Turvallisuus yhtenä henkilötietojen käsittelyä ohjaavista periaatteista
EU:n yleisessä tietosuoja-asetuksessa (GDPR) on määritelty periaatteet, joita on noudatettava kaikessa henkilötietojen käsittelyssä. Yksi näistä periaatteista koskee henkilötietojen turvallista käsittelyä.
Tietosuojalainsäädäntö edellyttää, että henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen luottamuksellisuus, eheys ja saatavuus:
- Luottamuksellisuus = Tietoja pääsevät käsittelemään vain sellaiset henkilöt, joilla on siihen oikeus
- Eheys = Tiedot eivät muutu ei-toivotulla tavalla
- Saatavuus = Tiedot ovat saatavilla silloin, kun niitä tarvitaan
Henkilötietoja tulee siis asianmukaisia teknisiä ja organisatorisia toimenpiteitä käyttäen suojata luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta kaikissa niihin kohdistuvissa käsittelytoimenpiteissä koko niiden elinkaaren ajan.
Käytettävien teknisten ja organisatoristen suojatoimenpiteiden riittävyyttä arvioitaessa tulee huomioida henkilötietojen käsittelyn luonne, laajuus, tarkoitukset ja asiayhteys sekä näihin liittyvät riskit. Riskit voivat liittyä niin fyysisiin, aineellisiin kuin aineettomiinkin vahinkoihin. Tiettyjen henkilötietojen luottamuksellisuuden vaarantuminen voi johtaa esimerkiksi siihen, että rekisteröidyt ovat vaarassa joutua identiteettivarkauden tai petoksen uhriksi.
Mahdollisia toimenpiteitä henkilötietojen turvallisuuden varmistamiseksi ovat esimerkiksi kaksivaiheisen tunnistautumisen käyttöönotto, käyttöoikeuksien rajaaminen henkilöstön työtehtävien mukaisesti sekä henkilötietojen salaaminen. Suojatoimenpiteet on jalkautettava tehokkaasti osaksi organisaation jokapäiväistä henkilötietojen käsittelyä. Henkilöstölle kohdistettava tietosuoja- ja tietoturvaohjeistus sekä turvallisuuspoikkeamatilanteita koskeva toimintaohje ovat tässä keskeisessä asemassa.
Tietosuoja-asetuksen rekisterinpitäjälle asettama osoitusvelvollisuus tarkoittaa, että tietosuojalainsäädännön noudattamisen lisäksi rekisterinpitäjän on myös kyettävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Käytännössä osoitusvelvollisuutta toteutetaan dokumentaation kautta. Edellä mainittujen sisäisen tietosuoja- ja tietoturvaohjeistuksen sekä turvallisuuspoikkeamatilanteita koskevan toimintaohjeen laatimisen lisäksi rekisterinpitäjän tulee huolellisesti dokumentoida esimerkiksi tapahtuneet ja epäillyt turvallisuuspoikkeamat sekä näiden johdosta suoritetut toimenpiteet.
Tietosuojatyö on jatkuva prosessi. Myös käytössä olevien suojatoimenpiteiden sekä henkilötietojen turvallista käsittelyä koskevan dokumentaation riittävyyttä on arvioitava uudelleen säännöllisin väliajoin.
OTM, CIPP/E, CIPM
Lecklé Oy
