Yleinen tietosuoja-asetus, eli GDPR tuli voimaan vuonna 2018 ja sitä pidetään yhtenä tärkeimpänä muutoksena Euroopan unionin (EU) tietosuojasääntelyssä 20 vuoteen. GDPR:n keskeisempinä tavoitteina on suojata yksityishenkilöitä, kun heidän henkilötietojaan käsitellään sekä yhtenäistää tietosuojakäytäntöjä EU-maissa. GDPR antaa yksityishenkilöille enemmän valtaa hallita omia henkilötietojaan helpottamalla pääsyä omiin tietoihin ja edellyttämällä, että organisaatiot kertovat selkeästi ja ymmärrettävästi, miten henkilötietoja käsitellään.
Henkilötietoja käsitellään laajasti digitaalisissa ympäristöissä, ja niiden turvallinen hallinta on keskeistä nykymaailmassa. Siksi on välttämätöntä, että yritykset ja organisaatiot ottavat tietoturvariskit huomioon ja noudattavat tietosuojaa koskevia lainsäädäntöjä ja ohjeistuksia. Tietosuojarikkomus eli tarkemmin sanottuna henkilötietojen tietoturvaloukkaus tarkoittaa tilannetta, jossa henkilötiedot häviävät, tuhoutuvat, muuttuvat, niitä luovutetaan luvattomasti tai ne joutuvat oikeudettoman tahon haltuun. GDPR loukkauksia voivat aiheuttaa esimerkiksi kadonnut USB-tikku, varastettu tietokone, ulkopuolisen tekemä hakkerointi, haittaohjelma, kyberhyökkäys tai henkilötietoja sisältävän sähköpostin lähettäminen vahingossa väärälle vastaanottajalle.
Tietoturvaloukkauksella voi olla useita haitallisia vaikutuksia henkilöihin, ja ne ulottuvat sekä taloudellisiin että ei-taloudellisiin vahinkoihin. Tällaisesta loukkauksesta voi seurata merkittäviä vaikutuksia rekisteröidyn henkilön yksityisyyteen ja turvallisuuteen, ja se voi johtaa henkilötietojen valvonnan menettämiseen, identiteettivarkauteen, petokseen tai maineen vahingoittumiseen. Lisäksi tietoturvaloukkaus voi paljastaa arkaluonteisia, pseudonymisoituja tai salassapidettäviä tietoja, mikä vaarantaa yksityisyyden ja luottamuksellisuuden.
GDPR asettaa useita vaatimuksia rekisterinpitäjille ja tietojen käsittelijöille henkilötietojen suojaamiseksi. Rekisterinpitäjä voi olla henkilö tai organisaatio, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot, kun taas käsittelijä ainoastaan käsittelee tietoja rekisterinpitäjän puolesta. Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja esimerkiksi keräämällä, tallentamalla, muokkaamalla ja poistamalla niitä. Henkilötietojen käsittelyssä on aina noudatettava tietosuojaperiaatteita, jotka edellyttävät, että henkilötietoja käsitellään lain mukaisesti, läpinäkyvästi ja vain tiettyyn, lailliseen tarkoitukseen. Henkilötietoja saa kerätä vain sen verran kuin käsittelyn tarkoitus edellyttää. Tiedot tulee päivittää tarvittaessa, säilyttää vain tarvittavan ajan sekä käsitellä turvallisesti ja luottamuksellisesti.
Rekisterinpitäjällä on niin sanottu osoitusvelvollisuus, eli velvollisuus osoittaa noudattavansa tietosuojalainsäädäntöä. Yritys on velvollinen noudattamaan tietosuoja-asetuksen asettamia vaatimuksia aina kun yritys kerää, säilyttää tai hallinnoi henkilötietoja. Näihin vaatimuksiin voi sisältyä muun muassa:
Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle mahdollisesta henkilötietojen tietoturvaloukkauksesta. Sekä rekisterinpitäjän että käsittelijän on toteutettava tarvittavat toimenpiteet selvittääkseen, mikäli tietoturvaloukkaus on tapahtunut ja rekisterinpitäjän tulee arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu siihen kohdistuneille henkilöille. Riskin taso määrittää, millaisiin toimenpiteisiin rekisterinpitäjän tulee ryhtyä. Näitä toimenpiteitä voivat olla esimerkiksi tietoturvaloukkauksen asianmukainen dokumentointi, ilmoitus valvontaviranomaiselle tai tiedon antaminen rekisteröidyille.
Rekisterinpitäjän tulee arvioida, millainen riski tietovuodosta on aiheutunut sen kohteena olleelle henkilölle. Tässä arvioinnissa on muun muassa otettava huomioon:
Tietoturvaloukkauksen seuraukset voivat olla erityisen vakavia, mikäli niistä voi seurata identiteettivarkaus, petos, psyykkinen ahdistus, nöyryytys tai maineen menetys. Lisäksi vakavuuteen vaikuttaa se, jos tiedot joutuvat esimerkiksi rikollisen haltuun. Mitä vakavampi seuraus on yksilölle ja mitä todennäköisemmin se toteutuu, sitä suurempi riski on kyseessä.
Kaikkien henkilötietojen tietoturvaloukkausten, niiden vaikutusten sekä toteutettujen korjaavien toimenpiteiden dokumentointi rekisterinpitäjän ja tietojen käsittelijän toimesta on pakollista riippumatta siitä, mitä toimenpiteitä loukkauksesta mahdollisesti seuraa. Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyönti johtaa yleisen tietosuoja-asetuksen rikkomiseen, mikä voi puolestaan johtaa siinä määriteltyihin seuraamuksiin.
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä, ja enintään 72 tunnin kuluessa, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille. Henkilötietojen käsittelijän on ilmoitettava tietoturvaloukkauksesta ensin rekisterinpitäjälle ellei toisin ole sovittu, mutta ilmoitusvelvollisuus säilyy rekisterinpitäjällä.
Myös rekisteröidylle, eli taholle jonka tietoja käsitellään, on ilmoitettava henkilötietojen tietoturvaloukkauksesta, jos se todennäköisesti aiheuttaa korkean riskin hänen oikeuksilleen ja vapauksilleen. Tällöin rekisterinpitäjän on tehtävä ilmoitus ilman aiheetonta viivytystä.
Suomessa tietosuojavaltuutetun toimisto valvoo sitä, että rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tietosuojalainsäädäntöä. Tietosuojavaltuutettu toteuttaa valvontaa tarkastustoiminnalla, kuten paikan päällä tehtävillä tarkastuksilla rekisterinpitäjän tai henkilötietojen käsittelijän tiloissa, kirjallisilla tarkastuksilla tai toimialakohtaisilla selvityksillä. Tietosuojavaltuutetun toimisto ilmoittaa etukäteen rekisterinpitäjälle tai henkilötietojen käsittelijälle tarkastuksesta, jossa määritellään tarkastuksen kohde, kuvataan sen toteuttamistapa ja pyydetään tarvittavat tiedot. Kuitenkin myös ilman ennakkovaroitusta suoritettavat tarkastukset ovat mahdollisia, mikäli niin päätetään.
Mikäli rekisterinpitäjä tai henkilötietojen käsittelijä eivät noudata tietosuoja-asetusta, tietosuojavaltuutetulla on käytettävinään erilaisia vaihtoehtoja, kuten varoituksen tai huomautuksen antaminen, väliaikainen tai lopullinen käsittelykielto ja sakko, joka voi olla enintään 20 miljoonaa euroa tai 4 prosenttia yrityksen vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Meta Platforms Ireland, joka hallinnoi Facebookia, on saanut tähän asti suurimman seuraamusmaksun. Yhtiö määrättiin maksamaan 1,2 miljardia euroa sakkoa henkilötietojen siirtämiseen liittyvien tietosuoja-asetuksen loukkausten vuoksi.
Tietosuojavaltuutettu arvioi tapauskohtaisesti seuraamukset siten, että ne ovat tehokkaita ja oikeasuhtaisia tietoturvaloukkaukseen nähden. Yleisen tietosuoja-asetuksen noudattaminen on kaikentyyppisten yritysten vastuulla ja jokainen yritys, joka ei noudata tietosuoja-asetusta, joutuu koosta riippumatta merkittävään vastuuseen.
Tietosuojavaltuutetun mukaan yksi yleisimmistä syistä tietoturvaloukkauksiin Suomessa on huolimattomuusvirheet. Huolimattomuus ja henkilötietojen käsittely kiireessä johtaa helpommin tietovuotoihin, joilla saattaa olla vakavia vaikutuksia yritykselle sekä rekisteröidylle. Henkilötietojen käsittelyyn käytettävät toimenpiteet tulisi siis käydä läpi huolellisesti, jotta yritys jo lähtökohtaisesti voi ehkäistä tietovuotoihin liittyviä riskejä.
Myös henkilöstön puutteellisella koulutuksella on suuri vaikutus tietoturvaloukkauksien määrään. Riittämätön koulutus johtaa usein inhimillisiin virheisiin, kuten tietojen väärinkäsittelyyn tai phishing-hyökkäyksiin, jotka voivat johtaa tietoturvaloukkauksiin. GDPR:n asettamien vaatimusten noudattaminen hankaloituu, jos henkilöstö ei ole täysin perillä erilaisista tietosuojavaatimuksista.
Yksi yleisimmistä syistä tietoturvaloukkauksiin on tietämättömyys tietosuojakäytännöistä ja -vaatimuksista. Monesti yritykset uskovat, että pelkkä tietosuojaseloste on riittävä täyttämään GDPR:n vaatimukset, vaikka todellisuudessa se on vain yksi osa laajempaa tietosuojaprosessia. Tietosuojaselosteen laatiminen ei yksinään takaa, että henkilötietojen käsittely tapahtuu lainmukaisesti ja turvallisesti.
Lisäksi usein yritykset erehtyvät arvioimaan, etteivät ne käsittele henkilötietoja tai että niiden toiminta ei liity GDPR:n vaatimuksiin. Tämä väärinkäsitys voi johtua siitä, että monet eivät tunnista, mitä henkilötietojen käsittely tarkoittaa. Todellisuudessa lähes jokainen yritys, joka tallentaa tai käyttää asiakkaidensa tai työntekijöidensä tietoja, käsittelee henkilötietoja, ja niiden on siten huolehdittava lainmukaisesta käsittelystä.
Tietojen käsittelylle täytyy myös löytyä laillinen peruste, ja käsittely edellyttää asianmukaisen suostumuksen hankkimista rekisteröidyiltä. Ilman näitä yritys voi syyllistyä tietoturvaloukkaukseen ja kohdata vakavia seuraamuksia.
Tietoturvaloukkauksen ehkäiseminen vaatii asiaan perehtymistä, useita toimenpiteitä ja jatkuvaa valppautta. On myös suositeltavaa konsultoida asiantuntijaa, joka tarjoaa lisäohjeita ja suosituksia GDPR:n noudattamisen sekä tietoturvan parantamisen tueksi. Asiantuntijan apu auttaa yritystä tunnistamaan mahdollisia heikkouksia ja kehittämään tehokkaita käytäntöjä tietoturvan vahvistamiseksi.
Lue lisää palveluistamme osoitteessa: https://hedmanpartners.fi/tietosuoja/.
Tai voit olla yhteydessä suoraan asiantuntijoihimme taikka ottaa yhteyttä lomakkeen kautta!
