Ads 468x60px

perjantai 2. syyskuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden toteuttaminen

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

1. Osa Henkilötiedot ja tietojen suojaaminen

Huhtikuussa tapahtunut EU:n tietosuoja-asetuksen hyväksyntä on uutisoitu usealla rintamalla ja siitä keskustellaan paljon alan ammattilaisten kesken. Mutta kun olen keskustellut henkilötiedoista, tietosuojasta tai henkilötietojen turvaamisesta tuttavieni, pk-yrittäjien, yritysten tai julkishallinnon työntekijöiden kanssa, on tullut eteen tilanteita, joissa henkilötietojen käsittelyyn liittyviä velvollisuuksia tai yksityisten ihmisten oikeuksia ei tunnisteta eikä niiden ymmärretä koskevan myös omaa yritystä tai organisaatiota.

Henkilötietoja ovat sekä voimassaolevan henkilötietolain että uuden tietosuoja-asetuksen näkökulmasta kaikki ne tiedot, joista yksittäinen ihminen on tunnistettavissa joko suoraan tai epäsuorasti. Henkilötietoja ovat siten esimerkiksi asiakastiedot, sähköpostin yhteystietolistat, Web-kyselyn tulokset, sopimuskumppanien tiedot silloin kun kyseessä on yksittäinen henkilö, tietoliikenteeseen tallentuvat IP-osoitteet, auton rekisterinumerot tai kameravalvonnan kuvat tunnistettavista henkilöistä yksityisalueilla.

Tietosuoja-asetus asettaa velvoitteita edellä mainittujen henkilötietojen keräämiselle ja käsittelylle sekä yksityisten henkilöiden oikeuksien toteuttamiselle, mutta tietosuoja-asetus on myös tietoturvalaki, joka velvoittaa suojaamaan henkilötiedot riittävällä tasolla. Asetuksen artiklat 32–34 käsittelevät henkilötietojen ja käsittelyn turvallisuutta ja velvoittavat kaikkia henkilötietojen kanssa tekemisissä olevia suojaamaan henkilötietoa sekä tunnistamaan tietoturvaloukkauksia riippumatta siitä onko käsittelevä organisaatio tai yritys pieni tai suuri.

Asetuksen lähtökohtana on riskitietoisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava henkilötietoja uhkaavaa riskiä vastaava turvallisuustaso. Jotta henkilötietoja voi suojata tietosuojariskiä vastaan, on keskeistä tunnistaa, mistä henkilötietoa löytyy ja mitä henkilötietoa toiminnassa itse kerättynä tai muualta luovutettuna käsitellään. Organisaatioissa yleisesti on tiedossa keskeiset asiakasrekisterit ja niihin kerätyt henkilötiedot tai oman henkilöstön tiedot ja niistä muodostetut rekisterit, mutta henkilötiedon tunnistaminen vaikeutuu pian kun puhutaan pilvipalveluista, kumppaneista tai liiketoiminnan muista tarpeista tukitoimintojen ulkopuolelta. Tunnistamatonta tietoa ei voi suojata ja tietoturvaloukkauksen riski onkin suuri siellä, missä henkilötietoa ei tiedetä olevan. Tärkeää olisi päästä puuttumaan tietosuojariskin torjuntaan jo silloin kun uutta palvelua tai järjestelmää mietitään ennen sen käyttöönottoa. Seuraavassa kuvassa on pyritty avaamaan esimerkinomaisesti henkilötietojen suojaamisessa tietoturvallisuuden keinoin huomioitavia seikkoja asetuksen vaatimusten täyttämiseksi.
Blogitekstien toisessa osassa tarkastellaan tietosuojariskiä ja sen hallintaa tietoturvallisuuden keinoin. Osa kolme keskittyy henkilötietojen suojaamiseen ja neljäs osa pureutuu kumppaneihin ja tietojen siirtoon. Viimeisessä viidennessä osassa tarkastellaan vielä testaamista, seurantaa ja valvontaa.

2 kommenttia:

Olli Haukkovaara kirjoitti...

"tietoliikenteeseen tallentuvat IP-osoitteet" eivät ole mitenkään yksiselitteisesti henkilötietoja, esimerkiksi usea henkilö voi käyttää samaa IP-osoitetta proxyn takaa. Vasta siinä vaiheessa kun IP-osoite kytketään johonkin henkilöön, se voi muuttua henkilötiedoksi. Samoin matkapuhelinten IP-osoitteet vaihtuvat jatkuvasti, eli nekään eivät ole automaattisestu henkilötietoja. Sama koskee auton rekisteritunnuksia, autohan voi olla jonkin yhtiön omistama, jolloin ei kyse henkilötiedosta.

Mirva Peltola kirjoitti...

Hei ja kiitos kommentista! Pahoittelut vastauksen viipymisestä, en huomannut kommenttia aiemmin.

Myönnän, että blogiin kirjoitettu teksti ei vapaamuotoisuudessaan ole aina kaikilta määrittelyiltään tarkkaa ja IP-osoitteiden ja esim. auton rekisterinumeron suhteen tosiaan mainitsemasi asiat ovat käytännössä ongelmallisia.

Tietosuoja-asetus määrittelee henkilötiedoksi "kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella". Verkkotunnistetiedoilla taas asetuksen perusteluissa tarkoitetaan mm. IP-osoitteita seuraavasti: "Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin."

IP-osoitteiden käsittelystä henkilötietona on annettu 12.5.2016 EU:n julkisasiamiehen ennakkoratkaisu, jossa todetaan seuraavaa: "Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 2 artiklan a alakohdan mukaisesti dynaaminen IP-osoite, jonka avulla käyttäjä on käynyt sähköisen tieto- ja viestintäpalvelun tarjoajan verkkosivuilla, on viimeksi mainitun kannalta henkilötieto edellyttäen, että verkkoyhteyden tarjoajalla on hallussaan lisätietoja, jotka dynaamiseen IP-osoitteeseen yhdistettyinä auttavat tunnistamaan käyttäjän."
http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=FI&mode=lst&dir=&occ=first&part=1&cid=690386

Samoin tietosuojavaltuutettu on antanut kesäkuussa lausunnon, jossa on todettu IP-osoitteen olevan henkilötieto. http://www.tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunlausuntosahkoisenviestinnantietosuojadirektiivinuudistamisestae552016vp.html

Edelleen on hyvä muistaa, että huolellisen rekisterinpitäjän on kohdeltava henkilötietona myös sellaista tietojoukkoa, jossa osa tiedoista on henkilötietoa ja osa ei-henkilötietoa, jos rekisterinpitäjä ei kykene erottamaan näitä kahta kategoriaa toisistaan.


Yst. Terv. Mirva

Lähetä kommentti