GDPR – velvoitteet haltuun 2018 kevääseen mennessä
18.9.2017
Blogi

GDPR – velvoitteet haltuun 2018 kevääseen mennessä

General Data Protection Regulation (GDPR) on uusi, EU:n laajuinen tietosuoja-asetus, joka määrää uusia velvoitteita henkilötietojen suojaamiseen.

GDPR-sanasto

Henkilötieto = kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto (esim. nimi, henkilötunnus, kuva, jäsenyys).

Henkilötietojen käsittely = henkilötietoihin kohdistettavat automaattiset tai manuaaliset toimet kuten kerääminen, tallentaminen, säilyttäminen, muokkaaminen, käyttö, luovuttaminen, poistaminen jne.

Rekisterinpitäjä = taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijä = taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta (esim. Ch5, jonka ylläpitämä julkaisujärjestelmä tallentaa ja säilyttää kirjautumis- tai tilaajatietoja).

Hyvä tietää GDPR:stä

  • Asetuksen tarkoitus on antaa EU-kansalaisille enemmän valtaa henkilötietoihinsa.
  • Asetuksen taustalla on tavoite palauttaa luottamus tiedonsiirtoon vuoden 2013 tiedustelupaljastusten jälkeen – erityisesti USA:n ja EU:n välillä.
  • Asetus on jo voimassa. Meneillään on siirtymäaika. Soveltaminen on oltava kunnossa 5/2018 mennessä.
  • Edellyttää mm. tietosuojavastaavan nimeämistä, tai perustelut, miksi tämä ei ole tarpeen.

Milloin tarvitaan Tietosuojavastaava?

GDPR on poikinut uuden ammattinimikkeen – Tietosuojavastaava. Asetuksen vaatimukset kulminoituvat tietosuojavastaavaan, jonka tehtäviä ovat:

  • Lain noudattamisen osoittaminen
  • Omavalvonta
  • Dokumentointi
  • Kontaktihenkilönä toimiminen (yhteystiedot julkisesti näkyvillä)
  • Ei kuitenkaan henkilökohtaisesti vastuussa

Ainakin julkisten viranomaisten on nimitettävä tietosuojavastaava. Muita velvoite koskee riippuen kuinka keskeinen osa toimintaa ja kuinka laajamittaista ja järjestelmällistä henkilötietojen käsittely on, tai kuinka arkaluontoisiin tietoihin se kohdistuu.

Tietosuojavastaavan toimen voi ulkoistaa, ja sama henkilö voi toimia tehtävässä useassa yrityksessä tai useassa julkishallinnon elimessä.

Jos organisaation henkilötietokäsittely ei liity esimerkiksi seurantaan, profilointiin, paikannukseen tai kanta-asiakkuuksiin, se ei välttämättä edellytä vastaavan henkilön nimittämistä.

Asetus huomioi myös kustannusvaikutukset, eikä siis voi edellyttää ylimitoitettuja toimia matalan riskin yhteyksiin.

Tietoturvavastaava voidaan nimittää ilman pakottavaa velvoitetta. Jos tietoturvavastaavaa ei nimitetä, tulee laatia kirjallinen perustelu, joka voidaan kysyttäessä esittää.

Tietosuojavastaavan nimittämisen haasteita

Nimitettävälle henkilölle pitää järjestää koulutus toimeensa, mutta toistaiseksi on vielä epäselvää, minkälainen ja -laajuinen ja kenen järjestämä koulutus on riittävä. Varsinaista pätevöittävää sertifiointia ei virallisesti ole ainakaan vielä olemassa.

Henkilön tulisi olla sekä pätevä, että jäävi, hoitaakseen tehtävänsä asianmukaisesti. Käytännössä projekteihin pitäisi sisällyttää teknisesti pätevä, tietoturvaan perehtynyt henkilö, joka ei kuitenkaan saisi itse osallistua projektien tekniseen toteutukseen. Ei-tekniseltä henkilöltä, joka ei ole sisällä projekteissa, puuttuu pätevyys, ja osallistuva ohjelmoija tai projektipäällikkö ei ole jäävi arvioimaan toteutusta.

Ollaanko nyt kaikki in deep sh*t?

Täydellinen määräystenmukaisuus (compliance) asetuksen kanssa voi osoittautua mahdottomaksi tavoitteeksi. Henkilötietosuoja mielletään kuitenkin entistä voimakkaammin riskiksi, jota sentään pyritään hallitsemaan. Vähintään osoitusvelvollisuuden ja sanktioiden ”uhka” ajaa tunnistamaan ja tarkistamaan käytäntöjä sekä keskustelemaan niistä organisaatioissa.

Joka tapauksessa henkilötietojen keräämisen prosessit ja menetelmät kannattaa tarkastella. Turhaa tietoa ei tule kerätä ja erityisesti arkojen tietojen keräämisen tulee olla selvät perusteet.

Nimi ja sähköposti tai edes osoite eivät luonnollisesti ole samalla tavalla arkaluontoisia tietoja kuin esimerkiksi etninen, uskonnollinen tai poliittinen tausta; ammattiliiton jäsenyys; tai rikolliseen taustaan, taloudelliseen tilanteeseen tai terveyteen liittyvä tieto.

Lokit ovat tärkeitä tietosuojan valvonnassa.

Lokit ovat tärkeitä tietosuojan valvonnassa.

GDPR ja Ch5

  • Ch5:n ylläpitämissä verkkopalveluissa, joissa kerätään ja tallennetaan henkilötietoja (esim. uutiskirjetilaus, extranet-käyttäjien rekisteröityminen) asiakas on rekisterinpitäjä ja Ch5 henkilötietojen käsittelijä.
  • Käsittelijällä on valvonta- ja ilmoitusvelvollisuuden lisäksi vastuu ennaltaehkäistä tietoturvariskejä. Käytännössä Ch5 toimii jo entuudestaan näin.
  • Ch5 kehittää etenkin lokien seurantaa tehostaakseen GDPR:n vaatimaa kykyään havainnoida ja raportoida uhkia.
  • Ch5:n käyttöpalveluasiakkaiden data säilytetään ja liikkuu Suomessa (käsittelijäketju voi olla moniportainen ja kansainvälinen esim. pilvipalveluita hyödynnettäessä).
  • Ch5:n johto vastaa tietoturvasta jo ennestään.
  • Ch5 ei nimitä tietoturvavastaavaa (pätevä, kuitenkin jäävi henkilö edellyttäisi uutta rekrytointia).
  • Ch5 tukee asiakkaitaan vaadittujen dokumentaatioiden (tietojen keruu, säilytys, salaus ja poistaminen) tuottamisessa; ensimmäiset asiakkaat ovat jo osanneet kysyäkin asiasta.
  • Ch5 sisällyttää mielellään ulkopuolisen tietoturvavastaavan projekteihin, joissa on erityinen tarve henkilötietojen tietoturvallisuuden painottamiseen, ja jossa tilaaja osallistuu projektin tietoturvaosuuden kustannuksiin.

 

Lisätietoa esim.

Tietosuojavaltuutettu

Ohjelmistoyrittäjät ja HPP Asianajotoimisto