-->

GDPR — Miten väl­tät suu­rim­mat mokat

Tie­to­tur­va­louk­kaus­so­pi­muk­set ja pil­vi­pal­ve­lut aiheut­ta­vat GDPR:n osal­ta pal­jon kysy­myk­siä, vaik­ka ne ovat vain pie­ni osa tie­to­suo­ja-ase­tuk­sen huo­mioi­ta­vis­ta koh­dis­ta. Täs­sä blo­gi­pos­tauk­ses­sa ker­rom­me tar­kem­min näis­tä eni­ten kysy­myk­siä herät­tä­vis­tä aiheista.

“Orga­ni­saa­tiol­la on vel­vol­li­suus ilmoit­taa val­von­ta­vi­ran­omai­sel­le vii­meis­tään 72 tun­nin kulues­sa sii­tä, kun tie­to­tur­va­louk­kaus tulee ilmi tai on perus­tel­tu syy epäil­lä mah­dol­lis­ta tie­to­tur­va­louk­kaus­ta. Mikä­li tie­to­vuo­dos­ta toden­nä­köi­ses­ti aiheu­tuu kor­kea rekis­te­röi­ty­jen oikeuk­siin ja vapauk­siin koh­dis­tu­va ris­ki, tulee myös hei­tä infor­moi­da ja ohjeis­taa vahin­ko­jen minimoimiseksi.

Tie­to­tur­va­louk­kauk­sen salaa­mi­nen tai sen huo­maa­mat­to­muus joh­taa sii­hen, että ase­tuk­sen mukaan viran­omai­sel­la on val­tuu­det lan­get­taa hal­lin­nol­li­sia seu­raa­muk­sia ase­tuk­ses­sa lue­tel­luis­ta teois­ta. Käy­tän­nös­sä tämä tapah­tuu mää­rää­mäl­lä sak­ko­ja tiet­tyyn enim­mäis­mää­rään asti kuhun­kin tapauk­seen liit­ty­vät olo­suh­teet asian­mu­kai­ses­ti huo­mioon ottaen tai mää­rää­mäl­lä hen­ki­lö­tie­to­jen käsit­te­lyyn liit­ty­viä kor­jaa­via toimenpiteitä.

Viran­omai­nen voi myös kes­keyt­tää hen­ki­lö­tie­to­jen käsit­te­le­mi­sen. Jos hen­ki­lö­tie­dot on suo­jat­tu riit­tä­väl­lä tasol­la, mut­ta syys­tä tai toi­ses­ta tapah­tuu tie­to­mur­to, sank­tiot ovat mah­dol­li­sia. Tämä voi tapah­tua sil­loin, jos tie­to­tur­vaa ei ole yllä­pi­det­ty tai sen yllä­pi­to on teh­ty huo­li­mat­to­mas­ti tai piit­taa­mat­to­mas­ti. Tämän lisäk­si vahin­koa kär­si­nyt osa­puo­li voi vie­lä vaa­tia kor­vaus­ta rekis­te­rin­pi­tä­jäl­tä tai käsit­te­li­jäl­tä. Kan­nat­taa­kin luo­da jo pro­ses­si mah­dol­li­seen het­keen, jol­loin tie­to­tur­va­louk­kaus havaitaan.

Ulkoi­set pal­ve­lun­tar­joa­jat ja vas­tuun jako

Lähes jokai­nen orga­ni­saa­tio käyt­tää ulkois­tet­tu­ja pal­ve­lui­ta. Vas­tuu suh­tees­sa ulkoi­siin pal­ve­lun­tar­joa­jiin ja kysy­mys sii­tä, voi­ko vas­tuun täy­sin ulkois­taa pal­ve­lun­tar­joa­jal­le on useal­le vie­lä epä­sel­vää. Yksi­se­lit­teis­tä on kui­ten­kin, että rekis­te­rin­pi­tä­jä on vas­tuus­sa hen­ki­lö­tie­to­jen käsittelystä.

Vas­tuu­ta ei voi ulkois­taa vaan vas­tuu on aina orga­ni­saa­tiol­la itsel­lään. Mah­dol­lis­ten vahin­gon­kor­vaus­ten tul­les­sa kysy­myk­seen sovi­taan niis­tä erik­seen. Näin ollen on ensiar­voi­sen tär­ke­ää sopia riit­tä­väl­lä tasol­la hen­ki­lö­tie­toi­hin liit­ty­vis­tä vas­tuis­ta ja vel­vol­li­suuk­sis­ta sopi­muk­sen muo­dos­sa kaik­kien pal­ve­lun­tar­joa­jien kanssa.

Ase­tus aset­taa sopi­muk­sel­le tie­tyt sisäl­löl­li­set vaa­ti­muk­set. Jos yri­tys on ulkois­ta­nut tie­to­jen­kä­sit­te­ly­ään kol­man­nel­le osa­puo­lel­le, kan­nat­taa näi­den sopi­mus­ten sisäl­tö käy­dä läpi ja tar­kis­taa vas­taa­ko se myös jat­kos­sa ase­tuk­sen vaa­ti­muk­sia. Täl­lai­nen ulkoi­nen hen­ki­lö­tie­to­jen käsit­te­li­jä voi olla esi­mer­kik­si yri­tyk­sen palk­ka­hal­lin­to, pil­vi­pal­ve­lui­den tar­joa­ja tai vaik­ka asia­kas­myyn­tiä teke­vä ulkoi­nen yritys.

Ase­tuk­sen mukaan ulkois­taes­sa hen­ki­lö­tie­to­jen käsit­te­lyä rekis­te­rin­pi­tä­jän eli sen, jon­ka toi­mek­sian­nos­ta ja jon­ka lukuun rekis­te­ri luo­daan ja käsit­te­li­jän eli sen, joka muun muas­sa tal­len­taa, koko­aa, käyt­tää ja/​tai säi­lyt­tää tie­to­ja, on jat­kos­sa sovit­ta­va kir­jal­li­ses­ti aina­kin seu­raa­vis­ta seikoista:

  • käsit­te­lyn koh­de ja kesto
  • käsit­te­lyn luon­ne ja tarkoitus
  • hen­ki­lö­tie­to­jen tyyp­pi ja rekis­te­röi­ty­jen ryhmät
  • rekis­te­rin­pi­tä­jän vel­vol­li­suu­det ja oikeudet
  • Sopi­muk­siin kan­nat­taa lait­taa jo nyt mukaan viit­tauk­set sii­tä, että tou­ko­kuu­hun 2018 men­nes­sä orga­ni­saa­tio tulee nou­dat­ta­maan GDPR:n vaa­ti­muk­sia hen­ki­lö­tie­to­jen käsittelyssä.

”Tyy­pil­li­ses­ti jul­ki­sis­sa pil­vi­pal­ve­luis­sa pal­ve­lun­tar­joa­ja pitää itsel­lä oikeu­den muut­taa sään­tö­jään miten halu­aa, myös sen osal­ta siir­tää­kö se dataa EU:n/ETA-alueen ulko­puo­lel­le. No miten sit­ten täl­lai­seen pitäi­si reagoida?”

Uuden tie­to­suo­ja-ase­tuk­sen mukaan rekis­te­rin­pi­tä­jien sekä hen­ki­lö­tie­to­jen käsit­te­li­jöi­den tulee tie­tää, mis­sä pai­kas­sa hen­ki­lö­tie­to­ja käsi­tel­lään ja säi­ly­te­tään. Mah­dol­li­suut­ta siir­tää hen­ki­lö­tie­to­ja Euroo­pan talous­a­lu­een (ETA) ulko­puo­lel­le rajoi­te­taan uudes­sa ase­tuk­ses­sa anka­ras­ti. Pil­vi­pal­ve­lut saat­ta­vat mah­dol­li­ses­ti käyt­tää EU:n/ETA:n ulko­puo­lel­la sijait­se­via pal­ve­li­mia. Myös pil­vi­pal­ve­lun tie­to­jen­kä­sit­te­ly­lait­teis­to voi olla EU:n ulko­puo­li­sen pal­ve­lun­tar­joa­jan hal­lin­nas­sa. Täl­löin hen­ki­lö­tie­to­jen siir­ron tulee tapah­tua tie­to­suo­ja-ase­tuk­sen tie­don­siir­to­sään­tö­jen mukaisesti.”

Kos­ka tie­to­suo­ja-ase­tus luo yri­tyk­sil­le usei­ta vel­voit­tei­ta ja hal­lin­nol­li­nen työ lisään­tyy, ase­tuk­sen nou­dat­ta­mi­sen suun­nit­te­lu ja toteu­tus tuli­si aloit­taa mah­dol­li­sim­man pian. Ase­tuk­sen siir­ty­mä­ajak­si annet­tiin alun­pe­rin vuo­si, kui­ten­kin jäl­jel­lä ole­va siir­ty­mä­ai­kaa­se­tuk­sen sovel­ta­mi­seen on lyhyt. Nyt on siis vii­meis­tään aika toi­mia. Tie­to­tur­van ja tie­to­suo­jan nyky­ti­la-ana­lyy­si on hyvä läh­tö­koh­ta, johon kan­nat­taa käyt­tää ulko­puo­li­sen asian­tun­ti­jan apua. Autam­me mie­lel­läm­me GDPR:ään valmistautumisessa!

Yhteys­tie­dot:
Piia Hoffs­ten
Chief Ope­ra­ting Officer
piia.hoffsten (a) isletgroup​.fi
+358 40 5877 303

#GDPR #pil­vi­pal­ve­lut #tie­to­tur­val­li­suus #tie­to­suo­ja #IsletGroup

Like what you read? Sha­re this!