EU:n tietosuoja-asetusehdotus – henkilötietojen käsittely ja tietoturva kuntoon!

EU:ssa valmisteltava uusi tietosuoja-asetus patistaa yrityksiä tarkastamaan tietosuojakäytäntöjensä lainmukaisuuden. Velvoitteiden laiminlyönnistä voi ehdotuksen mukaan seurata rekisterinpitäjälle merkittäviä taloudellisia seuraamuksia. Tietoverkkorikollisuuden kasvaessa yritysten tulee myös varmistaa tietoturvansa riittävyys ja varautua ongelmatilanteisiin.

Laiminlyönnistä taloudellisia seuraamuksia

Ehdotettu tietosuoja-asetus on osa EU:n tietosuojasääntelyn uudistusta. Asetus korvaisi pitkälti nykyisin voimassaolevan henkilötietolakimme. Ehdotus koskee henkilötietojen, esimerkiksi työntekijöiden tai asiakkaiden tietojen käsittelyä riippumatta siitä, onko rekisterinpitäjänä yksityisen vai julkisen sektorin toimija. Ehdotus sisältää täsmennyksiä voimassaolevaan sääntelyyn, mutta myös yritysten ja muiden toimijoiden kannalta merkittäviä uusia velvoitteita ja sanktioita. Valmistelu on arvioitu saatavan päätökseen aikaisintaan vuonna 2014, mitä seuraa todennäköisesti kahden vuoden siirtymäaika. Yritysten johdon on aloitettava valmistautuminen uuteen sääntelyyn jo nyt ja varmistettava yhtiön toimintavalmius poikkeustilanteissa.

Rekisterinpitäjän on ehdotuksen mukaan nimettävä myös tietosuojavastaava tietyillä edellytyksillä. Tietosuojavastaavan tehtävänä on valvoa muun muassa henkilötietojen käsittelyä koskevien säännösten noudattamista yrityksessä.


Yritysten johdon on aloitettava valmistautuminen uuteen sääntelyyn jo nyt ja varmistettava yhtiön toimintavalmius poikkeustilanteissa.

  
Asetusehdotuksen mukaan valvontaviranomainen, Suomessa tietosuojavaltuutettu, voi määrätä tavanomaisten tietosuojavelvoitteiden laiminlyönnistä hallinnollisia taloudellisia sanktioita. Nämä seuraamukset voivat olla enimmillään miljoona euroa tai 2 % yrityksen vuosittaisesta globaalista liikevaihdosta. Joissakin muissa EU-maissa samankaltainen sanktiojärjestelmä on jo käytössä.

Ilmoitusvelvollisuus tietoturvaloukkaustilanteissa

Asetusehdotuksen mukaan rekisterinpitäjien ilmoitusvelvollisuus tietoturvaloukkauksista laajenisi. Rekisterinpitäjän tulisi ilmoittaa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle määräajassa sen ilmitulosta. Tietyissä tilanteissa on ilmoitettava asiasta myös rekisteröidyille, joita asiaa koskee.

Yrityksessä tai muulla rekisterinpitäjällä tuleekin olla selkeät roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta. Yrityksen ylimmän johdon sekä tietosuojasta ja tietoturvasta vastaavien henkilöiden tulee varmistaa yrityksen kyvykkyys ja valmistautua uuteen sääntelyyn tarkistamalla, että henkilötietojen käsittely on voimassa olevan lain tasolla ja että tietoturvaa koskevat käytännöt ja ohjeistukset ovat kunnossa. Nämä on myös pidettävä ajan tasalla liiketoiminnan muutostilanteiden yhteydessä. Ehdotuksen mukaan rekisterinpitäjien tulee aiempaa korostuneemmin pystyä osoittamaan noudattavansa lakia henkilötietojen käsittelyssä. Tietosuojavaltuutettu suosittelee, että rekisterinpitäjät ja käsittelijät laatisivat säännöllisesti ns. tietotilinpäätöksen (”Laadi tietotilinpäätös 24.4.2012”). Siinä kuvattaisiin tietojen käsittelyn nykytila sekä arvioitaisiin tietosuojan ja tietoturvan toteutuminen. Tietotilinpäätös toimisi johdon ja riskienhallinnan työvälineenä, sisäisen ja ulkoisen valvonnan apuvälineenä ja olisi omiaan osaltaan rakentamaan luottamusta sidosryhmien keskuudessa.

Tietoverkkorikollisuus haastaa tietoturvan

Tietoverkkorikollisuus on jatkuvassa kasvussa. Joulun ja vuodenvaihteen 2012–2013 aikana tapahtui merkittäviä tietoturvahyökkäyksiä ja useat teollisuuden alat ovat kärsineet hyökkäysten johdosta. Tyypillinen hyökkäyksen muoto on DoS eli palvelinestohyökkäys, jolla pyritään tekemään palvelimesta toimintakyvytön. Palvelinestohyökkäyksen idea on peräisin 1980-luvun lopulta, mutta hyökkäyksen luonne on muuttunut yksittäisen käyttäjän häiritsemisestä suurten yritysten ja organisaatioiden verkkopalvelinten kaatamiseksi. Internetissä on hyökkäysten toteuttamiseen erilaisia ohjeita ja sovelluksia esimerkiksi YouTube-palvelussa ja hakkereiden ylläpitämissä blogisivustoissa.

Myös hallinnolliset elimet, kuten Valkoinen talo ja suuret ohjelmistoyritykset, kuten Microsoft, ovat saaneet osansa erilaisista hyökkäyksistä. Suomessakin on kansallisella tasolla reagoitu tietoturvauhkiin. Puolustusministeriön asettaman työryhmän on määrä valmistella kansallista kyberturvallisuusstrategiaa.

Yritykset ja organisaatiot ovat entistä riippuvaisempia tietoverkoista ja kehittyvistä viestintävälineistä, minkä vuoksi tietoturvasta on huolehdittava hyvin, myös tietoturvavelvoitteiden ja henkilötietojen kannalta. Tietoturvan puutteet kostautuvat yrityksen liiketoiminnassa helposti; tietoturvan laiminlyönti tai tietoturvahyökkäys voi haitata merkittävästi yhtiön liiketoimintaa ja imagoa.

Oletko valmistautunut?

Rekisterinpitäjien tulee valmistautua sääntelyn muutoksiin ja varmistua henkilötietojen käsittelyn lainmukaisuudesta. Perusohjeena voi pitää edelleen sitä, että henkilötietoja kerätään ja käsitellään vain siten ja sellaisiin tarkoituksiin, jotka on henkilötietoja kerättäessä määritelty ja lainmukaisesti informoitu rekisteröidylle. Tietojen käsittelyn tietoturva tulee varmistaa kaikissa vaiheissa tehokkaasti.