Hyvä tietosuoja tukee hyvää tietoturvaa
Kuten kaikki tietävät, eurooppalainen tietosuojasääntely on viimeisen viiden vuoden aikana muuttanut valtavasti sitä, miten ihmisten henkilötietoja saa käyttää muun muassa yritystoiminnassa. Kaiken tietosuojatoiminnan on perustuttava tarkoin lakiin, ja sen toteuttaminen vaatii lukuisten muodollisuuksien noudattamista. Läpinäkyvyys, tiedottaminen, raportointi ja tietosuojan jatkuva ylläpito ovat uuden sääntelyn keskeisiä velvoitteita.
Selvitysten mukaan useimmat suomalaiset yritykset kokevat, että heillä on tietosuojaosaaminen riittävällä tasolla. Valtaosalla yrityksistä löytyy yleensä verkkosivuiltaan tietosuojaseloste ja evästehallinnan työkalu. Lähempi tarkastelu osoittaa monasti, että tietosuojassa on kuitenkin paljon petrattavaa. Virallinen tulkinta eurooppalaisesta tietosuojalainsäädännöstä kehittyy kaiken aikaa, ja suunta on pääasiassa tiukentuva. (Lue lisää: “Käytätkö Mailchimpiä tai vastaavaa ohjelmaa asiakasviestinnässä? Lue sitten tämä!” (LinkedIn))
Jos yritys ei ole perillä tietosuojaa ja tietoturvaa koskevista velvollisuuksistaan eikä huolehdi siitä, että sen ymmärrys asiasta on aina ajan tasalla, riski valtavalle vahingolle kasvaa jyrkästi. Riskien torjuminen ei vaadi pelkästään sitä, että tietotekniset järjestelmät ovat turvallisia, vaan myös sitä, että tietosuojaa ja ylipäätään tietojen käsittelyä koskevat prosessit ovat kunnossa.
Yksi tärkeimpiä keinoja tietoturvaloukkauksiin valmistautumiseksi on tietosuojalainsäädännön tarkka noudattaminen. Lain säännökset on suunniteltu siten, että virheen sattuessa ihmisten kärsimä vahinko on mahdollisimman rajattu. Hyvä esimerkki siitä, miten hommaa ei kannata hoitaa, on huoneistojen vuokraustoimintaa harjoittava Forenom. Yhtiöltä varastettiin vuonna 2020 kymmenientuhansien asiakkaiden henkilötiedot henkilötunnuksia myöten. Yritys ei ollut minimoinut henkilötietojen määrää EU:n yleisen tietosuoja-asetuksen vaatimalla tavalla, mikä osaltaan pahensi tietomurron laajuutta.
Tietoturvaloukkaus ei tarkoita ainoastaan tietomurtoa
Tietosuoja ja tietoturva ovat eri asioita, mutta ne toimivat yleensä käsi kädessä. Tietosuojalla pyritään pääasiassa varmistamaan, että henkilötietojen käsittely on lainmukaista. Tietoturva on sen sijaan teknisempi ala, joka tähtää henkilötietojen ja muiden tietojen turvalliseen käsittelyyn. Kun tietoturva on kunnossa, myös henkilötiedot ovat yleensä turvassa.
Näin ollen ei liene yllätys, että mikäli yritys joutuu tietoturvaloukkauksen kohteeksi, sen on tehtävä pääsääntöisesti 72 tunnin kuluessa ilmoitus tietosuojaviranomaiselle, joka sitten tutkii, onko loukkauksen johdosta rikottu myös ihmisten tietosuojaa. Toisin kuin monasti luullaan, tietoturvaloukkaus ei tarkoita pelkästään tietomurtoa tai muuta rikollista tapahtumaa, vaan ilmoitusvelvollisuus voi syntyä jo paljon harmittomammaltakin tuntuvassa tapauksessa.
Tietosuojalainsäädännön mukaan tietoturvaloukkaus on käsillä muun muassa silloin, kun yritys vahingossa tai huolimattomuuttaan luovuttaa henkilötietoja kolmannelle osapuolelle ilman lainmukaista perustetta. Ilmeinen esimerkki on silloin, kun henkilötietoja sisältävä sähköpostiviesti lähetetään väärälle vastaanottajalle, jolla ei ole mitään oikeutta saada kyseisiä tietoja.
Vähemmän tunnettu tilanne on se, kun yrityksen verkkosivuilla käytetään kolmannen osapuolen teknologiaa, jonka seurauksena sivuston käyttäjien henkilötietoja “valuu” luvatta tuolle kolmannelle osapuolelle. Helppo esimerkki on Google. Monet yritykset käyttävät Google Analyticsia ja Google Fonts -kirjasinlajeja verkkosivustollaan. Jos teknologioita ei ole asennettu oikein, ja asiassa ei ole huolehdittu oikeista sopimusteknisistä asioista sekä käyttäjien tiedottamisesta, kyseessä on tietoturvaloukkaus, jos toiminnan seurauksena ihmisten henkilötietoja siirtyy Googlelle (niin kuin normaalisti tapahtuu).
Näin kävi muun muassa Ilmatieteenlaitokselle, joka oli vuosina 2020-2022 käyttänyt Google Analyticsia ja reCAPTCHAa (myös Googlen tuote) verkkosivustollaan ilman, että se oli huolehtinut yleisen tietosuoja-asetuksen määräyksistä.
Ilmatieteenlaitos ilmoitti tietoturvaloukkauksesta itse Tietosuojavaltuutetulle ja teki korjaavat toimenpiteet oma-aloitteisesti. Se selvisi tapauksesta viranomaisen huomautuksella ja määräyksellä poistaa lainvastaisesti kerätyt ja Googlelle luovutetut henkilötiedot. (Tietosuojavaltuutettu ei toki olisi voinut edes määrätä tapauksessa hallinnollista seuraamusmaksua, koska Ilmatieteenlaitos on julkistoimija, jotka on Suomessa rajattu lailla sakkomenettelyn ulkopuolelle.) En tiedä, saiko Ilmatieteenlaitos myös Googlen poistamaan imuroimansa henkilötiedot, mutta näin on lain mukaan tullut tapahtua.
Yrityksen johto huolehtii työntekijöiden ja alihankkijoiden virheistä
Tietosuojan alalla rekisterinpitäjä eli yritys, joka on kerännyt ihmisten henkilötietoja ja käsittelee niitä, vastaa tietoturvaloukkauksista ja muista lainvastaisuuksista. Esimerkiksi dynaamisen ja visuaalisesti miellyttävän verkkosivuston rakentaminen yritykselle vaatii nykyään monenlaista työntekijää, tietoteknistä ohjelmaa ja ulkopuolista palveluntarjoajaa. Yrityksen johdon on mahdotonta varmistua täysin siitä, että jossakin raossa ei tapahtuisi jonkinlaista virhettä, joka ennemmin tai myöhemmin johtaa tietoturvaloukkaukseen. Jos henkilötietojen käsittelyä ulkoistetaan niin sanotulle henkilötietojen käsittelijälle, viimekätinen vastuu virheistä pysyy edelleen rekisterinpitäjällä.
Kuten aina, yrityksen hallitus vastaa myös työntekijöiden ja alihankkijoiden virheistä. Mittatikkuna on ylimmän johdon huolellisuus sen varmistamisessa, että virheitä ei tapahdu ja ne korjataan nopeasti. (Lue lisää: “Kun yrityksen hyvä hallinto epäonnistuu, maine kärsii ja johtajat vastaavat”)
Jotta tietosuoja- ja tietoturva-asioissa huolellisuusvelvollisuus täyttyy, kannattaa hallituksen jäsenten varmistua ainakin seuraavista asioista:
1. Yrityksen tietosuojatoiminnassa noudatetaan lakia. Yhtiössä on joku, joka tietää tietosuojalainsäädännön asettamat velvoitteet. Prosessit ovat kunnossa, jotta tiedätte tarkalleen, miten henkilötietoja käsitellään ja kenelle niitä jaetaan. Dokumentaatio ja rekisterit ovat hoidossa, ja niitä päivitetään säännöllisesti. Henkilöstö on sitoutunut tietosuojasta huolehtimiseen, ja yrityskulttuuri on hyvällä tasolla, jotta toiminnassa ei tapahdu lepsuilua.
2. Ulkopuolisia palveluntarjoajia käytettäessä kaikki sopimukset ja muut muodollisuudet on hoidettu, ja niitä ylläpidetään säännöllisesti. Jokaisen henkilötietojen käsittelijän kanssa on tehty lain edellyttämät asiakirjat.
3. Yhtiön sisäiset tietosuojaprosessit ovat kunnossa. Jokainen, jonka vastuulla tietosuoja-asiat ovat, tietää roolinsa ja tehtävänsä. Riskinomistajat ovat tiedossa. Jos kohdalle osuu tietosuojatapahtuma (esimerkiksi tietoturvaloukkaus tai rekisteröidyn lähettämä tietosuojapyyntö), oikeat henkilöt tietävät tarkalleen, miten toimia.
4. Yrityksessä tarkastetaan säännöllisesti tietosuojan tilanne. Päivitykset on hyvä tehdä vähintään kerran vuodessa, mutta ne ovat tarpeen useamminkin, jos tietosuojatoiminnassa tapahtuu muutoksia. Missään nimessä ei ole riittävää, että tietosuoja-asioita on käyty läpi kerran joskus toiminnan alussa ja sen jälkeen oletetaan, että mikään ei muutu.
5. Henkilöstöä koulutetaan tietosuojasta säännöllisesti, jälleen vähintään kerran vuodessa. Alaa koskeva sääntely kehittyy kaiken aikaa, joten ei kannata uskoa väitteitä, että työntekijöillä olisi homma loputtomasti hallussa. Usein korkeammassa johtoasemassa olevat henkilöt välttelevät kaikenlaista lisäkoulutusta. Työyhteisön motivaation ja yrityskulttuurin kannalta on tärkeää, että jokainen osallistuu päivittävään opetukseen vähintään kerran vuodessa. Koulutuksesta on hyvä tehdä mielekästä ja työntekijöiden tehtävien kannalta hyödyllistä.
Yrityksen hyvä tietosuoja ei vaadi mahdottomia ponnisteluja, kun kerran sisäistää oikeat toimintatavat. Siksi onkin tärkeää rakentaa tietosuojatoiminnan periaatteet ja prosessit osaksi yhtiön kulttuuria ja päivittäistä toimintaa. Mitä varhaisemmin homma hoidetaan, sitä helpompaa lainmukainen tietosuojatoiminta on yhtiön kasvaessa. Henkilökunta, niin kuin aina, on ratkaisevassa asemassa siinä, että tietosuoja toimii. Siksi työntekijöiden ja johtajien osaamiseen ja motivaatioon kannattaa panostaa.
Mikäli tarvitset apua yrityksenne tietosuojatoiminnan suunnittelussa ja oikeiden prosessien toteutuksessa, autamme mielellämme. Lue lisää Yrityksen tietosuoja (GDPR) -palvelupaketistamme tai varaa aika maksuttomaan ja riskittömään alkutapaamiseen.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.