Ads 468x60px

torstai 14. kesäkuuta 2012

Tietovuodot kuriin kepillä ja porkkanalla

EU:n tuleva tietosuoja-asetus tuo monia uudistuksia rekisterinpitäjän tiedon hallinnointiin ja velvollisuuksiin. Muutokset astuvat voimaan vasta muutaman vuoden kuluttua, mutta jotkut niistä vaativat perusrekisterinpitäjältäkin isomman jumpan, toimiin on siis syytä ryhtyä melko pian.
Yksi konkreettisimmista uusista säännöksistä koskee rekisterinpitäjän velvoitetta tiedottaa tietoturvaloukkauksista viranomaisille sekä tilanteen vaatiessa myös rekisteröidyille. Asetusluonnoksen mukaan rekisterinpitäjän ”on ilmoitettava tietovuodoista valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa sen ilmitulosta”. Jos on perustelu syy olettaa, että tietovuoto vaarantaa myös rekisteröityjen yksityisyyden suojan, on vuodosta ilmoitettava myös kaikille rekisteröidyille ja ohjeistettava, miten rekisteröity voi itse toimia haittojen minimoimiseksi.
Ilmoitusvelvollisuutta rekisteröidyille ei synny siinä tapauksessa, että pystytään osoittamaan, etteivät henkilötiedot ole vaarassa, vaikka ne ovat joutuneet väärille teille.  Mikäli vuotaneet henkilötiedot on esim. suojattu vahvalla salauksella ja tämä pystytään näyttämään toten, ei ilmoitusvelvollisuutta rekisteröidyille ole.
Suuria tietovuotoja sattuu yhä useammin, viimeisimpänä LinkedIn-palvelun salasanahashien (mahtoikohan muitakin tietoja vuotaa?) vuoto. Lainsäätäjä reagoi tilanteeseen mm. koventamalla seuraamuksia, vakavimmissa tapauksissa rekisterinpitäjä voi saada jatkossa sakon, joka vastaa 2 %:ta yrityksen globaalista liikevaihdosta, keppiä siis tarjotaan.  Taloudelliset riskit kasvavat tämän johdosta, aiemminkin on yrityksiä mennyt konkurssiin tietovuotojen välittömistä tai välillisistä seurauksista.
Fiksu rekisterinpitäjä huolehtii tietoturvastaan, suunnittelee tietosuojatoimintonsa ja – kontrollinsa siten, että tietovuodon riski kyetään minimoimaan, sekä tiedottaa avoimesti politiikastaan. Porkkanana toimii taloudellisten, oikeudellisten ja maineriskien välttäminen, kuluttajien luottamuksen lisääntyminen sekä arvonnousu, jolla edellä kuvatulla tavalla toimivat palkitaan (ks. Laaksosen Mikan bloggaus Talouselämässä). Jos jotain silti tapahtuu, voidaan etukäteen suunnitellulla prosessilla ja avoimuudella minimoida tietovuodon toteuttamat riskit.

Ei kommentteja:

Lähetä kommentti