Editan tammikuun Lakipiiri-webinaarissa perehdyttiin tietosuojan ajankohtaisimpiin aiheisiin. Erityisesti tietosuojan vaaranpaikat: riskit, tietoturvaloukkaukset ja etätyöskentelyn valvonnan ratkaisut herättivät paljon keskustelua. Kysymyksiin vastasi käytännönläheisin esimerkein Editan kouluttaja ja asianajaja Ville Vainio.
Mediassa hätkähdyttäneet uutiset tietoturvaloukkauksista ovat saaneet yritykset kääntämään katseensa hieman tarkemmin omien järjestelmiensä tietoturvallisuuteen. Tietoturvariskeihin kuuluvat kuitenkin kyberhyökkäysten lisäksi myös arjen pienemmät vaaranpaikat.
Jokaisella työntekijällä tulisi olla hyvä käsitys siitä, miten tietoturvariskejä voi ehkäistä omassa arjessa. Tietoturvariskien poistamista ei pitäisi siis jättää vain tietosuojavastaavan hoidettavaksi, vaan niitä tulisi käsitellä organisaatiossa yhdessä oman alan erityiskysymykset huomioiden.
Miten taklata henkilötietojen käsittelyn riskit?
Henkilötietojen käsittelyssä keskeistä on riskien poistaminen tai niiden vaikutusten vähentäminen. Organisaation on siis ensin tunnistettava mahdolliset riskit.
– Autokorjaamo kerää asiakkaistaan hyvin erilaisia tietoja kuin esimerkiksi psykoterapiakeskus. Ensin siis selvitetään, mitä järjestelmiä on käytössä, mihin tarkoituksiin henkilötietoja käytetään, ja mitkä ovat vaaran paikat, Ville Vainio kertoo.
Vainio muistuttaa, että kyseessä on monitahoinen prosessi, eikä työtä tulisi jättää yksin kenenkään harteille. Tietosuojariskien vähentämistä voidaan pohtia muun muassa IT:n, talouden, markkinoinnin, HR:n sekä liiketoimintajohtajien kanssa.
– Jos esimerkiksi huomataan, että HR:n käyttämällä järjestelmällä on liian laajat pääsyoikeudet, on rajattava tarkemmin, ketkä pääsevät käsittelemään ja katselemaan tietoja. Jos järjestelmässä taas on tietosuojan kannalta vakavia haavoittuvuuksia, ei sitä voi ottaa lainkaan käyttöön. Riski poistuu, kun tilalle on etsitty korvaava järjestelmä, Vainio summaa.
Henkilötietojen käsittelyn keskeiset käsitteet
- Rekisterinpitäjä on organisaatio, jonka vastuulla henkilötiedot ovat ja joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Yritys on usein asiakastietojen ja työntekijätietojen rekisterinpitäjä. Organisaatio ei voi itse päättää, onko tämä rekisterinpitäjä, vaan asema tulee suoraan lainsäädännöstä.
- Henkilötietojen käsittelijä on usein ohjelmistopalveluiden tarjoaja tai tietojärjestelmätoimittaja, ulkopuolinen palkanlaskija tai joku muu, joka käsittelee henkilötietoja rekisterinpitäjälle.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on solmittava GDPR:n mukainen tietojenkäsittelysopimus eli DPA. DPA:ssa sovitaan tietojen käsittelystä, kun henkilötietoja siirretään rekisterinpitäjältä henkilötietojen käsittelijälle. Sopimukseen kuuluu muun muassa toteutettavat tietoturvatoimet sekä rekisteröityjen oikeuksia koskevat pyynnöt. Sopimuksen solmiminen on lähtökohtaisesti rekisterinpitäjän vastuulla, ja puuttuvasta sopimuksesta voi seurata huomautus tai jopa sakkorangaistus.
Etätyöskentelyn riskit koskettavat niin tietosuojakysymyksiä kuin työoikeuttakin
Vainio suosittelee, että yritykset laatisivat kirjalliset ohjeet etätyöskentelyyn sekä etätyösopimuksen. Työntekijälle pitäisi tehdä selväksi, missä saa työskennellä, saako julkisia verkkoja käyttää ja miten tietokonetta käytetään ja kuljetetaan. Tietokonetta ei esimerkiksi ole suotavaa jättää auton penkille näkyville.
Etätöiden yleistyessä on alettu puhua villeistäkin teknisistä ratkaisuista, joilla etätyötä on mahdollista valvoa. Näemmekö kohta Suomessakin ohjelmia, joilla hiiren liikkeitä tai Teams-aktiivisuutta seurataan? Voiko työntekijän työskentelystä ottaa kuvakaappauksia?
Vainion nyrkkisääntönä on, että jos tekninen valvonta ei ole sallittua toimistolla, ei se ole sitä myöskään kotona. Valvonnan on oltava aina suostumuksellista ja juridisesti perusteltavissa. Ohjelmallisia rajoituksia voidaan kuitenkin asettaa tiettyjen sivustojen selaamiselle, esimerkiksi uhkapelisivuille.
– Toiminnan on oltava avointa ja läpinäkyvää. Rajoitusten on puututtava mahdollisimman vähän työntekijöiden yksityisyyteen ja kotirauhaan. Rajoitusten sijaan on suositeltavaa, että työnantaja asettaa työntekijälle määrällisiä tai laadullisia tavoitteita, Vainio toteaa.
Miten kohdata henkilötietojen tietoturvaloukkaus?
Usein mielikuvana tietoturvaloukkauksesta on ulkopuolinen kyberhyökkäys, jossa tuntematon taho iskee rekisterinpitäjän järjestelmään vaatien maksuksi kryptovaluuttoja, jottei tietoja julkaistaisi Tor-verkossa.
– Tietoturvaloukkaus on myös hieman arkisempi sähköposti, jonka vastaanottajaksi lipsahtaakin toinen osoite kuin oli tarkoitettu. Myös palkkatietojen lähettäminen väärälle henkilölle on tietoturvaloukkaus. Toinen klassinen esimerkki on henkilötietoja sisältävän muistikortin hukkaaminen bussipysäkille, Vainio luettelee.
Miten tietoturvaloukkauksesta ilmoitetaan eteenpäin?
– Korkeariskiset tilanteet on ilmoitettava henkilölle itselleen. Mikäli kyseessä ei ole korkea riski, mutta loukkaus on tapahtunut, on ilmoitettava viranomaiselle. Rekisterinpitäjän on tehtävä ilmoitus 72 tunnin kuluttua tietoturvaloukkauksen havaittuaan. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle hetimiten, Vainio kertoo.
Vinkki! Jos ilmoitat loukkausilmoituksen viranomaisten verkkosivujen kautta, kannattaa sen jälkeen pyytää tietosuojavaltuutetun toimisto Kirjaamolta kopio lähetetystä ilmoituksesta. Viranomaisten verkkosivuilta sitä ei suoraan saa.
