Merja Luntta / 31.05.2022

Tietosuoja vai tietoturva – molemmat kiitos

EU:n yleistä tietosuoja-asetusta (GDPR, General Data Protection Regulation) on sovellettava 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Asiaan liittyen termejä tietosuoja ja tietoturva kuulee ja näkee joskus käytettävän toistensa synonyymeina. Kyse on kuitenkin eri asioista.

Tietosuoja (Data Protection)

Tietosuoja tarkoittaa yksityisyyden suojaa ja viittaa käytännössä vain henkilöön liittyvien tietojen suojaamiseen. Yksityisyyden suoja on perustuslain henkilölle takaama perusoikeus. Henkilötiedolla puolestaan tarkoitetaan kaikkia niitä luonnolliseen henkilöön liittyviä tietoja, joiden perusteella henkilö on suoraan tai epäsuoraan tunnistettavissa. Tietosuoja perustuu lakeihin, tietosuojaperiaatteisiin ja hyviin tapoihin.

Henkilötietoa käsittelevien tahojen velvollisuus on toimia siten, että henkilötietojen tietosuoja ( eli henkilöiden yksityisyyden suoja) toteutuu.

Tietosuoja-asetus vahvistaa rekisteröidyn henkilön oikeusasemaa ja antaa henkilöille uusia oikeuksia. Vastaavasti henkilötietorekistereitä pitävien ja henkilötietoja käsittelevien tahojen vastuu ja velvollisuudet kasvavat ja tiukentuvat.

Tietoturva (Data Security)

Tietoturva on keino luoda tietojen suojaa, myös tietosuojaa. Se kattaa kaikki ne hallinnolliset toimenpiteet sekä fyysiset ja tekniset ratkaisut, joilla suojataan paitsi henkilöä koskevien tietoja niin myös muita organisaatioiden sisäisiä tietoja. Tietojen lisäksi tietoturvatoimenpiteillä suojataan myös järjestelmiä, palveluita ja tietoliikennettä ulkopuolisilta, ulkopuolisten aiheuttamilta uhkilta ja tietoturvaloukkauksilta.

Tietoturva koskee jokaista toimijaa ja tahoa samalla tavalla kuin tietosuojakin, olipa kyse luonnollisista henkilöistä tai organisaatioista. Tietoturvan avulla ylläpidetään muun muassa tiedon:

  • Luottamuksellisuutta (Confidentiality) niin, että tieto on vain tietoon oikeutettujen ulottuvilla ja käytössä. Luottamuksellisuutta parantavat muun muassa tiedon salaukset ja erilaiset pääsynhallintaratkaisut.
  • Eheyttä (Integrity) niin, että tieto säilyy muuttumattomana tiedon luonnin, käsittelyn ja mahdollisten siirtojen aikana. Eheyttä voi kontrolloida erilaisilla tiedosta laskettavilla tarkistussummilla, -koodeilla ja sähköisillä allekirjoituksilla.
  • Saatavuutta (Availability) niin, että tieto on tietoon oikeutettujen saatavilla vaivattomasti ja ilman aiheettomia viiveitä aina, kun tietoa tarvitaan.

Tietoturvaan ja tietoturvallisuuteen liittyvät käsitteitä ovat myös:

  • Tiedon kiistämättömyys (Non-repudiation); tulee voida todentaa, kuka teki, mitä ja milloin eli että tietoon ja tietoturvaan liittyvä tapahtuma tai toimenpide voidaan varmistaa luotettavasti myös jälkikäteen. Todentamisessa auttavat lokitiedot sekä myös sähköiset allekirjoitukset.
  • Tunnistus (Identification); menettelyt, joilla henkilöt, erityisesti tietojärjestelmien käyttäjät, voidaan tunnistaa. Tunnistus tapahtuu joko niin, että henkilö itse tunnistautuu aktiivisesti esimerkiksi käyttäjätunnuksilla tai niin, että henkilöltä ei edellytetä aktiivisia toimenpiteitä.
  • Todennus (Authentication): menettely, jolla varmistetaan tunnistus. Todennus on yleensä kaksisuuntainen. Esimerkiksi asiointipalveluissa vaatimuksena yleensä on molempien osapuolien todentaminen. Molempien tahojen on oltava varmoja toistensa identiteeteistä.

Tietosuojavastaavan nimittäminen

Rekisterinpitäjän on tiettyjen ehtojen täytyttyä nimitettävä tietosuojavastaava. Tietosuojavastaava täytyy nimittää esimerkiksi julkiselle sektorille ja yrityksiin, joiden keskeisenä tehtävänä on rekisteröityjen laaja ja järjestelmällinen seuranta tai laaja arkaluonteisten tietojen käsittely. Tietosuojavastaavan tehtäviin kuuluu muun muassa tietosuojasääntöjen noudattamisen seuranta, tietojen ja neuvojen antaminen johdolle ja henkilötietoja käsitteleville työntekijöille sekä tietosuojavaltuutetun toimiston yhteyshenkilönä toimiminen.

Tietosuojavastaavan on oltava riippumaton, joten hänellä ei voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Tämä edellyttää aina tapauskohtaista harkintaa. Jos yrityksessä tapahtuu henkilötietojen tietoturvaloukkaus joka edellyttää ilmoittamista rekisteröidylle tai tietosuojaviranomaiselle, on ilmoituksen yhteydessä kerrottava tietosuojavastaavan nimi ja yhteystiedot.

Tietosuojaseloste tuo läpinäkyvyyttä henkilötietojen käsittelyyn

Yleisessä tietojsuoja-asetuksessa säädetään tiukasti, että tietojenkäsittely perustuu suostumukseen. Suostumuksen voi antaa esimerkiksi rastittamalla ruutu tai allekirjoittamalla lomake. Tietoja voidaan käsitellä vain niissä tarkoituksissa, joihin suostumus on annettu. Yleisesti käytössä ovat tietosuoja- ja rekisteriseloste, joissa kerrotaan, miten henkilötietoja käsitellään. Vaikka yleinen tietosuojaseloste ei edellytä edellämainittujen selosteiden laatimista, on rekisteröityjää kuitenkin aina informoitava henkilötietojen käsittelystä

Rekisterinpitäjän on annettava rekisteröidylle henkilötietojen käsittelyä koskevat tiedot läpinäkyvästi, ymmärrettävästi, selkeästi ja tiiviisti. Tarkoituksena on, että rekisteröity ymmärtää, miten hänen henkilötietojaan käsitellään. Tarkemmin tietosuojaselosteesta voi lukea tietosuojavaltuutetun toimiston nettisivuilta.

Artikkeli on julkaistu alunperin 31.5.2022 ja se on päivitetty viimeksi 29.6.2022.

Merja Luntta

Merja työskentelee Accountor Finagolla Tikon- ja NetTikon-tuoteperheiden tuotepäällikkönä.