Ads 468x60px

torstai 27. lokakuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 4


Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

4. Osa Kumppanien ja sopimusten hallinta

Yhä useampi organisaatio nojautuu toiminnassaan voimakkaasti ulkoistuskumppaneihin tietovarantojen hallinnoinnissa. Ulkopuolisen palveluntarjoajan rooli voi vaihdella melko passiivisesta tallennustilan tarjoamisesta tietojen aktiiviseen analysointiin ja jatkojalostamiseen, muun muassa web-analytiikkaan ja markkinointipalveluiden tarjoamiseen. Harvinaista ei ole sekään, että ulkoistuskumppani hyödyntää asiakkaansa tietovarantoja itsenäisesti omassa liiketoiminnassaan. Syitä ulkopuolisen palveluntarjoajan käytölle on monia: esimerkiksi pilvipohjaisen tallennustilan suosiota selittää sen kustannustehokkuus ja käyttäjäystävällisyys. Erityisesti pienille organisaatioille houkuttelevia voivat olla myös suurten palveluntarjoajien käytössä olevat resurssit palvelun tietoturvallisuuden takaamiseksi.

Kun ulkopuolisella kumppanilla on pääsy rekisterinpitäjän keräämiin henkilötietoihin, kumppaniin soveltuvat lähes poikkeuksetta tietosuoja-asetuksen mukaiset henkilötietojen käsittelijää koskevat säännöt. Tietosuoja-asetuksen mukaan käsittelijällä tarkoitetaan sellaista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Käsittelyn määritelmä on hyvin laaja ja kattaa laajasti henkilötietoihin kohdistuvia toimenpiteitä. Jo pelkkä henkilötietojen katselu luetaan henkilötietojen käsittelyksi. Koska tietosuoja-asetus määrittelee ensimmäistä kertaa selkeät erilliset vastuut rekisterinpitäjän ja käsittelijän välillä, käsittelijän roolin tunnistaminen mahdollisimman varhaisessa vaiheessa ulkoistusprosessia on tärkeää.

Tietosuoja-asetuksen lähtökohta henkilötietojen käsittelijän velvoitteista ei ole mullistava: rekisterinpitäjän ja käsittelijän välistä suhde on määriteltävä sopimuksella tai muulla oikeudellisella asiakirjalla. Asetus eroaa kuitenkin merkittävästi edeltäjästään henkilötietodirektiivistä sen osalta, kuinka tarkasti rekisterinpitäjän ja käsittelijän välistä sopimussuhdetta säännellään. KPMG:n tietosuojatiimi valikoi uusista velvoitteista kolme tärkeintä, jotka jokaisen rekisterinpitäjän tulisi käydä läpi henkilötietojen käsittelijöiden kanssa.

Käsittelijän alihankintaketjut - tunne ketjun viimeinenkin pelaaja

Henkilötietojen käsittely on harvemmin kahden sopimusosapuolen välinen asia: käsittelytoimenpiteiden ketju ulottuu tyypillisesti henkilötietojen käsittelijänä toimivan organisaation kautta useille alihankkijoille, joilla voi olla runsaasti itsenäistä vastuuta käsittelyn lainmukaisuudesta ja tarvittavista tietosuoja- ja tietoturvatoimenpiteistä. Usein alihankintaketjujen huomioon ottaminen rekisterinpitäjän ja käsittelijän pääsopimuksessa on puutteellista, eikä rekisterinpitäjällä välttämättä ole tietoa, mihin henkilötiedot virtaavat, kun ne ovat siirtyneet käsittelijän haltuun.

Tietosuoja-asetus helpottaa rekisterinpitäjän tietoisuutta alihankintaketjuista. Jatkossa rekisterinpitäjän ja käsittelijän väliseen sopimukseen on sisällytettävä ehto, jonka mukaan henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän ennakkolupaa. Lisäksi tietosuoja-asetus velvoittaa henkilötietojen käsittelijän alihankkijoita noudattamaan samoja velvoitteita kuin henkilötietojen käsittelijä. Käsittelijän on siis viimeistään toukokuusta 2018 alkaen annettava rekisterinpitäjälle kattavampaa tietoa alihankkijoistaan ja annettava rekisterinpitäjälle mahdollisuus vastustaa muutoksia alihankintaketjuissa. Käsittelijän on myös huolehdittava, että alihankkijat noudattavat sopimusvelvoitteita omassa toiminnassaan.

Tietoturvaloukkaukset - nopea reagointi on myös käsittelijän etu

Henkilötietojen käsittelyn ulkoistaminen lisää vaatimuksia palveluntarjoajan tietoturvallisuuden hallinnalle ja tehokkaiden tietoturva- ja tietosuojakontrollien olemassaololle. Asetuksen mukaan rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka varmistavat asetuksen vaatimusten ja rekisteröityjen oikeuksien toteutumisen asianmukaisilla teknisillä ja organisatorisilla toimilla. Koska huolellisinkaan valmistautuminen ei voi poissulkea tietoturvaloukkauksen ja siitä johtuvan tietovuodon riskiä täysin, rekisterinpitäjän ja käsittelijän välillä on oltava selkeä prosessi tietoturvaloukkausten käsittelemiseksi sekä kriisiviestinnän hoitamiseksi, koska ennakoitavissa on, että korkean riskin tietosuojaloukkauksesta tulee julkinen ennemmin tai myöhemmin.

Asetuksen mukaan rekisterinpitäjän ja käsittelijän väliseen sopimukseen on sisällytettävä ehto, jonka mukaan käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Lopullinen ilmoitus valvontaviranomaiselle jää rekisterinpitäjän vastuulle, jonka tulisi tehdä ilmoitus mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on tullut rekisterinpitäjän tietoon. Monessa tapauksessa rekisterinpitäjän toimenpiteet tietoturvaloukkauksesta ilmoittamiseksi ovat kiinni käsittelijän nopeasta reagoinnista. Käsittelijältä onkin suositeltavaa vaatia, että sen käyttämät järjestelmät havaitsevat ja hälyttävät poikkeuksellisesta toiminnasta, ja että käsittelijällä on myös sisäinen toimintaprosessi mahdollisen tietovuodon varalta. Käytännössä rekisterinpitäjä voi varmistaa tarvittavien prosessien olemassaolon muun muassa auditoimalla käsittelijän, tai vaatimalla varmennuslausuntoa tietoturvastandardien mukaisuudesta.

Häiriönhallintaprosessin kannalta keskeistä on, että osapuolilla on selkeä tietämys vastuunjaosta silloin kun tietosuojaloukkaus tapahtuu. Tietosuojaloukkauksessa tietosuojavastaavan rooli on keskeinen yhteydenpitäjänä viranomaisten ja rekisteröityjen suuntaan kun tietoturvasta vastaavat hoitavat häiriön selvittämistä. Henkilön yksityisyyteen kohdistuva tietoturvaloukkaus on liiketoiminnan kannalta aina merkittävä asia, joten tietosuojaloukkauksia on syytä käsitellä kriittisen tai laajan häiriönhallinnan prosesseissa. Prosessia ei voi laatia häiriön jo tapahtuessa vaan suunnittelu, dokumentointi ja harjoittelu tulee tehdä ennaltaehkäisevästi.

Vastuiden ja tehtävien kannalta olennaista on, että tietosuojaloukkaukset kyetään erottamaan muista tapahtumista. Palvelunhallinta-/tiketöintijärjestelmän toimittajalta on syytä vaatia toiminnallisuutta, jolla tietosuojaloukkaukset voidaan merkitä häiriötilanteessa sekä myöhemmin raportoida. Raportointi ja erottelu on tärkeää myös osoitusvelvollisuuden periaatetta täytettäessä.

Toimimalla ripeästi ja hyödyntäen tarvittavia teknisiä ja organisatorisia toimenpiteitä käsittelijä pienentää riskiä joutua asetuksen vaatimusten laiminlyönnistä johtuvien sanktioiden kohteeksi. Sanktioiden lisäksi rekisteröidyillä on oikeus vaatia vahingonkorvausta kärsimästään yksityisyyden suojan loukkauksesta. Sanktiot ja vahingonkorvaukset sekä sopimuksen korvausvelvoitteet on hyvä ottaa huomioon rekisterinpitäjän ja käsittelijän välistä sopimusta laadittaessa.

Dokumentoidut ohjeet - viesti vaatimukset tehokkaasti

Käsittelijällä on ollut velvollisuus toimia rekisterinpitäjän ohjeiden mukaisesti jo nykyisen henkilötietodirektiivin mukaan. Sääntö on hyvä esimerkki niistä olemassa olevista periaatteista, joita tietosuoja-asetus tiukentaa: jatkossa rekisterinpitäjän ja henkilötietojen käsittelijän välisiin sopimuksiin on sisällyttävä henkilötietojen käsittelijän velvollisuus käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti. Rekisterinpitäjän on siis jatkossa huolehdittava siitä, että käsittelijällä on käytössään dokumentoitu ohjeistus henkilötietojen käsittelystä. Vaikka asetuksesta on pääteltävissä, että ohjeistuksen laatiminen on rekisterinpitäjän vastuulla, asetus ei vaikuttaisi estävän rekisterinpitäjää ja käsittelijää sopimasta ohjeistuksen sisällöstä yhdessä.


Karoliina Kallasvuo ja Mirva Peltola

Tämän tietosuojablogisarjan ensimmäisessä osassa käsiteltiin tietosuojan hallintaa, toisessa osassa pureuduttiin riskeihin, kolmas osa käsitteli tietoturvaloukkauksen tunnistamista ja henkilötietojen suojaamista ja viimeisessä viidennessä osassa tarkastellaan tietosuojan testaamista, seurantaa ja valvontaa.





tiistai 18. lokakuuta 2016

Integraatiot – näkymättömät liiketoiminnan mahdollistajat

Yritysten liiketoimintajärjestelmät kommunikoivat keskenään sekä ulkopuolisten sidosryhmien kanssa yrityksen koosta riippumatta. Nämä järjestelmäintegraatiot mahdollistavat yritysten keskeisten liiketoimintaprosessien toiminnan. Toimiessaan integraatiot ovat näkymättömiä, tieto siirtyy järjestelmien välillä ja parhaassa tapauksessa loppukäyttäjä käyttää ainoastaan yhtä näkymää tietämättä mitä ”konepellin alla” tapahtuu. Toimimattomat integraatiot näkyvät yleensä loppukäyttäjälle järjestelmästä puuttuvina tietoina tai muina käytön estävinä tapahtumina. Tällöin yleensä syytetään huonoa järjestelmää, ei huonoa integraatiota.

Näin tietysti pitää ollakin, koska integraatioiden perimmäinen tarkoitus on siirtää tietoa paikasta toiseen, jotta liiketoimintaprosessit pystytään suorittamaan mahdollisimman tehokkaasti. Yritykset ovat tehostaneet toimintaansa jo vuosia järjestelmäintegraatioiden mahdollistaman liiketoimintaprosessien automatisoinnin avulla. Tiedonsiirron automatisointi ja siihen liittyvä tiedon jalostaminen on osaltaan mahdollistanut viime vuosikymmeninä nähdyn tietotekniikan avulla saadun tuottavuuden kasvun yrityksissä. Se, mikä alkoi kahden tietojärjestelmän välisestä yksinkertaisesta putkesta, on laajentunut vuosien aikana omaksi osa-alueekseen tietojenkäsittelyssä.

Integraatioiden muutos

Kuten sanottua, aluksi integraatiot olivat kahden järjestelmän välisiä putkia. Ongelmaksi muodostui järjestelmien määrän lisääntyessä tarvittavien putkien määrä. Integraatioiden suora kytkentä järjestelmiin aiheutti sen, että järjestelmiä uusittaessa kaikki kyseiseen järjestelmään kytketyt putket oli tehtävä uudelleen. Ylläpito muodostui siis hyvin työlääksi. Lääkkeeksi kehitettiin integraatioalustoja ja palveluväyliä, jotka hoitivat integraatiot järjestelmien välillä siten, että järjestelmän vaihtuessa ainoastaan kyseisen järjestelmän kytkentärajapinta piti uusia toisen pään pysyessä ennallaan. Samalla integraatiot saatiin valvonnan piiriin, jolloin integraatioihin saatiin kehitettyä liiketoimintaprosesseihin liittyviä mittareita, esimerkkinä vaikkapa keskimääräinen tilauksesta sopimukseen -aika. Eräs integraatioalustojen ja palveluväylien sudenkuopista on tosin ollut liiketoimintajärjestelmiin kuuluvan toiminnallisuuden valuminen integraatioihin, jolloin liiketoimintajärjestelmät ja integraatiot ovat hitsautuneet toisiinsa yhdeksi vaikeasti hallittavissa olevaksi kokonaisuudeksi. Integraatioiden perimmäinen tarkoitus kun on ainoastaan siirtää tietoa vastaanottajille ymmärrettävässä muodossa.

Hyvin pitkään yritykset rakensivat integraatiot omiin konesaleihinsa (On Premise), kunnes IT-palveluntarjoajat alkoivat tarjota konesalipalveluita ja virtualisointia, jonne integraatioalustat siirtyivät yritysten omista tiloista. Haasteena perinteisissä konesali-integraatioympäristöissä on kuitenkin ollut kapasiteetti. Kuinka integraatioympäristö tulee mitoittaa, jotta se suoriutuu tehtävästään? Perinteisenä ratkaisuna on ollut lisätä ”rautaa rajalle” silloin kun suorituskykyongelmia alkaa esiintyä. Tämän toimintamallin suurimpana ongelmana on ollut kapasiteetin joutokäynti jos integraatioympäristö on mitoitettu käyttöpiikkien mukaan. Valitettavasti hyvin usein myös hinnoittelu on pitänyt tällaiset integraatiopalvelut pienempien yritysten ulottumattomissa.

Kehitys kuitenkin etenee vääjäämättömästi myös integraatiopalveluiden osalta. Viime vuosina olemme nähneet kuinka pilvipalvelut ovat jokapäiväistyneet liiketoiminnassa. Tämä koskee myös integraatioita. Markkinoille on tullut pilvipohjaisia integraatioratkaisuja suurilta toimijoilta ja lukuisia pienempiä palveluntarjoajia, jotka tarjoavat räätälöityjä ja yksityisiä pilvipohjaisia integraatiopalveluja yritysten käyttöön. Pienemmät yritykset ovat toivottaneet uudet pilvipohjaiset integraatiomallit tervetulleeksi, koska käytönmukainen hinnoittelumalli on tuonut integraatiopalvelut yhä pienempien yritysten saataville ilman satsausta kalliiseen infrastruktuuriin.

Suuremmat yritykset ovat myös lähteneet hyödyntämään uusia integraatiomahdollisuuksia. Perinteisen On Premise -mallin rinnalle on tullut hybridimalli, jossa perinteisiä konesali-integraatioita täydentävät pilvipalveluilla toteutetut integraatiot. Yleensä liiketoimintakriittisiin järjestelmiin liittyvät integraatiot on jätetty konesaliin ja pilvi-integraatiot on aloitettu vähemmän tärkeistä kohteista. Tämä on hyvä lähtökohta, mutta sillä ei kuitenkaan välttämättä saavuteta maksimihyötyä, koska usein liiketoimintakriittiset integraatiot ovat niitä, joissa pilvipalveluiden skaalautuvuudesta olisi eniten hyötyä. Osa yrityksistä onkin siirtynyt suoraan pilvipohjaisten integraatioiden käyttöön.  Samalla osa pilvi-integraatiotoimittajista tarjoaa teknologiastaan On Premise -versioita, joiden tarkoituksena on yhtenäistää hybridimallissa käytettävää teknologiaa sekä madaltaa pilvipalveluiden käyttöönoton kynnystä.


Integraatiot ja tietoturva

Muutos pilvi-integraatioihin merkitsee, että yhä suurempi osa yrityksen tietovirrasta siirtyy yrityksen ulkopuolelle. Perinteisesti integraatioiden sanomaliikenne on hoidettu siten, että tieto kulkee yrityksen sisäverkossa salaamattomana ja yhteydet ulkomaailmaan on salattu. Pilvipalveluiden yleistyessä yhä suurempi osa sanomaliikenteestä siirtyy yrityksen sisäverkon ulkopuolelle, joten pilvipalvelut muuttavat toimintamallin, kuinka integraatioiden tietoturvaan on suhtauduttava. Pilvi-integraatioiden saatavuus riippuu internet-yhteyksistä, tosin eivät perinteisetkään B2B-yhteydet toimi ilman verkkoyhteyttä. Tiedon luottamuksellisuuteen ja eheyteen on panostettava, koska osa tiedoista kulkee julkisessa verkossa sisäverkon asemesta.

Teknologia on kuitenkin vain tapa toteuttaa asioita. Yrityksille on tärkeämpää tuntea toimintansa. Pilvi-integraatioiden mahdollisuuksien ymmärtäminen voi olla hankalaa, sillä aiemmin mainittu integraatioiden näkymättömyys ilmenee valitettavasti hyvin monessa yrityksessä siten, ettei yrityksissä ole kuvattu nykyisiä integraatioita eikä yrityksillä ole ymmärrystä integraatioidensa liiketoimintakriittisyydestä. Pahimmillaan yksi kahden tietojärjestelmän välissä oleva integraatio voi rikkoutuessaan pysäyttää yrityksen toiminnan kannalta kriittisen liiketoimintaprosessin. Mikäli yrityksellä ei ole tiedossaan millaisia integraatioita heillä on käytössään, jäävät integraatioiden kehityksestä ja pilvipalveluista saatavat hyödyt haaveeksi.

Kuinka yritysten tulisi sitten toimia? Ensinnäkin yrityksellä tulisi olla tiedossa, millaisia integraatioita heillä on käytössään. Monella yrityksellä on ajantasainen integraatiokartta, mutta mikäli näin ei ole, niin siitä kannattaa aloittaa. Integraatioinventaarion yhteydessä voidaan tunnistaa myös niin sanotut haamuintegraatiot eli integraatiot, joiden käytölle ei ole enää liiketoiminnallisia perusteita, mutta joihin kukaan ei ole uskaltanut koskea, koska ei ole tiedetty mitä integraatiot oikein tekevät. Nämä haamuintegraatiot ovat usein myös tietoturvan kannalta ongelmallisia niin tietoturvan kuin pääsynhallinnan kannalta, koska niissä saattaa olla vanhentuneita ja tietoturvattomia ratkaisuja kuten yksinkertaisia ja koodiin selväkielisenä kirjoitettuja salasanoja, joilla sanomaliikenne on aikanaan saatu toimimaan.

Kun integraatiot on tunnistettu, seuraavassa vaiheessa integraatioista selvitetään mitä liiketoimintarvetta varten ne on rakennettu ja mitä tietoa niissä liikkuu. Näin saadaan lajiteltua integraatiot liiketoimintakriittisyyden perusteella sekä pystytään valitsemaan ehdokkaat pilvi-integraatioihin tutustumiselle. Se, että yritys tuntee integraationsa ja niissä liikkuvan liiketoimintatiedon, auttaa määrittelemään myös integraatioiden tietoturva- ja tietosuojapolitiikan. Yrityksen liiketoiminnan kannalta on erittäin tärkeää, että yritys on laatinut selkeät pelisäännöt mitä tietoa kuljetetaan tietyn tyyppisellä integraatioilla ja millä ehdoilla. Kun liiketoiminnalla on ymmärrys integraatioista, pystytään yrityksessä myös tunnistamaan ne kohdat liiketoimintaprosesseissa, joita voidaan tehostaa integraatioiden avulla. Tehostaminen voi tapahtua esimerkiksi jonkun aiemmin manuaalisesti hoidetun toiminnon automatisoinnilla, liiketoimintaprosessin muutoksella tai pilvi-integraatioiden hyödyntämisellä. Samalla voidaan määritellä liiketoimintaprosesseihin liittyvät mittarit, joihin integraatiot tarjoavat tietoa. Kaiken avain on kuitenkin se, että yritys tuntee integraationsa.

Pilvipalvelut ovat jo muuttaneet integraatioihin liittyvän toimintamallin. Onko se uhka vai mahdollisuus, riippuu paljolti yrityksien asenteesta. Ne yritykset, jotka ymmärtävät integraatioiden liiketoimintakriittisyyden ja pystyvät katsomaan integraatioitaan muunakin kuin teknisenä funktiona, ovat vahvoilla.

Pasi Vänttinen
Kirjoittaja toimii arkkitehtinä KPMG:n kyberturvallisuusyksikössä ja on työskennellyt useita vuosia lukuisissa integraatiohankkeissa.

keskiviikko 12. lokakuuta 2016

VIERASKYNÄ: Ahtisaari, Nobel-komitea ja EU:n yleinen tietosuoja-asetus


EU:n yleinen tietosuoja-asetus (ystävien kesken ”GDPR”) on tällä hetkellä kuuma puheenaihe, josta vaihdamme ajatuksia sekä työtoimeksiantojen merkeissä että kahvitaukokeskusteluissa.

Martti Ahtisaari ilmestyi mukaan kahvitaukokeskusteluihimme tällä viikolla julkaistujen uutisten vuoksi. Suomen itsetuntoakin koeteltiin, kun Uusi Suomi julkaisi jutun ”Hätkähdyttävä havainto: Martti Ahtisaari kartuttaakin Venäjän Nobel-saldoa” (11.10.2016). Havainnon oli ensimmäisenä tehnyt ekonomisti Olli Kärkkäinen, ja se todellakin on hätkähdyttävä, kun lähestulkoon kansallisaarteeksi luokiteltu Martti Ahtisaari olikin listattu Nobel-sivustolla ikään kuin venäläiseksi hänen syntymäpaikkansa Viipurin vuoksi.

Asiaa selvitti edelleen Helsingin Sanomat, joka julkaisi jutun ”Nobel-komitea ei muuta linjaustaan Martti Ahtisaaren venäläisyydestä – ’Emme voi tehdä poikkeuksia yksittäisten nobelistien kohdalla’” (11.10.2016). Helsingin Sanomat oli ollut yhteydessä Nobel-komiteaan, jonka edustaja oli toki pahoitellut asiaa. Komitean edustaja oli todennut näiden listausten luomisen olevan hankalaa maiden osalta, koska he nimenomaisesti eivät halua sotkea kansallisuuksia asiaan, vaan listaukset perustuvat voittajien syntymävaltioihin.

Erikoista tässä asiassa onkin – ja erityisesti tietosuojajuristien kahvitaukokeskusteluja kirvoittaa – Helsingin Sanomille annettu lausunto, jossa nimenomaisesti todetaan, että ”[t]ietokannat ovat tietokantoja, täytyy tehdä päätös ja pysyä siinä. Emme voi tehdä poikkeuksia yksittäisten nobelistien kohdalla”.

Ottamatta kantaa nykytilaan tai komitean toimintaan sovellettavaan lainsäädäntöön (juristien disclaimer), Nobel-komitealla tulee lähitulevaisuudessa olemaan mielenkiintoinen tietosuojapähkinä purtavanaan tässä asiassa GDPR:n soveltamisen alkaessa keväällä 2018.

Nobel-komitea nimittäin toimii EU:n alueella, ja sen vuoksi GDPR:stä velvoitteineen ja vastuineen tulee myös suoraan siihen sovellettavaa oikeutta. Koska Nobel-komitea ilmeisestikin ylläpitää Nobel-voittajia koskevaa jäsenneltyä luonnollisten henkilöiden tietoja sisältävää tietojoukkoa, siis (henkilö-)rekisteriä, niin GDPR:n 4 artiklan mukaan Nobel-komitea olisi rekisterinpitäjä ja jokainen nobelisti olisi rekisteröity edellä mainitussa komitean rekisterissä. Näin ollen Nobel-komitea olisi myös velvoitettu huolehtimaan nobelisteille kuuluvista rekisteröityjen oikeuksista.

Tällaisia oikeuksia ovat muun muassa GDPR:n 16 ja 17 artiklojen mukaiset oikeus tietojen oikaisemiseen ja oikeus tietojen poistamiseen. Yksinkertaistetusti ilmaistuna ensimmäinen näistä oikeuttaa rekisteröidyn vaatimaan, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Lisäksi rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä. Jälkimmäinen tarkoittaa, että rekisteröidyllä on tietyin edellytyksin oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ilman aiheetonta viivytystä. Vastaavasti rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, ellei rekisterinpitäjä voi osoittaa, että niiden käsittely on tarpeen esimerkiksi sananvapautta tai tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi.

Tulevaisuudessa Nobel-komitea ei siis voikaan noin vain todeta, ettei se aio tehdä poikkeusta yksittäisen voittajan kohdalla. Jos tarkastellaan uutisten aiheena ollutta seikkaa, rekisterinpitäjänä Nobel-komitean olisi vähintäänkin pyydettäessä tehtävä nimenomainen poikkeus ainakin tekemällä voittajan syntymämaan kohdalle nykytilaa kuvaava selventävä täydennys.

Tänään Helsingin Sanomat uutisoi: ”Nobel-komitea pahoitteli ja teki Ahtisaaresta taas suomalaisen – Ahtisaari HS:lle: Olen tyytyväinen”. Uutisessa ei kuitenkaan kerrota, perustuiko henkilötietojen korjaaminen edellä mainittujen rekisteröityjen oikeuksien huomioon ottamiseen vai tehtiinkö muutokset muista syistä.

Kahvitaukokeskustelussamme pohdimme myös rekisterinpitäjien velvollisuutta poistaa GDPR:n edellytysten täyttyessä rekisteröityjä koskevat tiedot henkilörekisteristä. Periaatteessa nobelisteilla olisi tulevaisuudessa myös mahdollisuus pyytää Nobel-komitealta itseään koskevien tietojen poistamista rekisteristä, eli heillä olisi oikeus tulla unohdetuksi. Teimme kuitenkin kahvitaukokeskustelussamme johtopäätöksen, että tällaiset poistamispyynnöt eivät välttämättä kuitenkaan ole kovin todennäköisiä.

Suosittelemme Nobel-komitealle ja kaikille muillekin tietosuoja-aiheista kiinnostuneille osallistumista KPMG:n järjestämälle Käräjät 2016 -tapahtuman Tietosuojalinjalle 28.10.2016, että nobelistien ja kaikkien muidenkin rekisteröityjen luonnollisten henkilöiden perusoikeudet sekä GDPR:n mukaiset oikeudet rekisteröityinä tulisivat asianmukaisesti turvatuiksi.

Tervetuloa - jatketaan yhdessä keskustelua mielenkiintoisista tietosuojan aiheista!

Charlotta Henriksson ja Emma Swahne