Tietosuojan lainsäädäntö mullistui vuonna 2018, kun Euroopan unionin yleisen tietosuoja-asetuksen kansallinen soveltaminen alkoi. Päivitetty lainsäädäntö tuo mukanaan yrityksille suunnattuja velvoitteita, joiden tehtävänä on turvata rekisteröidyn oikeudet ja vapaudet sekä osaltaan kehittää kansallista kyberturvallisuutta.
Tietosuoja ja tietoturva ovat kyberturvallisuuden osa-alueita, jotka molemmat liittyvät sähköisen datan suojaamiseen. Ne ovat saman kolikon eri puolia, joiden suojaamisen kohde ja tarkoitus eroavat toisistaan. Tietosuoja on henkilötietojen suojaamista ja rekisteröidyn perusoikeudellisen yksityisyyden suojan turvaamista, kun tietoturva suojaa yrityksen sisältämiä tietoja ja tavoittelee yrityksen toiminnan turvaamista.
Tietosuoja on henkilötietojen oikeanmukaista käsittelyä
Henkilötietojen käsittelyä Suomessa ohjaa tietosuojalaki 2018/1050. Tietosuojalaki tuli voimaan joulukuussa 2018 kumoten vuonna 1999 voimaan tulleen henkilölain. Sen sisältöä ohjaa Euroopan unionin yleinen tietosuoja-asetus EU 2016/679, jonka sanomaa tietosuojalaki selittää ja tarkentaa.
Henkilötiedoiksi luetaan kaikki tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot kuten nimi, henkilötunnus, potilas- ja terveystiedot, kotiosoite, puhelinnumero, sähköpostiosoite, auton rekisterinumero, sijaintitieto ja verkkotunnistetiedot sekä fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurillinen ja sosiaalinen tekijä, jonka kautta luonnollisen henkilön voi tunnistaa.
Tietosuojalainsäädäntö määrittelee rekisterinpitäjälle useita velvollisuuksia, joiden pohjalta tietosuoja tulee rakentaa ja suunnitella. Rekisterinpitäjällä tarkoitetaan henkilöä, yhteisöä, yritystä tai viranomaista, joka ohjaa henkilötietojen käsittelyn tarkoitusta ja toimenpiteitä sekä kerää ja käsittelee henkilötietoja. Näitä velvollisuuksia ovat käsittelyperuste, joka velvoittaa henkilötietojen käsittelyn olevan perusteltua; suunnitteluvelvoite, joka velvoittaa henkilötietojen käsittelyn olevan suunniteltua; ilmoitusvelvollisuus, joka velvoittaa tietoturvaloukkauksista ilmoittamisen valvoville viranomaisille sekä osoitusvelvollisuus, joka velvoittaa todentamaan tietosuojan ja tietoturvan eteen tehtävän työn.
Rekisteröidylle eli luonnolliselle henkilölle tietosuojalainsäädäntö määrittelee erilaisia oikeuksia, jotka juontavat juurensa Euroopan unionin perusoikeuskirjan ihmisoikeudellisesta viitekehyksestä sekä Suomen perustuslain perusoikeuksien määrityksestä. Rekisteröidyllä on oikeus saada tutustua omiin tietoihinsa, oikeus omien tietojen poistamiseen, oikeus omien tietojen oikaisemiseen, oikeus omien tietojen siirtämiseen, oikeus omien tietojen käsittelyn rajoittamiseen sekä oikeus vastustaa omien tietojen käsittelyä.
Tietoturva suojaa tietojärjestelmiä ja niiden sisältämää tietoa
Tietoturva on yksi tietosuojan toteuttamisen keino, joka pyrkii turvaamaan järjestelmien sisältämää tietoa ulkopuolisilta tahoilta. Tietoturva pitää sisällään tekniset toimenpiteet, joiden kautta pyritään varmistamaan tiedon luottamuksellisuus ja eheys, järjestelmien toimivuus ja jatkuvuus sekä rekisteröidyn oikeuksien oikeanmukainen toteutuminen.
Tietoturvassa on kyse datan suojaamisesta sekä tietojärjestelmien toiminnan varmistamisesta ja niiden toimivuudet takaamisesta. Se sisältää käytännön toimenpiteet, jotka pyrkivät toteuttamaan tietosuojalainsäädännön määrittämiä rekisteröidyn oikeuksia. Sen pääasiallinen tehtävä on turvata kriittisten tietojärjestelmien -ja verkkojen katkeamaton toiminta, ehkäistä niiden luvatonta käyttöä ja tietojen tahallista tuhoutumista sekä minimoida näistä aiheutuvia vahinkoja.
Yrityksen osoitusvelvollisuuden todentavat dokumentit
Tietosuojalainsäädäntö velvoittaa yritystä todentamaan ja osoittamaan tietosuojan ja tietoturvan eteen tehtävän työn. Osoitusvelvollisuuden täyttämisen tueksi on luotu erilaisia tietosuojadokumentteja. Yksi tunnetuimmista tietosuojadokumenteista on seloste käsittelytoimista, joka on korvannut EU:n yleisen tietosuoja-asetusta edeltävän henkilötietolain vaatiman rekisteri- tai tietosuojaselosteen. Seloste käsittelytoimista on yrityksen sisäinen asiakirja, joka todentaa henkilötietojen lainmukaisen käsittelyn.
Yrityksen velvollisuutena on myös dokumentoida kaikki henkilötietojen käsittelyyn liittyvät sopimukset ja suostumukset. Sopimuksia tulee tarkastella ja päivittää tasaisin väliajoin, jotta niiden sisältö pysyy ajan tasalla. Yhtä tärkeää on säännöllisin väliajoin sopimusten sisällöstä neuvottelevien siihen liittyvien osapuolien kanssa. Asiantuntijat suosittelevat laatimaan sopimukset niin, että ne koostuvat pääosin erillisistä liitteistä. Liitteiden päivittäminen on helpompaa ja vähemmän kuormittavaa kuin koko pääsopimuksen uusiminen. Liitteissä määritellään pääsopimuksen sisältämät yksityiskohdat, joiden päivittäminen tilanteen muuttuessa on mutkatonta. Tietosuojaa ja tietoturvaa koskevat asiat voidaan upottaa yhteiseen liitteeseen, joka on usein nimetty turvallisuusliitteeksi.