Sisältöön

Erityiskysymyksiä - SecMeter

Ohita valikko
Ohita valikko

Erityiskysymyksiä

Yritysturvallisuus > Tietosuoja
Erityiskysymyksiä



Yritykset keräävät, käsittelevät ja jakavat henkilötietoja eri tarkoituksiin. Tietojen käsittelyssä ne joutuvat tasapainoilemaan tehokkuuden, liiketoimintatavoitteiden ja yksityisyyden suojan välillä. Digitaalinen transformaatio, etätyön lisääntyminen ja kasvavat tietomäärät tekevät tietosuojasta yhä monimuotoisemman kysymyksen, joka vaatii tietoisuutta ja huolellisuutta kaikilla organisaation tasoilla.

Yksi keskeinen erityiskysymys liittyy siihen, mitä oikeastaan pidetään henkilötietorekisterinä. GDPR:n mukaan henkilötietorekisteri tarkoittaa mitä tahansa jäsenneltyä tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko se keskitetty, hajautettu, digitaalinen vai fyysinen. Tämä tarkoittaa, että myös hajanaiset ja näennäisesti irralliset tietojärjestelmät voivat yhdessä muodostaa rekisterin, jos niitä käytetään samaan tarkoitukseen.

Työelämässä tämä korostuu esimerkiksi silloin, kun henkilöstöhallinto käyttää useita eri sovelluksia työntekijätietojen hallintaan. Tiedot voivat olla eri paikoissa, mutta ne muodostavat rekisterin, kun ne ovat käytettävissä yhdessä. Tämä laaja määritelmä pakottaa yritykset tunnistamaan kaikki henkilötietojensa käsittelyn muodot, eikä niitä voi rajata vain yksittäisiin järjestelmiin.

Toinen jatkuva haaste liittyy tietojen minimointiin ja käyttötarkoitussidonnaisuuteen. GDPR edellyttää, että kerätään vain tarpeellisia henkilötietoja, ja niitä käytetään vain siihen tarkoitukseen, johon ne on alun perin kerätty. Tämä voi olla työpaikalla yllättävän vaikeaa.

Esimerkiksi rekrytointiprosessissa työnhakijoilta kerätään usein laajoja tietoja myös sellaisia, jotka eivät ole työsuhteen kannalta tareellisia. Kuinka kauan niitä säilytetään? Voiko samaa tietoa käyttää myöhemmin muihin tarkoituksiin? Entä työntekijän suorituskykyarviot, miten ne säilytetään ja kenellä on pääsy niihin?

Tietosuojaperiaatteiden noudattaminen edellyttää systemaattisia toimintatapoja ja koulutusta, jotta jokainen tietojen käsittelijä ymmärtää, miksi kaikkea ei saa kerätä tai säilyttää varmuuden vuoksi.

Erityiskysymysten ytimessä on myös läpinäkyvyys. Työntekijöillä ja asiakkailla on oikeus tietää, mitä tietoja heistä kerätään ja miten niitä käytetään. Tämä ei ole vain velvollisuus laatia rekisteriselosteita, vaan käytännön haaste esimerkiksi silloin, kun prosessit muuttuvat tai uusia järjestelmiä otetaan käyttöön.

Työpaikoilla on myös varmistettava, että rekisteröidyt voivat käyttää oikeuksiaan, esimerkiksi oikaista virheellisiä tietoja tai pyytää tietojensa poistamista silloin, kun siihen on oikeus. Näiden oikeuksien hallinta voi olla yrityksissä haaste.

Tietosuojan erityiskysymyksiin kuuluu olennaisesti myös tietoturva. GDPR velvoittaa toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi. Työelämässä tämä tarkoittaa esimerkiksi käyttöoikeuksien hallintaa, lokitietojen seurantaa, salauksia ja koulutusta tietoturvauhkien varalta.

yritys on vastuussa myös alihankkijoiden ja kumppaneiden toiminnasta. Tietojen siirtäminen esimerkiksi pilvipalveluun ei poista rekisterinpitäjän vastuuta. Tämä vaatii huolellista sopimista ja valvontaa.

Kaiken tämän ytimessä on kuitenkin kulttuurinen kysymys. Tietosuoja ei ole vain lakisääteinen velvollisuus, vaan osa yrityksen luotettavuutta ja vastuullisuutta. Kun työntekijät ymmärtävät tietosuojan merkityksen, he voivat paremmin tunnistaa riskit ja toimia oikein myös tilanteissa, joita säännöt eivät kata yksiselitteisesti.

Tämä tarkoittaa, että tietosuoja ei voi olla vain tietohallinnon tai lakiosaston tehtävä. Jokaisen työntekijän on ymmärrettävä oma roolinsa henkilötietojen käsittelijänä.
EU:n yleinen tietosuoja-asetus (GDPR) asettaa yrityksille ja muille rekisterinpitäjille selkeät vaatimukset henkilötietojen käsittelystä. GDPR:n tavoitteena on turvata rekisteröityjen oikeudet, varmistaa läpinäkyvyys ja vahvistaa henkilötietojen suojaa nopeasti kehittyvässä digitaalisessa ympäristössä. Yrityksen on tunnettava vastuunsa rekisterinpitäjänä sekä ymmärrettävä, mitä henkilötietojen asianmukainen käsittely edellyttää käytännössä.

Henkilörekisterin määritelmä
Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä tietojoukkoa, joka sisältää henkilötietoja ja josta tiedot ovat saatavilla tietyin perustein. Rekisteri voi olla keskitetty tai hajautettu, ja sen ylläpito voi perustua esimerkiksi toiminnallisiin tai maantieteellisiin perusteisiin. Rekisteriin luetaan kaikki samassa käyttöyhteydessä käytetyt tiedot riippumatta siitä, miten ja mihin ne on talletettu. Lähde: (EU:n tietosuoja-asetus (GDPR, 2016/679) Artikla 4 kohta 6)

Rekisterinpitäjän vastuu konkurssitilanteessa
Konkurssiin ajautuneen yrityksen rekisterinpitäjänä toimii pesänhoitaja. Pesänhoitaja vastaa henkilötietojen käsittelystä ja noudattaa henkilötietolain ja GDPR:n velvoitteita. Konkurssipesän hallussa olevia henkilörekistereitä ei voi realisoida tai myydä ilman rekisteröityjen nimenomaista suostumusta.

Tunnistettavuus ja henkilötietojen käsite
Luonnollinen henkilö on tunnistettavissa, kun hänet voidaan suoraan tai epäsuorasti yksilöidä esimerkiksi nimen, henkilötunnuksen, sijaintitiedon, verkkotunnisteen tai hänelle tunnusomaisten fyysisten, fysiologisten, geneettisten, psyykkisten, taloudellisten, kulttuurillisten tai sosiaalisten tekijöiden perusteella.

Erityiset (arkaluonteiset) henkilötiedot
GDPR:n 9 artiklassa määritellyt erityiset henkilötiedot ovat mm.:

  • rotu tai etninen alkuperä
  • poliittiset mielipiteet
  • uskonnollinen tai filosofinen vakaumus
  • ammattiliiton jäsenyys
  • geneettiset ja biometriset tiedot
  • terveystiedot
  • seksuaalinen käyttäytyminen ja suuntautuminen

Näiden tietojen käsittely on lähtökohtaisesti kielletty, ellei lainsäädäntö salli poikkeusta (esim. suostumus, lakisääteinen velvoite).

Erityistietojen käsittely sovelluksissa
Erityisiä henkilötietoja ei saa tallentaa kaikkien käyttäjien nähtäville esimerkiksi prosessisovelluksessa. Tiedot tulee rajata vain niille henkilöille, jotka niitä tarvitsevat tehtäviensä hoitamiseksi.

Työntekijän lähiomaisten tietojen tallentaminen
Osastosihteerillä ei ole oikeutta kerätä työntekijöiden lähiomaisten yhteystietoja "varmuuden vuoksi". Tällaiset tiedot eivät ole välttämättömiä työsuhteen hoidon kannalta. Työntekijän velvollisuus on itse huolehtia lähiomaisen ilmoittamisesta esimerkiksi sairastapauksissa, tai se on sairaalan vastuulla.

Henkilötunnusten lähettäminen sähköpostilla
Rekisterinpitäjän tulee noudattaa erityistä huolellisuutta. Henkilötunnuksia ei tulisi lähettää suojaamattomalla sähköpostiyhteydellä, vaikka sähköposti voidaan rinnastaa suljettuun kirjekuoreen. Hyvä tiedonkäsittelytapa edellyttää suojattuja viestintäkanavia.

Tietoturva kehittämisprojekteissa
Hyvän tiedonhallintatavan mukaisesti tietoturva on huomioitava kaikissa kehittämisprojektin vaiheissa. Julkisuuslaki ja henkilötietolaki velvoittavat suojaamaan tiedot asiattomalta pääsyltä, muuttamiselta ja hävittämiseltä. Toimenpiteet on suunniteltava riskiarvioinnin pohjalta ja huomioiden tietojen luonne, määrä ja merkitys yksityisyyden suojalle.

Testaaminen ja henkilötunnukset
Testiaineistoa valmisteltaessa henkilötunnukset tulisi "sotkea" eli anonymisoida niin, ettei alkuperäistä tietoa voi palauttaa. Jos sotkeminen ei ole mahdollista, testiympäristön tekniset ja hallinnolliset turvatoimet on varmistettava. Myös testaajien omien tai lähipiirin tietojen käyttöä testiaineistossa tulee välttää.

Testiaineiston siirtäminen EU:n ulkopuolelle
Jos aineisto on sotkettu niin, ettei siitä voida tunnistaa yksittäisiä henkilöitä, GDPR ei estä sen siirtoa esimerkiksi Intiaan, vaikka Intialla ei ole EU:n hyväksymää tietosuojaluokitusta.

Tuotantoympäristön käyttäminen koulutukseen
Henkilörekisterissä olevien tietojen käyttö koulutukseen on sallittua vain tarpeellisuusharkinnan perusteella. Koulutus tulisi toteuttaa anonymisoidulla tai keinotekoisella datalla. Jos oikeita tietoja on välttämätöntä näyttää, tulee varmistaa salassapito ja osallistujien asianmukaisuus. Ulkopuoliset eivät saa osallistua.

Vainajat ja henkilötietolaki
GDPR ei koske kuolleita henkilöitä. He eivät ole oikeussubjekteja. Kuitenkin vainajan tiedoilla voi olla epäsuoraa suojaa, jos niiden paljastaminen voi vaarantaa elävien läheisten yksityisyyden. Esimerkiksi vainajan geneettiset tiedot voivat sisältää arkaluonteista tietoa ja yhdistää elossa oleviin perillisiin.

Salassapitovelvollisuus
Salassapitovelvollisuus on henkilötietosuojaa laajempi käsite ja voi koskea mitä tahansa luottamuksellista tietoa, jonka paljastaminen voi olla yksityiselle henkilölle haitallista. Esimerkiksi terveydenhuollon ammattihenkilöillä on laaja salassapitovelvollisuus, joka jatkuu ammatinharjoittamisen päättymisen jälkeen ja koskee myös vainajiin liittyviä tietoja.

Tapausesimerkki, hautakivien valokuvien julkaisu
Tietosuojavaltuutettu katsoi, että alle 25 vuotta sitten kuolleiden hautakivien tietojen julkaiseminen verkossa ilman omaisten suostumusta oli henkilötietolain vastaista. Tietosuojalautakunta asetti käsittelykiellon. Helsingin hallinto-oikeus kuitenkin kumosi kiellon katsoen, että hautakivien tiedot ovat julkisia eikä niitä suojata tietosuojalain mukaisella yksityisyydensuojalla. Tämä osoittaa, että soveltamiskäytännöt voivat olla monimutkaisia ja tapauskohtaisia.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön