Kategoria: Tietosuoja

Kuvan taulukkoon on koottu keskeisiä tietoturvapäällikön ja tietosuojavastaavan tehtävien eroja.

Käytännössä tietosuojavastaava keskittyy henkilötietojen suojaan liittyviin näkökulmiin, kun taas tietoturvapäällikkö tarkastelee aihetta laajemmin. Tietosuojavastaavan tehtävänkuva on kerrottu GDPR:ssä, mutta molemmilla voi olla organisaation osoittamia (lisa)tehtäviä. Tietoturvapäällikön työ liittyy toteuttamiseen, tietosuojavastaavan tehtävät ovat riippumatonta ohjausta ja valvontaa.

Kts. myös aikaisempi postaus aiheesta: Mitä eroa on tietosuojavastaavalla ja tietoturvapäälliköllä?

Tällainen keskustelu tulee käytyä yllättävän usein:
”Oletko sinä semmoinen tietosuojavastaava?”
”En, vaan olen tietoturvapäällikkö.”

Tyypillisesti kysyjänä on henkilö, joka ei ole tekemisissä IT-alan kanssa. Hänelle asiat näyttäytyvät arjessa yhtensä ja samana kokonaisuutena, joten miksi ihmeessä siihen tarvitaan kaksi eri tekijää?

Keskustelu jatkuu. Joko kysyjä esittää otsikossa mainitun jatkokysymyksen. Tai sitten innokas tietoturvapäällikkö kertoo loput itse 🙂

Tietosuojavastaavan tehtävänä on valvoa, että yritys käsittelee henkilötietoja tietosuojalainsäädännön edellyttämällä tavalla. Tietosuojatyön tarkoituksena on suojata ihmisten henkilötietoja ja niihin liittyviä oikeuksia. Ihmisillä on esimerkiksi oikeus tietää, miten yritykset ja organisaatiot käsittelevät heidän tietojaan. Lisäksi on mm. oikeus korjata vääriä tietoja, pyytää poistamaan tietoja jne.

Jokaisella on myös oikeus siihen, että tietojen turvallisuudesta huolehditaan. Eli tiedot eivät päädy ulkopuolisille, tai kukaan ei pääse urkkimaan niitä. Tämä on puolestaan sitä tietoturvaa ja tietoturvapäällikön tehtäväkenttää. Tietosuojavastaava on siis organisaation pääasiantuntija tietosuojaan ja henkilötietoihin liittyvissä asioissa.

Tietoturvapäällikkö on puolestaan asiantuntija tietoturvaan ja kyberturvallisuuteen liittyvissä asioissa. Tietoturvapäällikön tehtävänä on varmistaa, että tiedot ja järjestelmät pysyy turvallisina. Eli käytännössä pyritään suojelemaan ihmisiä ja järjestelmiä niin, että ei jouduta esimerkiksi kiristyshaittaohjelmien tai muiden kyberhyökkäysten uhriksi. Tai että organisaation tietoja ei pääse vuotamaan rikollisille.

Käytännössä siis huolehditaan käyttäjätunnuksista ja salasanoista, palomuureista, virustorjuntasovelluksista yms. teknisistä asioista. Lisäksi koulutetaan työntekijöitä toimimaan järkevästi netissä ja sähköpostissa jne. Sitten tehdään esimerkiksi tietoturvaan liittyviä ohjeita ja sääntöjä.

”Sä olet siis se henkilö, joka pakottaa käyttämään niitä hulluja salasanoja?”

… ehkä ei jatketa keskustelua tässä postauksessa 🙂

Tietosuoja muodostuu suunnitelmallisuudesta ja arjen valinnoista. Merkittävä määrä tietosuojatyötä tehdään ennen kuin yhtään henkilötietoa on kerätty. Kerroin aikaisemmassa blogipostauksessa tietosuojan suunnitelmallisuudesta. Tässä kuvataan, miten suunnitelma muuttuu arjen teoksi usealla eri tavalla:

Noudata ohjeita!

Noudata henkilötietojen käsittelyyn liittyvää suunnitelmaa ja ohjeita. Kerää vain niitä henkilötietoja, joita oikeasti tarvitaan. Älä kerää lisätietoja varmuuden vuoksi. Tallenna tiedot sovittuun paikkaan. Käsittele ja avaa vain niitä tietoja, joita työssäsi tarvitset. Poista tiedot, kun niitä ei enää tarvita. Jos olet epävarma, miten henkilötietoja tulee käsitellä, niin pyydä lisää ohjeita!

Käytä sovittuja järjestelmiä

Käsittele henkilötietoja niissä järjestelmissä, jotka on kyseistä tehtävää varten hankittu. Yksittäinen työntekijä ei saa käsitellä henkilötietoja esimerkiksi pilvipalveluissa tai muissa järjestelmissä, jos niiden käytöstä ei ole suunnitelmaa ja organisaatiossa tehtyä päätöstä.

Vältä turhia kopioita

Arjen tekeminen vaatii joskus, että henkilötiedoista tehdään listoja, joita käsitellään esim. taulukkolaskentaohjelmassa. Tallenna listaus sovittuun paikkaan. Vältä turhien kopioiden ottamista useaan paikkaan, esimerkiksi omalle koneelle, kotihakemistoon, yhteisille verkkolevyille tai sähköpostiin. Useampi kopio hankaloittaa henkilötietojen asianmukaista hallintaa ja altistaa tiedot myös erilaisille tietoturvariskeille.

Lähetä ja jaa tietoa turvallisesti

Henkilötiedon jakaminen muille tulee tehdä järkevästi ja turvallisesti. Älä lähetä tietoa perinteisellä sähköpostilla. Se muodostaa monia ongelmia. Perinteisessä sähköpostissa tieto liikkuu turvattomasti, tiedosta muodostuu turhia kopioita ja tieto saattaa päätyä väärälle vastaanottajalle. Jaa ennemmin linkki käyttöoikeuksilla rajattuun tiedostoon tai käytä turvasähköpostipalvelua.

Poista turhat tiedot

Henkilötiedot tulee lopulta poistaa, kun tiedolle ei ole enää tarvetta. Älä kuitenkaan poista tietoa heti, kun tieto on sinulle tarpeetonta. Noudata tässäkin organisaation ohjeita. Tiedoilla voi olla pitkiäkin säilytysaikoja. Varmista myös, hoitaako tietojärjestelmä tiedon poistamisen automaattisesti vai pitääkö sinun poistaa tietoa itse. Muista myös ne turhat kopiot! Paperinen materiaali toimitetaan tietosuojaroskikseen.

Auta rekisteröityä

Rekisteröidyllä on monia tietosuojaoikeuksia, mm. oikeus saada tietoa henkilötietojen käsittelystä ja tutustua omiin tietoihinsa. Jos rekisteröity pyytää tällaista, niin suhtaudu tilanteeseen asiakaspalveluhenkisesti. Noudata olemassa olevia ohjeita tai palaa asiaan, kun olet saanut organisaatiosta lisäohjeita.

Ilmoita havainnoista ja poikkeamista

Havaitsitko poikkeamia tai mahdollisia ongelmia henkilötietojen käsittelyyn, tietosuojaan tai tietoturvaan liittyen? Ilmoita tästä viipymättä eteenpäin. Nopean reagoinnin ansiosta isommilta ongelmilta on vielä mahdollista välttyä.

Suunnitelmallinen ja fiksu toiminta tekee henkilötietojen käsittelystä järkevää, vastuullista ja turvallista – arjen tietosuojaa parhaimmillaan!

Tietosuojakeskusteluissa korostuvat usein tietomurrot ja hallinnolliset sakot. Valitettavasti ne hämärtävät tietosuojaa kokonaisuutena ja ohjaavat ajattelemaan aihetta kapeasti, ulkoisten asioiden kautta.

Tietosuoja muodostuu suunnitelmallisuudesta ja arjen valinnoista. Merkittävä määrä tietosuojatyötä tehdään ennen kuin yhtään henkilötietoa on kerätty.

Henkilötietojen tietoturvaloukkaukset ja tietomurrot pyritään välttämään hyvällä suunnittelulla ja toteutuksella. Hallinnolliset sakot johtuvat siitä, että suunnitelmallisuutta, tietosuojaperiaatteita ja rekisteröidyn oikeuksia ei ole noudatettu.

Suunnittelu luo pohjan tietosuojalle

Henkilötietojen käsittelyn suunnittelua voi toteuttaa esimerkiksi seuraavien kysymysten kautta:

1. Mitä olemme tekemässä?
2. Miksi tarvitsemme henkilötietoja?
3. Millaisia henkilötietoja oikeasti tarvitsemme?
4. Miten tietoja tullaan käsittelemään?
5. Ketkä kaikki tietoja tulevat käsittelemään?
6. Mille osapuolille tietoja tullaan luovuttamaan?
7. Miten tietoa tullaan keräämään?
8. Minne tarpeelliset tiedot tallennetaan?
9. Kauanko tietoa on tarpeellista säilyttää?
10. Miten tieto lopulta poistetaan eri paikoista?
11. Miten ja missä henkilötietojen käsittelystä kerrotaan rekisteröidylle?
12. Miten ohjeistan muita työntekijöitä, jotta suunnitelma muuttuu käytännön teoiksi?

Miten listaa hyödynnetään käytännössä? Kts. esim. tapahtumien tietosuoja.

Kaikki työntekijät eivät välttämättä joudu suunnittelemaan henkilötietojen käsittelyä työpaikalla, mutta jokaisella henkilötietoja käsittelevällä on merkittävä rooli tietosuojan toteutumisessa. Tästä lisää tämän blogipostauksen toisessa osiossa, joka julkaistaan myöhemmin.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.