Olet kenties kuullut sanottavan: kun tietoturva on kunnossa, niin tietosuoja on kunnossa!
Tämä väittämä ei kuitenkaan pidä paikkaansa. Tietoturvan avulla kylläkin toteutetaan tietosuojaa ja useat suojatoimenpiteet tietosuojariskien minimoiseksi liittyvät tietoturvaan. Silti toimivat tekniset ja organisatoriset tietoturvaratkaisut eivät yksin riitä takaamaan oikeaoppista henkilötietojen käsittelyä. Tulisi paremminkin sanoa: ellei tietoturva ole kunnossa, ei tietosuojakaan ole kunnossa.
Useimmiten organisaation tietosuojavastaavan tärkein työpari on tietoturvapäällikkö. Tämän mainion vastakappaleen lisäksi tietosuojavastaavan tulee kommunikoida luontevasti niin henkilöstöhallinnon, tietohallinnon, lakiosaston, sovelluskehittäjien, palvelutuotannon, myynnin ja markkinoinnin kuin ylimmän johdonkin kanssa.
Miten sitten tietosuoja – henkilötietojen käsittely – eroaa tietoturvasta?
1. Lainmukaisuus
Henkilötietojen käsittelystä ja sen edellytyksistä on säädetty laissa: EU:n yleisessä tietosuoja-asetuksessa, kansallisessa tietosuojalaissa sekä erityislainsäädännössä. Jotta henkilötietojen käsittely olisi lainmukaista, sille on oltava sopiva käsittelyperuste, esimerkkeinä näistä mainittakoon henkilön itsensä antama suostumus, henkilön elintärkeiden etujen suojaaminen tai rekisterinpitäjän lakisääteisen tehtävän toteuttaminen.
2. Osoitusvelvollisuus
Rekisterinpitäjänä olet velvollinen myös osoittamaan, että noudatat tietosuojalainsäädäntöä henkilötietojen käsittelyssäsi. Tämä toteutuu yleensä dokumentaation avulla (mm. tietosuojaselosteet, politiikat, ohjeet ja mallipohjat, tietotilinpäätös).
Tietoturvaankin liittyy useita viitekehyksiä, ohjeistusta, standardeja ja myös lainsäädäntöä, mutta ei yhtä samalla tavalla kattavaa ja velvoittavaa kuin EU:n yleinen tietosuoja-asetus. Keskeinen tietoturvallisuuteen vaikuttava lainsäädäntö löytyy rikoslaista (luvut 28, 34, 35, 38).
3. Läpinäkyvyys
Muista kertoa henkilötietojen käsittelystä ymmärrettävästi ja avoimesti niille henkilöille, joiden henkilötietoja käsittelet. Voit periaatteessa käsitellä henkilötietoja teknisesti hyvinkin turvallisesti, mutta kyseisen henkilön siitä tietämättä.
4. Käyttötarkoitussidonnaisuus
Saat käsitellä henkilötietoja ainoastaan siihen tarkoitukseen, jota varten ne on alun perin kerätty.
5. Tietojen minimointi
Saat käsitellä henkilötietoja vain silloin, kun se on tarpeellista käsittelyn tarkoituksen kannalta. Henkilötietoja ei kerätä eikä säilytetä vain varmuuden vuoksi, vaan on suunniteltava etukäteen, mitä tietoja välttämättä tarvitaan.
6. Säilytyksen rajoittaminen
Saat säilyttää henkilötietoja vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten.
Rekisterinpitäjä vastaa tietosuojasäännösten noudattamisesta niin kauan, kun se säilyttää henkilötietoja. Tästä syystä säilytysaikaa on viisasta rajoittaa. Säilytysajan rajoittaminen on läheistä sukua tietojen minimointi -periaatteelle.
Korostettakoon kuitenkin, että tietosuoja ja tietoturva kulkevat käsi kädessä, kuten alla oleva kuvakin osoittaa. Tietosuoja tarkoittaa oikeaoppista henkilötietojen käsittelyä ja tietoturvalla pyritään turvaamaan kaikki käyttörajoitetut, luottamukselliset ja salaiset tiedot, siis myös muutkin kuin henkilötiedot. Näiden leikkauskohtaan osuvat ne henkilötiedot, jotka eivät ole julkisia.
Yhdistäviä asioita ovat esimerkiksi riskienhallinta sekä se, että molemmat on huomioitava ja sisäänrakennettava jo tuotteen tai palvelun suunnitteluvaiheessa. Koska täydellistä tietoturvaa tai tietosuojaa ei ole saavutettavissa, kaikkea kehitys- ja suunnittelutyötä tulee lähestyä riskienhallinnan avulla. Riskienhallintaa löytyy useita konkreettisia työkaluja, hyvänä esimerkkinä tietosuojan vaikutustenarviointi, jonka tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä ennen käsittelyn aloittamista.
Jäikö jokin askarruttamaan? Mikäli haluat tietää lisää tietosuojan ja tietoturvan eri toteutusvaihtoehdoista, jatkamme mielellämme keskustelua kanssasi. Saat meihin helpoimmin yhteyttä osoitteen myynti[at]netum.fi kautta!
