Tietoturvaloukkaussopimukset ja pilvipalvelut aiheuttavat GDPR:n osalta paljon kysymyksiä, vaikka ne ovat vain pieni osa tietosuoja-asetuksen huomioitavista kohdista. Tässä blogipostauksessa kerromme tarkemmin näistä eniten kysymyksiä herättävistä aiheista.
“Organisaatiolla on velvollisuus ilmoittaa valvontaviranomaiselle viimeistään 72 tunnin kuluessa siitä, kun tietoturvaloukkaus tulee ilmi tai on perusteltu syy epäillä mahdollista tietoturvaloukkausta. Mikäli tietovuodosta todennäköisesti aiheutuu korkea rekisteröityjen oikeuksiin ja vapauksiin kohdistuva riski, tulee myös heitä informoida ja ohjeistaa vahinkojen minimoimiseksi.
Tietoturvaloukkauksen salaaminen tai sen huomaamattomuus johtaa siihen, että asetuksen mukaan viranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista. Käytännössä tämä tapahtuu määräämällä sakkoja tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet asianmukaisesti huomioon ottaen tai määräämällä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä.
Viranomainen voi myös keskeyttää henkilötietojen käsittelemisen. Jos henkilötiedot on suojattu riittävällä tasolla, mutta syystä tai toisesta tapahtuu tietomurto, sanktiot ovat mahdollisia. Tämä voi tapahtua silloin, jos tietoturvaa ei ole ylläpidetty tai sen ylläpito on tehty huolimattomasti tai piittaamattomasti. Tämän lisäksi vahinkoa kärsinyt osapuoli voi vielä vaatia korvausta rekisterinpitäjältä tai käsittelijältä. Kannattaakin luoda jo prosessi mahdolliseen hetkeen, jolloin tietoturvaloukkaus havaitaan.
Ulkoiset palveluntarjoajat ja vastuun jako
Lähes jokainen organisaatio käyttää ulkoistettuja palveluita. Vastuu suhteessa ulkoisiin palveluntarjoajiin ja kysymys siitä, voiko vastuun täysin ulkoistaa palveluntarjoajalle on usealle vielä epäselvää. Yksiselitteistä on kuitenkin, että rekisterinpitäjä on vastuussa henkilötietojen käsittelystä.
Vastuuta ei voi ulkoistaa vaan vastuu on aina organisaatiolla itsellään. Mahdollisten vahingonkorvausten tullessa kysymykseen sovitaan niistä erikseen. Näin ollen on ensiarvoisen tärkeää sopia riittävällä tasolla henkilötietoihin liittyvistä vastuista ja velvollisuuksista sopimuksen muodossa kaikkien palveluntarjoajien kanssa.
Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, kannattaa näiden sopimusten sisältö käydä läpi ja tarkistaa vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.
Asetuksen mukaan ulkoistaessa henkilötietojen käsittelyä rekisterinpitäjän eli sen, jonka toimeksiannosta ja jonka lukuun rekisteri luodaan ja käsittelijän eli sen, joka muun muassa tallentaa, kokoaa, käyttää ja/tai säilyttää tietoja, on jatkossa sovittava kirjallisesti ainakin seuraavista seikoista:
- käsittelyn kohde ja kesto
- käsittelyn luonne ja tarkoitus
- henkilötietojen tyyppi ja rekisteröityjen ryhmät
- rekisterinpitäjän velvollisuudet ja oikeudet
- Sopimuksiin kannattaa laittaa jo nyt mukaan viittaukset siitä, että toukokuuhun 2018 mennessä organisaatio tulee noudattamaan GDPR:n vaatimuksia henkilötietojen käsittelyssä.
”Tyypillisesti julkisissa pilvipalveluissa palveluntarjoaja pitää itsellä oikeuden muuttaa sääntöjään miten haluaa, myös sen osalta siirtääkö se dataa EU:n/ETA-alueen ulkopuolelle. No miten sitten tällaiseen pitäisi reagoida?”
Uuden tietosuoja-asetuksen mukaan rekisterinpitäjien sekä henkilötietojen käsittelijöiden tulee tietää, missä paikassa henkilötietoja käsitellään ja säilytetään. Mahdollisuutta siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle rajoitetaan uudessa asetuksessa ankarasti. Pilvipalvelut saattavat mahdollisesti käyttää EU:n/ETA:n ulkopuolella sijaitsevia palvelimia. Myös pilvipalvelun tietojenkäsittelylaitteisto voi olla EU:n ulkopuolisen palveluntarjoajan hallinnassa. Tällöin henkilötietojen siirron tulee tapahtua tietosuoja-asetuksen tiedonsiirtosääntöjen mukaisesti.”
Koska tietosuoja-asetus luo yrityksille useita velvoitteita ja hallinnollinen työ lisääntyy, asetuksen noudattamisen suunnittelu ja toteutus tulisi aloittaa mahdollisimman pian. Asetuksen siirtymäajaksi annettiin alunperin vuosi, kuitenkin jäljellä oleva siirtymäaikaasetuksen soveltamiseen on lyhyt. Nyt on siis viimeistään aika toimia. Tietoturvan ja tietosuojan nykytila-analyysi on hyvä lähtökohta, johon kannattaa käyttää ulkopuolisen asiantuntijan apua. Autamme mielellämme GDPR:ään valmistautumisessa!
Yhteystiedot:
Piia Hoffsten
Chief Operating Officer
piia.hoffsten (a) isletgroup.fi
+358 40 5877 303
#GDPR #pilvipalvelut #tietoturvallisuus #tietosuoja #IsletGroup