Sisältöön

Tietosuoja - SecMeter

Ohita valikko
Ohita valikko

Tietosuoja

Yritysturvallisuus > Tietosuoja
Ohita valikko
Tietosuoja



Tietosuoja henkilötietojen käsittelyn yhteydessä on olennainen osa yksilön perusoikeuksia. Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Samoin Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohta vahvistaa tämän oikeuden. Henkilötietojen suoja on siten EU:n tasolla perusoikeudellinen kysymys, joka koskee kaikkia unionin kansalaisia ja asukkaita.

Tietosuojalla tarkoitetaan henkilön oikeutta itse määrätä omien henkilötietojensa käytöstä. Tämä tarkoittaa, että henkilötietojen kerääminen, tallentaminen, käyttäminen ja muu käsittely tulee tapahtua rekisteröidyn oikeuksia kunnioittaen ja lainmukaisesti. Henkilötietojen käsittelyssä tulee noudattaa EU:n yleistä tietosuoja-asetusta (GDPR), jota sovelletaan myös Suomessa. GDPR täydentää ja selkeyttää henkilötietojen käsittelyä koskevaa sääntelyä.

Kun henkilötietoja käytetään muihin kuin lainsäädännössä mainittuihin perusteisiin, kuten sopimuksen täyttämiseen, lakisääteiseen velvoitteeseen tai oikeutettuun etuun, tarvitaan henkilön suostumus. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Lisäksi suostumuksen antaminen tulee tapahtua selkeällä toimella, esimerkiksi:

  • Kirjallisesti
  • Sähköisesti
  • Suullisesti

Pelkkä hiljainen hyväksyntä tai passiivisuus ei riitä suostumuksen perusteeksi. Rekisteröidyllä tulee olla myös oikeus peruuttaa suostumuksensa milloin tahansa yhtä helposti kuin hän on sen antanut.

Tietosuoja ei ole pelkästään tekninen tai hallinnollinen asia, vaan se liittyy laajemmin yksityisyyden suojaan, luottamukseen ja turvallisuuteen. Henkilötietojen käsittelyn avoimuus ja läpinäkyvyys lisäävät kansalaisten luottamusta organisaatioihin, jotka käsittelevät heidän tietojaan.
Tietosuojaperiaatteet
Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat rekisterin osan. Rekisterinpitäjällä tulee olla kokonaiskuva henkilötietojen käsittelyn nykytilasta mm. siitä mitä henkilötietoja se käsittelee ja miten tietosuojaperiaatteet on huomioitu. Rekisterinpitäjän keskeisiä tietosuojaperiaatteita ovat:

  • käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • tietojen täsmällisyys
  • tietojen säilytyksen rajoittaminen
  • tietojen eheys ja luottamuksellisuus
  • rekisterinpitäjän osoitusvelvollisuus.

Rekisterinpitäjän on noudatettava tietosuojaperiaatteita kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjällä on osoitusvelvollisuus, jonka perusteella rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuojaperiaatteita.
Asia Tapauksia
Laillisuusvalvonnassa on vahvistettu, että yrityksen taloudellinen tilanne ei voi olla peruste laiminlyödä lakisääteisiä tietosuojavelvoitteita. Apulaisoikeusasiamiehen sijainen Pasi Pölönen totesi jo vuonna 2012 (Dnro 150/4/11), että yrityksen on huolehdittava henkilötietojen asianmukaisesta käsittelystä riippumatta resursseistaan. Tämä kanta on edelleen täysin ajankohtainen ja vastaa myös nykyistä EU-oikeuskäytäntöä. Rekisterinpitäjän tulee varata riittävät taloudelliset ja tekniset resurssit tietosuojan ja tietoturvan toteuttamiseen.

Tietosuoja-asetuksen velvoitteet ja kansallinen lainsäädäntö
EU:n tietosuoja-asetus määrittelee yhteiset pelisäännöt koko unionin alueelle, mutta se antaa jäsenvaltioille tiettyä liikkumavaraa esimerkiksi alaikäisten tietojen käsittelyssä. GDPR:n mukaan alaikäraja tietoyhteiskunnan palveluiden käyttämiseen on lähtökohtaisesti 16 vuotta, mutta Suomessa se on laskettu 13 vuoteen. Tämä on linjassa useiden muiden EU-maiden, kuten Ruotsin ja Tanskan, kanssa.

Tietosuoja-asetuksen myötä rekisterinpitäjällä on osoitusvelvollisuus: hänen on pystyttävä todentamaan, että henkilötietojen käsittely on lainmukaista. Suomessa tietosuojaviranomaisena toimii Tietosuojavaltuutetun toimisto, joka valvoo lain noudattamista.

Tietosuojan haasteet käytännössä
Suomessa henkilörekistereiden suojaamiseen ja valvontaan on perinteisesti suhtauduttu välinpitämättömästi. Monilla rekisterinpitäjillä tietosuojakäytännöt ovat edelleen puutteellisia, vaikka GDPR:n myötä vaatimukset ovat selkeytyneet ja tulleet voimaan vuosia sitten. Aikaa vaatimuksiin sopetumiseen on olut.

Tyypillisiä puutteita ovat edelleen esimerkiksi:

  • Lokitietojen keräämisen ja valvonnan laiminlyönti
  • Puutteellinen käyttövaltuushallinta
  • Henkilötietojen käsittelyn läpinäkyvyyden puute
  • Tietojärjestelmien kehityksessä tietoturvan ja tietosuojan unohtaminen

Usein tietojärjestelmäprojekteissa tietosuoja- ja tietoturvavaatimukset siirretään myöhempään vaiheeseen kiireen ja kustannusten vuoksi, minkä seurauksena ne jäävät toteuttamatta tai toteutetaan puutteellisesti.

Tietovuodot ja valvonnan tilanne
Terveydenhuolto ja rahoitusala ovat tietosuojaviranomaisten mukaan edelleen riskialttiimpia sektoreita tietovuotojen osalta. Vuonna 2023 tietosuojavaltuutetulle tehtiin lähes 10 000 ilmoitusta tietoturvaloukkauksista, mikä osoittaa ongelman laajuuden. Tietovuotojen ilmoittaminen on nyt pakollista GDPR:n mukaisesti, mikä on lisännyt raportointia ja nostanut tietoisuutta.

Hyvä tietosuojakulttuuri on yrityksen johdon vastuulla
Hyvän tietosuojakulttuurin rakentaminen on yrityksen johdon vastuulla. Tämä tarkoittaa käytännesääntöjen laatimista, koulutuksen järjestämistä ja aktiivista valvontaa. Tietosuojavaatimuksia ei voi ohittaa kiireen tai resurssipulan vuoksi.

Hyvä tietosuojakulttuuri näkyy arjen teoissa:

  • Tietosuojan huomioiminen jo järjestelmän suunnitteluvaiheessa (privacy by design)
  • Henkilöstön jatkuva kouluttaminen ja tiedottaminen
  • Rekisteröityjen oikeuksien kunnioittaminen kaikessa toiminnassa
  • Johdon sitoutuminen ja esimerkin näyttäminen

Huono tietosuojakulttuuri taas syntyy välinpitämättömyydestä, hiljaisesta hyväksynnästä ja säännöistä poikkeamiseen puuttumattomuudesta. Juridisesti tällainen käytäntö voi muodostua organisaation "hiljaiseksi sopimukseksi", mikä lisää yrityksen riskejä ja johdon vastuuta.

Henkilötiedot kaupankäynnin kohteena
Henkilötietojen kaupallinen hyödyntäminen on globalisoitunut ilmiö. Kansainväliset toimijat keräävät, profiloivat ja myyvät tietoa yksilöistä yhä tehokkaammin. Tämä kehitys altistaa kansalaiset väärinkäytöksille ja lisää riskiä siitä, että henkilö menettää kontrollin omiin tietoihinsa.

Erityisen riskialtista on, jos tietoja joutuu väärinkäytösten kohteeksi tai vieraan valtion tiedustelupalvelun käsiin. Kansallisen turvallisuuden näkökulmasta avainhenkilöiden tietojen väärinkäyttö voi olla vakava uhka.

Henkilötunnuksen käsittely
Henkilötunnuksen käyttöön liittyy erityisiä vaatimuksia. GDPR:n 87 artikla antaa jäsenvaltioille mahdollisuuden säätää henkilötunnuksen käsittelystä tarkemmin. Suomessa henkilötunnuksen käyttöä on rajattu ja sen merkitseminen asiakirjoihin tulee tehdä vain, kun se on perusteltua ja välttämätöntä. Turha henkilötunnusten käsittely altistaa väärinkäytöksille, joten huolellisuus on ehdottoman tärkeää.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön