekä yksityisoikeudellisia että rikosoikeudellisia seuraamuksia. Yksi merkittävimmistä yksilön oikeusturvaa turvaavista mekanismeista on oikeus vahingonkorvaukseen.

Tietosuoja-asetuksen 82 artiklan mukaan jokaisella, jolle aiheutuu vahinkoa henkilötietojen käsittelyyn liittyvän asetuksen rikkomisen seurauksena, on oikeus saada korvausta rekisterinpitäjältä tai henkilötietojen käsittelijältä. Korvattava vahinko voi olla aineellista tai aineetonta, esimerkkeinä taloudellinen menetys tai kärsimys, joka aiheutuu esimerkiksi yksityisyyden loukkaamisesta, henkilöllisyysvarkaudesta tai maineen menetyksestä. Tämä vahingonkorvausoikeus toimii sekä ennaltaehkäisevänä että hyvittävänä keinona, ja se korostaa rekisterinpitäjän vastuuta huolellisesta ja lainmukaisesta henkilötietojen käsittelystä.

Vahingonkorvausvastuun lisäksi tietosuojaloukkauksiin voi liittyä myös rikosoikeudellisia seuraamuksia. Vaikka tietosuoja-asetuksessa itsessään ei säädetä rikosoikeudellisista rangaistuksista, rikosoikeudellinen vastuu voi syntyä kansallisen lainsäädännön perusteella, mikäli menettely rikkoo myös muita lakeja kuin henkilötietolakia. Esimerkiksi henkilötietojen väärinkäyttö, tietomurrot tai tietojen oikeudeton luovuttaminen voivat täyttää rikoslain tunnusmerkistön ja johtaa rikosoikeudellisiin seuraamuksiin, kuten sakkoihin tai vankeusrangaistuksiin.

Yritysten näkökulmasta kaksoisvastuu, sekä siviilioikeudellinen että rikosoikeudellinen, korostaa tietosuojan hallinnan merkitystä. Vastuullinen henkilötietojen käsittely ei ole pelkästään lakisääteinen velvollisuus, vaan myös olennainen osa organisaation riskienhallintaa, maineenhallintaa ja sidosryhmien luottamuksen ylläpitämistä.
Tehtävälista
Tietosuojaperiaatteiden noudattaminen

  1. Varmista, että henkilötietojen käsittely on lainmukaista, kohtuullista ja läpinäkyvää.
  2. Rajoita käsittely tiettyyn, nimenomaiseen ja lailliseen tarkoitukseen.
  3. Kerää vain tarpeelliset ja oleelliset tiedot (minimointiperiaate).
  4. Pidä tiedot täsmällisinä ja ajan tasalla.
  5. Säilytä tiedot vain niin kauan kuin on tarpeen.
  6. Suojaa tiedot teknisin ja organisatorisin keinoin (luottamuksellisuus ja eheys).

Tietosuojaselosteet ja läpinäkyvyys

  1. Laadi ja julkaise selkeä tietosuojaseloste, esimerkiksi verkkosivuille.
  2. Informoi rekisteröityjä heidän oikeuksistaan ja siitä, mihin tarkoituksiin tietoja käsitellään.
  3. Kerro tietojen säilytysajoista, vastaanottajista ja mahdollisista kolmansista maista.

Rekisteröityjen oikeudet

  1. Vastaa tietopyyntöihin kuukauden kuluessa.
  2. Luo käytännöt, joilla rekisteröity voi:

  • Pyytää pääsyä omiin tietoihinsa
  • Pyytää tietojen oikaisua tai poistamista
  • Vastustaa tai rajoittaa tietojen käsittelyä
  • Saada tietonsa siirrettävässä muodossa

Sopimukset henkilötietojen käsittelijöiden kanssa

  1. Solmi kirjalliset käsittelysopimukset kaikkien henkilötietojen käsittelijöiden kanssa, esimerkiksi IT-toimittajat, pilvipalvelut.
  2. Varmista, että käsittelijät noudattavat GDPR:ää.

Tietoturva ja tekniset toimenpiteet

  1. Toteuta tekniset ja organisatoriset suojatoimet, esimerkiksi salaus, pääsynhallinta.
  2. Arvioi riskejä ja dokumentoi suojaustoimenpiteet.
  3. Kouluta henkilöstö tietosuojasta.

Tietotilinpäätös ja dokumentointi

  1. Laadi käsittelytoimien rekisteri, jos:
  2. Organisaatio on yli 250 henkilöä, tai
  3. Käsitellään arkaluonteisia tietoja tai tietojen käsittely ei ole satunnaista.
  4. Säilytä todisteet siitä, että GDPR:n vaatimukset täyttyvät (ns. osoitusvelvollisuus).

Tietoturvaloukkauksiin varautuminen

  1. Laadi toimintamalli tietoturvaloukkausten tunnistamiseen ja ilmoittamiseen.
  2. Ilmoita loukkauksista tietosuojaviranomaiselle 72 tunnin sisällä, jos se todennäköisesti vaarantaa rekisteröidyn oikeudet.
  3. Ilmoita rekisteröidyille, jos loukkaus aiheuttaa korkean riskin.

Tietosuojaa koskeva vaikutustenarviointi (DPIA)

  1. Arvioi etukäteen vaikutukset, jos käsitellään erityisen riskialttiita tietoja (esim. henkilöseuranta, arkaluonteiset tiedot).
  2. Toteuta DPIA ja dokumentoi se asianmukaisesti.

Tietosuojavastaavan nimittäminen

  1. Arvioi, onko yrityksellä velvollisuus nimittää tietosuojavastaava (DPO):
  2. Jos käsittelyä suorittaa julkinen toimija.
  3. Jos henkilötietojen käsittely on laajamittaista ja järjestelmällistä.
  4. Ilmoita tietosuojavastaavan yhteystiedot rekisteröidyille ja valvontaviranomaiselle.
Rekisterinpitäjä joutuu käytännössä itse toteuttamaan sisäistä valvontaa ja varmistamaan, että henkilötietojen käsittely täyttää säädösten vaatimukset. Tämä itseohjautuva valvontamalli on johtanut tilanteeseen, jossa laadullisesti samansisältöisiä rekisterisovelluksia suojaavat hyvin erilaiset tekniset ja organisatoriset toimenpiteet eri organisaatioissa. Yhtenäisiä käytäntöjä ei ole, ja tietoturvan taso vaihtelee sen mukaan, miten rekisterinpitäjä on tulkinnut velvollisuutensa tai priorisoinut tietosuojaa suhteessa muihin tavoitteisiin. Tämä luo paitsi epäjohdonmukaisuutta, myös riskejä rekisteröityjen oikeuksien toteutumiselle.

Vastuu ei rajoitu vain rekisterinpitäjän omiin toimiin, vaan se ulottuu kaikkiin rekisterinkäyttäjiin eli henkilöihin ja tahoihin, joille rekisterinpitäjä on antanut pääsyn henkilötietoihin. GDPR:n ja kansallisen sääntelyn mukaan rekisterinpitäjä vastaa myös muiden tekemästä lainvastaisesta henkilötietojen käsittelystä kuin omastaan. Tämä korostaa velvollisuutta huolellisesti valvoa ja ohjeistaa rekisterinkäyttäjiä sekä teknisesti rajoittaa käyttöoikeuksia tarpeen mukaan.

Rekisterinpitäjän on ymmärrettävä vastuunsa kokonaisvaltaisesti. Pelkkä tietosuojaselosteen laatiminen tai tietojärjestelmän käyttöönotto ei riitä, vaan tarvitaan jatkuvaa arviointia, ohjeistusta ja tietoturvakäytäntöjen kehittämistä. Vastuullinen rekisterinpitäjä toimii ennakoivasti, arvioi riskejä systemaattisesti ja rakentaa organisaation sisälle kulttuurin, jossa tietosuoja on osa päivittäistä toimintaa.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön