Ads 468x60px

torstai 27. lokakuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 4


Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

4. Osa Kumppanien ja sopimusten hallinta

Yhä useampi organisaatio nojautuu toiminnassaan voimakkaasti ulkoistuskumppaneihin tietovarantojen hallinnoinnissa. Ulkopuolisen palveluntarjoajan rooli voi vaihdella melko passiivisesta tallennustilan tarjoamisesta tietojen aktiiviseen analysointiin ja jatkojalostamiseen, muun muassa web-analytiikkaan ja markkinointipalveluiden tarjoamiseen. Harvinaista ei ole sekään, että ulkoistuskumppani hyödyntää asiakkaansa tietovarantoja itsenäisesti omassa liiketoiminnassaan. Syitä ulkopuolisen palveluntarjoajan käytölle on monia: esimerkiksi pilvipohjaisen tallennustilan suosiota selittää sen kustannustehokkuus ja käyttäjäystävällisyys. Erityisesti pienille organisaatioille houkuttelevia voivat olla myös suurten palveluntarjoajien käytössä olevat resurssit palvelun tietoturvallisuuden takaamiseksi.

Kun ulkopuolisella kumppanilla on pääsy rekisterinpitäjän keräämiin henkilötietoihin, kumppaniin soveltuvat lähes poikkeuksetta tietosuoja-asetuksen mukaiset henkilötietojen käsittelijää koskevat säännöt. Tietosuoja-asetuksen mukaan käsittelijällä tarkoitetaan sellaista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Käsittelyn määritelmä on hyvin laaja ja kattaa laajasti henkilötietoihin kohdistuvia toimenpiteitä. Jo pelkkä henkilötietojen katselu luetaan henkilötietojen käsittelyksi. Koska tietosuoja-asetus määrittelee ensimmäistä kertaa selkeät erilliset vastuut rekisterinpitäjän ja käsittelijän välillä, käsittelijän roolin tunnistaminen mahdollisimman varhaisessa vaiheessa ulkoistusprosessia on tärkeää.

Tietosuoja-asetuksen lähtökohta henkilötietojen käsittelijän velvoitteista ei ole mullistava: rekisterinpitäjän ja käsittelijän välistä suhde on määriteltävä sopimuksella tai muulla oikeudellisella asiakirjalla. Asetus eroaa kuitenkin merkittävästi edeltäjästään henkilötietodirektiivistä sen osalta, kuinka tarkasti rekisterinpitäjän ja käsittelijän välistä sopimussuhdetta säännellään. KPMG:n tietosuojatiimi valikoi uusista velvoitteista kolme tärkeintä, jotka jokaisen rekisterinpitäjän tulisi käydä läpi henkilötietojen käsittelijöiden kanssa.

Käsittelijän alihankintaketjut - tunne ketjun viimeinenkin pelaaja

Henkilötietojen käsittely on harvemmin kahden sopimusosapuolen välinen asia: käsittelytoimenpiteiden ketju ulottuu tyypillisesti henkilötietojen käsittelijänä toimivan organisaation kautta useille alihankkijoille, joilla voi olla runsaasti itsenäistä vastuuta käsittelyn lainmukaisuudesta ja tarvittavista tietosuoja- ja tietoturvatoimenpiteistä. Usein alihankintaketjujen huomioon ottaminen rekisterinpitäjän ja käsittelijän pääsopimuksessa on puutteellista, eikä rekisterinpitäjällä välttämättä ole tietoa, mihin henkilötiedot virtaavat, kun ne ovat siirtyneet käsittelijän haltuun.

Tietosuoja-asetus helpottaa rekisterinpitäjän tietoisuutta alihankintaketjuista. Jatkossa rekisterinpitäjän ja käsittelijän väliseen sopimukseen on sisällytettävä ehto, jonka mukaan henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän ennakkolupaa. Lisäksi tietosuoja-asetus velvoittaa henkilötietojen käsittelijän alihankkijoita noudattamaan samoja velvoitteita kuin henkilötietojen käsittelijä. Käsittelijän on siis viimeistään toukokuusta 2018 alkaen annettava rekisterinpitäjälle kattavampaa tietoa alihankkijoistaan ja annettava rekisterinpitäjälle mahdollisuus vastustaa muutoksia alihankintaketjuissa. Käsittelijän on myös huolehdittava, että alihankkijat noudattavat sopimusvelvoitteita omassa toiminnassaan.

Tietoturvaloukkaukset - nopea reagointi on myös käsittelijän etu

Henkilötietojen käsittelyn ulkoistaminen lisää vaatimuksia palveluntarjoajan tietoturvallisuuden hallinnalle ja tehokkaiden tietoturva- ja tietosuojakontrollien olemassaololle. Asetuksen mukaan rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka varmistavat asetuksen vaatimusten ja rekisteröityjen oikeuksien toteutumisen asianmukaisilla teknisillä ja organisatorisilla toimilla. Koska huolellisinkaan valmistautuminen ei voi poissulkea tietoturvaloukkauksen ja siitä johtuvan tietovuodon riskiä täysin, rekisterinpitäjän ja käsittelijän välillä on oltava selkeä prosessi tietoturvaloukkausten käsittelemiseksi sekä kriisiviestinnän hoitamiseksi, koska ennakoitavissa on, että korkean riskin tietosuojaloukkauksesta tulee julkinen ennemmin tai myöhemmin.

Asetuksen mukaan rekisterinpitäjän ja käsittelijän väliseen sopimukseen on sisällytettävä ehto, jonka mukaan käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Lopullinen ilmoitus valvontaviranomaiselle jää rekisterinpitäjän vastuulle, jonka tulisi tehdä ilmoitus mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on tullut rekisterinpitäjän tietoon. Monessa tapauksessa rekisterinpitäjän toimenpiteet tietoturvaloukkauksesta ilmoittamiseksi ovat kiinni käsittelijän nopeasta reagoinnista. Käsittelijältä onkin suositeltavaa vaatia, että sen käyttämät järjestelmät havaitsevat ja hälyttävät poikkeuksellisesta toiminnasta, ja että käsittelijällä on myös sisäinen toimintaprosessi mahdollisen tietovuodon varalta. Käytännössä rekisterinpitäjä voi varmistaa tarvittavien prosessien olemassaolon muun muassa auditoimalla käsittelijän, tai vaatimalla varmennuslausuntoa tietoturvastandardien mukaisuudesta.

Häiriönhallintaprosessin kannalta keskeistä on, että osapuolilla on selkeä tietämys vastuunjaosta silloin kun tietosuojaloukkaus tapahtuu. Tietosuojaloukkauksessa tietosuojavastaavan rooli on keskeinen yhteydenpitäjänä viranomaisten ja rekisteröityjen suuntaan kun tietoturvasta vastaavat hoitavat häiriön selvittämistä. Henkilön yksityisyyteen kohdistuva tietoturvaloukkaus on liiketoiminnan kannalta aina merkittävä asia, joten tietosuojaloukkauksia on syytä käsitellä kriittisen tai laajan häiriönhallinnan prosesseissa. Prosessia ei voi laatia häiriön jo tapahtuessa vaan suunnittelu, dokumentointi ja harjoittelu tulee tehdä ennaltaehkäisevästi.

Vastuiden ja tehtävien kannalta olennaista on, että tietosuojaloukkaukset kyetään erottamaan muista tapahtumista. Palvelunhallinta-/tiketöintijärjestelmän toimittajalta on syytä vaatia toiminnallisuutta, jolla tietosuojaloukkaukset voidaan merkitä häiriötilanteessa sekä myöhemmin raportoida. Raportointi ja erottelu on tärkeää myös osoitusvelvollisuuden periaatetta täytettäessä.

Toimimalla ripeästi ja hyödyntäen tarvittavia teknisiä ja organisatorisia toimenpiteitä käsittelijä pienentää riskiä joutua asetuksen vaatimusten laiminlyönnistä johtuvien sanktioiden kohteeksi. Sanktioiden lisäksi rekisteröidyillä on oikeus vaatia vahingonkorvausta kärsimästään yksityisyyden suojan loukkauksesta. Sanktiot ja vahingonkorvaukset sekä sopimuksen korvausvelvoitteet on hyvä ottaa huomioon rekisterinpitäjän ja käsittelijän välistä sopimusta laadittaessa.

Dokumentoidut ohjeet - viesti vaatimukset tehokkaasti

Käsittelijällä on ollut velvollisuus toimia rekisterinpitäjän ohjeiden mukaisesti jo nykyisen henkilötietodirektiivin mukaan. Sääntö on hyvä esimerkki niistä olemassa olevista periaatteista, joita tietosuoja-asetus tiukentaa: jatkossa rekisterinpitäjän ja henkilötietojen käsittelijän välisiin sopimuksiin on sisällyttävä henkilötietojen käsittelijän velvollisuus käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti. Rekisterinpitäjän on siis jatkossa huolehdittava siitä, että käsittelijällä on käytössään dokumentoitu ohjeistus henkilötietojen käsittelystä. Vaikka asetuksesta on pääteltävissä, että ohjeistuksen laatiminen on rekisterinpitäjän vastuulla, asetus ei vaikuttaisi estävän rekisterinpitäjää ja käsittelijää sopimasta ohjeistuksen sisällöstä yhdessä.


Karoliina Kallasvuo ja Mirva Peltola

Tämän tietosuojablogisarjan ensimmäisessä osassa käsiteltiin tietosuojan hallintaa, toisessa osassa pureuduttiin riskeihin, kolmas osa käsitteli tietoturvaloukkauksen tunnistamista ja henkilötietojen suojaamista ja viimeisessä viidennessä osassa tarkastellaan tietosuojan testaamista, seurantaa ja valvontaa.





Ei kommentteja:

Lähetä kommentti