Tietosuojariskit ja niihin liittyvä sääntely

Henkilötietoja voidaan esimerkiksi

• katsella joko tahattomasti tai tahallaan asiattomasti
• käsitellä järjestelmissä, jotka eivät täytä ajantasaisia vaatimuksia
• käsitellä niin, ettei käsittelyä ole suunniteltu, dokumentoitu ja toteutettu asianmukaisesti.

Tietoja voidaan esimerkiksi säilyttää tarpeettoman pitkään sellaisissa paikoissa, joissa ei ole kunnollista käsittelyn valvontaa, kuten verkkolevyillä joissa ei ole lokitusta.

Tyypillinen esimerkki on myös se, että organisaatio säilyttää sellaisia henkilötietoja, joille ei ole enää asianmukaista käyttötarkoitusta sellaisissa paikoissa, joissa ei ole systemaattista valvontaa. Henkilötietoja saattaa esimerkiksi unohtua verkkolevyille, sähköposteihin tai henkilöstön omalle tietokoneelle.

Tietoturvapoikkeaman sattuessa hyökkääjä voi tällöin päästä laajempaan määrään tietoa käsiksi, kuin mitä henkilötietojen asianmukainen säilyttäminen olisi mahdollistanut.

Tietosuojaan liittyvät riskit voidaan esimerkiksi kiireen tai resurssipulan vuoksi jättää selvittämättä. Samoin on voitu jättää tekemättä henkilötietojen vaikutustenarviointi ja selvittämättä käsittelijöiden toimitusketjut.

Tällöin rekisterinpitäjän näkökulmasta toteutuu riski siitä, että se ei tiedä, millaisia riskejä tietosuojaan ja henkilötietoihin kohdistuu. Rekisteröidyn kannalta toteutuu riski, että henkilötietojen käsittely ei ole tietosuojan periaatteiden mukaista.

Kun riskejä ei ole tunnistettu

• tietoturvapoikkeamat voivat jäädä havaitsematta
• vaikutukset organisaatiolle ja rekisteröidyille voivat tulla yllätyksenä
• vaikutukset voivat olla vakavampia kuin hyviä tietosuojakäytäntöjä noudattamalla olisi ollut mahdollista.

Hyvälläkään digiturvan, tietosuojan ja tietoturvan riskienhallinnalla ei kuitenkaan voi poistaa kaikkia tietosuojaan ja henkilötietojen käsittelyyn kohdistuvia riskejä.

Osan riskeistä voi poistaa, toisten riskien osalta voi pienentää joko riskin toteutumisen vaikutuksia tai todennäköisyyttä tai sekä että. Tietyt jäännösriskit kuitenkin jäävät. Tästä syystä tunnistettujen riskien laukeamisen varalta on syytä suunnitella varautumiseen ja jatkuvuudenhallintaan liittyvät prosessit: miten toimitaan, kun riski laukeaa.

Lakeja, joissa määritellään mitä henkilötietoja kunnan tulee käsitellä, miksi ja kuinka kauan ovat esimerkiksi

• kuntalaki
• varhaiskasvatuslaki
• perusopetuslaki
• alueiden käyttölaki ja
• arkistolaki.

Lainsäädäntöä, joissa määritellään mitä henkilötietoja valtionhallinnossa tulee käsitellä, miksi ja kuinka kauan on esimerkiksi lainsäädäntö, joka liittyy

• verotukseen
• oikeuslaitoksiin
• poliisin toimintaan
• armeijan toimintaan ja
• eri ministeriöiden toimialoihin.

Lakeja, joissa määritellään korkeakoulujen toiminta ja niiden henkilötietojen käsittelyn tarkoitukset ovat esimerkiksi

• lait ja asetukset ammattikorkeakouluista ja
• yliopistolaki.

Lainsäädäntöä, joissa määritellään mitä henkilötietoja hyvinvointialueilla tulee käsitellä, miksi ja kuinka kauan ovat esimerkiksi

• laki hyvinvointialueesta ja
• laki sosiaali- ja terveydenhuollon järjestämisestä.

Tällainen tilanne on usein kyseessä, kun

• organisaatio hyödyntää pilvipalveluita
• organisaation palvelutuotannon toimitusketju tai sen osia on Euroopan unionin tai Euroopan talousalueen ulkopuolella tai
• organisaation sidosryhmiä toimii kolmansissa maissa.

Jos rekisterinpitäjäorganisaation vastuulla olevia henkilötietoja käsitellään EU- tai ETA-alueen ulkopuolisissa eli kolmansissa maissa, rekisterinpitäjän tulee varmistaa, että kohdemaan/kohdemaiden lainsäädäntö on EU:n yleisen tietosuoja-asetuksen edellyttämällä tasolla.

Tietojen siirtoon liittyvän arvioinnin (Transfer Impact Assessment, TIA) tekeminen on keino tämän tavoitteen varmistamiseksi. Rekisterinpitäjäorganisaation tulee arvioida kohdemaan lainsäädännön tilaa eli tehdä tietojen siirtoon liittyvä arviointi aina, kun se tunnistaa, että sen käsittelemiä henkilötietoja siirtyy tai voidaan siirtää

• kolmansiin maihin eli maihin, jotka eivät ole osa Euroopan unionia tai Euroopan talousaluetta tai
• tahoille, joille Euroopan komissio ei ole tehnyt vastaavuuspäätöstä (eli joille se ei ole antanut päätöstä henkilötietojen suojan riittävyydestä).

Vastaavuuspäätös voi koskea tiettyä Euroopan unionin ja Euroopan talousalueen maata tai maan aluetta, tiettyä sektoria tai kansainvälistä järjestöä.

• Lue lisää vastaavuuspäätöksestä ja sen saaneista toimijoista Tietosuojavaltuutetun verkkosivuiltaAvautuu uuteen ikkunaan..
• Lue lisää tiedon siirtoon liittyvästä arvioinnista ja sen tekemiseen käytettävistä työkaluista The International Association of Privacy Professionals (IAPP) -järjestön verkkosivuilta (englanniksi)Avautuu uuteen ikkunaan..