Hanki yleiskuva tietosuojan perusteista

Kuten riskienhallinnasta ja tietoturvasta huolehtiminen, myös tietosuojasta huolehtiminen on koko organisaation vastuulla.

Määrittely tehdään tietojenkäsittelyn

• luonteen
• laajuuden
• asiayhteyden ja
• tarkoituksen mukaan.

Tietosuojariskejä tulee arvioida mahdollisimman objektiivisesti. Arvion perusteella todetaan, liittyykö tietojenkäsittelytoimiin matala, keskimääräinen vai korkea riski.

Tietosuojaan liittyvä riskienhallinta poikkeaa perinteisestä riskienhallinnasta, koska riskejä tarkastellaan rekisteröidyn eli yksilön näkökulmasta. Tämän näkökulmaeron takia myös vaikutusten ja todennäköisyyksien tunnistaminen, hallintakeinojen valinta ja jäännösriskien hyväksyntä poikkeaa perinteisemmästä riskienhallinnasta.

Tietosuojaan liittyvien riskien välttämiseksi ja minimoimiseksi rekisteröityjen suojelun tuleekin lainsäädännön mukaan olla teknologianeutraalia sekä ulottua niin automaattiseen kuin manuaaliseenkin käsittelyyn. Tällä tarkoitetaan sitä, että tietosuojaan liittyvä riskienhallinta koskee siis niin digitaalisessa muodossa kuin paperillakin olevia tietoja.

Tutustu VAHTI-verkoston Tietosuoja pilvipalveluissa -tukimateriaaliin (PDF)Avautuu uuteen ikkunaan..

Lue tietosuojavaltuutetun toiminnasta ja tietosuojasta tietosuojavaltuutetun toimiston sivuilta (tietosuoja.fi)Avautuu uuteen ikkunaan..

Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa (Tietosuojavaltuutetun toimisto).

Tietosuojavastaava ei tee itse tietosuojaselosteita tai -sopimuksia, eikä vastaa tietosuojasta, vaan on tietosuoja-asioita katselmoiva ja kommentoiva riippumaton asiantuntija.

Lue lisää tietosuojavastaavan tehtävistä Tietosuojavaltuutetun verkkosivuilta.Avautuu uuteen ikkunaan.

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröityyn) liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisten tunnistetietojen perusteella. Henkilötietoja ovat esimerkiksi

• nimi
• henkilötunnus
• sijaintitieto
• verkkotunnistetieto.

Tietosuojaan liittyvät vaatimukset, periaatteet ja sääntely koskee henkilötietoja, vaikka henkilötiedot eivät muodostaisi henkilörekisteriä.

Henkilö voi olla tunnistettavissa myös yhden tai useamman tunnistetiedon perusteella. Tällaisia tunnistetietoja ovat esimerkiksi henkilölle tunnusomaiset

• fyysiset
• fysiologiset
• geneettiset
• psyykkiset
• taloudelliset
• kulttuuriset tai
• sosiaaliset tekijät.

Loki tarkoittaa aikajärjestyksessä kirjattua tallennetta tapahtumista ja niiden aiheuttajista. Tapahtumat ja muutokset tietojärjestelmissä, sovelluksissa, tietoverkoissa ja tietosisällöissä kirjataan lokiin eli lokitetaan. Lokitietoja keräävät internetiin kytketyt laitteet ja operaattorit.

− Kyberturvallisuuskeskus

Lokin avulla organisaatio voi seurata tietojenkäsittelyään ja varmentaa mitä, miksi ja milloin jotakin tapahtui.

Tutustu Näin keräät ja käytät lokitietoja -ohjeeseen Kyberturvallisuuskeskuksen verkkosivuillaAvautuu uuteen ikkunaan.. Ohjeistus on tarkoitettu organisaatioille, joilla on omaa tietoturvaosaamista.

Mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla

• keskitetty
• hajautettu tai
• jaettu toiminnallisin tai maantieteellisin perustein.

Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötiedon käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lisäksi.

Tyypillinen henkilötietojen käsittelijä on esimerkiksi palveluntuottaja tai tietojärjestelmätoimittaja, joka tuottaa palveluita rekisterinpitäjälle. Henkilötietojen käsittelijällä ei siten tarkoiteta esimerkiksi rekisterinpitäjän edustajaa, joka käsittelee henkilötietoja osana työtehtäviään. 

Henkilötiedoilla voi olla myös alikäsittelijöitä, jotka käsittelevät tietoja rekisterinpitäjän käsittelijän lukuun. Tyypillinen esimerkki on ulkoistetulle palveluntuottajalle palveluita tuottava taho. Esimerkiksi kun organisaatio on ulkoistanut henkilöstö- ja taloushallinnon palvelut toiselle organisaatiolle, joka ostaa taloushallinnon järjestelmät kolmannelta organisaatiolta.

Tietosuojan vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn liittyviä riskejä. Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa.

Lue tietosuojaa koskevasta vaikutustenarvioinnista Tietosuojavaltuutetun toimiston verkkosivuiltaAvautuu uuteen ikkunaan..

• Tietosuojasanasto (Euroopan unioni)Avautuu uuteen ikkunaan.