Tietosuoja ja tietoturva eivät ole synonyymejä. Tietosuojassa on kyse ihmisten yksityiselämän suojan ja muiden yksityisyyden suojaa turvaavien perusoikeuksien toteuttamisesta henkilötietojen käsittelyssä. Tietoturva puolestaan tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista luvattomalta tai vahingossa tapahtuvalta pääsyltä, tuhoamiselta, muuttamiselta tai levittämiseltä. Voidaankin sanoa, että siinä missä tietoturva suojaa tietoja laittomalta käsittelyltä, tietosuoja suojaa ihmisten oikeuksia. Tietojen turvallinen käsittely on kuitenkin välttämätön osa henkilötietojen suojaa. Vaikka tietoja tallennettaessa tai jaettaessa niiden näkyvyyttä olisi rajattu, varotoimenpiteiltä tippuu pohja pois, mikäli kuka tahansa voi puutteellisesta tietoturvasta johtuen päästä tietoihin käsiksi.

Keväällä 2018 sovellettavaksi tulee nykyisen tietosuojadirektiivin korvaava EU:n yleinen tietosuoja-asetus. Nimestään huolimatta asetus tulee vaikuttamaan myös tietoturvakäytänteisiin. Tietoturvaa koskevat lähtökohdat eivät kuitenkaan muutu: rekisterinpitäjän ja henkilötietojen käsittelijän tulee jatkossakin toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet varmistaakseen asianmukaisen tietosuojan tason. Toimenpiteiden riittävyyttä arvioitaessa tulee ottaa huomioon tietojen käsittelyn luonne, laajuus, asiayhteys ja tietojen käsittelyn tarkoitus. Uutta on kuitenkin se, että asetus sisältää nimenomaisen listan vaadituista toimenpiteistä.

Tietosuoja-asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän tulee riittävän turvallisuustason saavuttamiseksi…
• pseudonymisoida ja salata henkilötiedot,
• taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus,
• pystyä palauttamaan nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa sekä
• testata, tutkia ja arvioida säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Tämä tarkoittaa toisin sanoen sitä, että kaikki yllä luetellut toimenpiteet ovat ensi keväästä lähtien pakollinen, kiinteä osa tietoturvaa – asetuksen määrittelemien seuraamusten uhalla. Pelkkä niiden toteuttaminen ei kuitenkaan vielä riitä, vaan lisäksi vaaditaan ”tehokkaita menetelmiä”, joilla voidaan osoittaa käsittelyn laillisuus, mahdollistetaan omaehtoinen valvonta ja varmistetaan tietojen eheys ja tietoturva. Lisäksi on huomattava, että vaikka asetus vaatii esimerkiksi tietojen salausta, se ei nykyisessä muodossaan ota kantaa siihen, mitä salauksella tarkoitetaan tai miten se tulisi käytännössä toteuttaa.

Tietosuoja-asetus sisältää säännökset myös siltä varalta, että turvallisuustoimenpiteet pettävät, ja tietoturvaloukkaus pääsee tapahtumaan. Tietoturvaloukkaukset tulee ilmoittaa valvontaviranomaiselle ilman aiheetonta viivytystä. Mikäli tietoturvaloukkaus aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, esimerkiksi altistamalla heidät identiteettivarauksille, myös heillä on asetuksen myötä oikeus saada tietää asiasta viipymättä. Jos rekisterinpitäjä on kuitenkin toteuttanut loukkauksen kohteena olevien tietojen osalta asianmukaiset tekniset ja organisatoriset suojatoimenpiteet siten, että tiedot eivät ole niihin luvattomasti käsiksi päässeiden henkilöiden ymmärrettävissä esimerkiksi salauksessa johtuen, ilmoitusta rekisteröidylle ei tarvita. Pitämällä huolta tietoturvasta rekisterinpitäjä voi toisin sanoen välttyä epämiellyttävältä maineelta.

Pelkkä hyvä maine ei toimi ainoana kannustimena tietosuoja-asetuksen noudattamiseen. Asetus tuo nimittäin mukanaan myös varsin ankaran seuraamusmaksujärjestelmän. Jos rekisterinpitäjä laiminlyö asetuksen mukaiset tietosuojavelvoitteensa, joihin tietoturvallisuuden takaamiseksi vaadittavat toimenpiteet lukeutuvat, sille voidaan määrätä hallinnollinen sakko, jonka suuruus voi olla enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Tärkeimmiksi arvotettujen velvoitteiden rikkomisesta voidaan määrätä hallinnollista sakkoa enintään 20 000 000 euroa, tai jos kyseessä on yritys, jopa huikaisevat neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Yhteenvetona voidaan todeta, että tietosuoja-asetus asettaa rekisterinpitäjille ja henkilötietojen käsittelijöille entistä tiukempia vaatimuksia asianmukaisen tietoturvatason takaamiseksi. Samalla se tuo mukanaan uudenlaisen seuraamusmaksujärjestelmän sekä tietoturvaloukkauksia koskevan ilmoitusvelvollisuuden. Selvää on, että tietosuoja-asetuksen noudattamisen varmistamisesta ja tarvittavien toimenpiteiden toteuttamisesta riittää rekisterinpitäjille ja henkilötietojen käsittelijöille tekemistä ainakin joksikin aikaa.

Henriikka Hannula
COSS ry, projektityöntekijä, ON