Tietosuoja ja tietoturva
Mitä eroa on tietosuojalla ja tietoturvalla?
Tietoturva on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.
Lähde: Tietosuoja.fi
Tietosuoja
Lähes jokainen yritys käsittelee henkilötietoja toiminnassaan. Tietosuoja-asetusta, josta käytetään myös nimitystä GDPR eli General Data Protection Regulation, alettiin soveltaa kaikissa EU-maissa keväällä 2018. Asetuksen tavoitteena on yhtenäistää tietosuojasääntelyä ja varmistaa, että kansalaiset voisivat hallita heitä koskevia tietojaan paremmin. Asetus lisää kaikkien yritysten tietosuojavaatimuksia. Säännöt ovat samat kaikille EU:ssa toimiville yrityksille kotipaikasta riippumatta.
Tietosuojaperiaatteet
Henkilötiedot on kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, ja kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden. Henkilötiedolla tarkoitetaan esimerkiksi asiakkaiden, työntekijöiden tai yrityskontaktien henkilötietoja, kuten nimeä, osoitetta, puhelinnumeroa tai mitä tahansa muuta tietoa, jonka voi liittää tiettyyn henkilöön.
Henkilötiedot tulee päivittää aina tarvittaessa: epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä.
Tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten, ja niitä on käsiteltävä luottamuksellisesti ja turvallisesti.
Yrittäjänä ja rekisterinpitäjänä sinun täytyy kyetä osoittamaan, että tietosuojaperiaatteet toteutuvat tehokkaasti henkilötietoja käsiteltäessä. Tietosuojaperiaatteita on noudatettava kaikissa henkilötietojen käsittelyn vaiheissa.
Tietosuojalainsäädännön vaatimukset koskevat myös mahdollisten alihankkijoittesi ja kumppaneittesi toimintaa. Jos esimerkiksi järjestät arvonnan, johon osallistujat jättävät yhteystietonsa, jokaisen pitää halutessaan saada tietää, miten hänen tietojaan käytetään ja säilytetään.
Rekisteröidyn oikeudet
Tietosuoja-asetuksen mukaan rekisteröidyllä on oikeus
- saada tietoa henkilötietojensa käsittelystä
- saada pääsy tietoihin
- oikaista tietoja
- poistaa tiedot ja tulla unohdetuksi
- rajoittaa tietojen käsittelyä
- siirtää tiedot järjestelmästä toiseen
- vastustaa tietojen käsittelyä
- olla joutumatta automaattisen päätöksenteon kohteeksi.
Rekisteröity ei voi käyttää kaikkia oikeuksia kaikissa tilanteissa. Tilanteeseen vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään.
Rekisteröidyn pyyntöön on vastattava viipymättä, mutta viimeistään kuukauden sisällä. Vastauksessasi rekisterinpitäjänä sinun tulee kertoa, mihin toimenpiteisiin olet pyynnön myötä ryhtynyt.
Vastausaikaa voi jatkaa perustellusta syystä enintään kaksi kuukautta, jos esimerkiksi pyyntöjä on paljon tai ne ovat monimutkaisia.
Rekisterinpitäjä voi kieltäytyä pyynnöstä, mutta kieltäytyminen täytyy perustella viimeistään kuukauden kuluessa pyynnön saapumisesta. Silloin sinun täytyy kertoa rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.
Informoi rekisteröityä
Rekisteröidyn tulee saada kaikki henkilötietojen käsittelyä koskeva tieto tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa.
Informoinnin tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta.
Rekisteröidylle on kerrottava muun muassa kuka rekisterinpitäjä on, mitä tarkoitusta varten rekisteröidyn henkilötietoja käsitellään, kuinka kauan henkilötietoja säilytetään, luovutetaanko henkilötietoja eteenpäin tai siirretäänkö niitä ETA-maiden ulkopuolelle sekä miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan.
Vastuu tietosuoja-asioista
Yrityksesi on nimettävä myös tietosuojavastaava, jos henkilötietojen käsittely on yrityksen keskeistä liiketoimintaa, rekisteröityjä seurataan säännöllisesti ja järjestelmällisesti tai arkaluonteisia tietoja käsitellään laajasti. Tietosuojavastaava voidaan nimittää myös silloin, kun tietosuoja-asetus ei siihen velvoita.
Tietosuojavastaavan ei tarvitse olla yrityksen oma työntekijä, vaan tehtävän voi ulkoistaa. Viime kädessä henkilötietojen käsittelyn lainmukaisuus on kuitenkin organisaation johdon vastuulla.
Osoita noudattavasi tietosuojasäännöksiä
Rekisterinpitäjän täytyy noudattaa tietosuoja-asetuksen säädöksiä sekä pystyttävä osoittamaan, että noudattaa tietosuojalainsäädäntöä.
Osoitusvelvollisuus on tietosuojavelvoitteiden keskeinen periaate. Lakisääteisten vaatimusten toteutumisen arvioinnin lisäksi sen tarkoitus on näyttää, miten rekisterinpitäjä, eli sinä, kunnioitat henkilötietojen käsittelyn kohteen tietosuojaa.
Osoitusvelvollisuuden täyttämiseksi sinun on toteutettava tekniset ja organisatoriset velvollisuudet sekä dokumentoida ne, eli kyse on tiettyjen toimenpiteiden tekemistä ja kirjaamista.
Tietosuoja-asetuksessa on osoitusvelvollisuutta koskevia vaatimuksia, joiden velvoittavuus on analysoitava tapauskohtaisesti. Osoitusvelvollisuuden laajuus riippuu muun muassa organisaatiosi koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on huomioitava osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa.
Täysin tyhjentävää listaa siitä, mitä osoitusvelvollisuus pitää sisällään, on mahdotonta antaa, sillä sen laajuus vaihtelee tapauskohtaisesti. Toimenpiteistä ja dokumenteista löydät listausta täältä.
Jos huomaat rekisterinpitäjänä tietosuojarikkomuksen, sinun tulee osoittaa, että olet aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Jos et rekisterinpitäjänä pysty osoittamaan, että noudatat tietosuoja-asetuksia, voit saada hallinnollisia seuraamuksia.
Sanktiot voivat olla kovia
Tietosuoja-asetuksen rikkomisesta voi aiheutua henkilötietojen käsittelijälle tai rekisterinpitäjälle seuraamusmaksu, jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa vahingosta.
Muita sanktioita ovat varoitus tai huomautus sekä määräyksen antaminen. Rekisterinpitäjän oikeuksia käsitellä henkilötietoja voidaan myös rajoittaa tai kieltää se määräajaksi tai kokonaan. Rekisterinpitäjä voi myös menettää sertifiointinsa, jos kriteerit eivät enää täyty.
Rekisterinpitäjä voi saada myös hallinnollisen seuraamusmaksun, joka on enimmillään 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Reksiterinpitäjä voi saada myös uhkasakon.
Lisäksi vakavimmista henkilötietojen suojan loukkauksista voidaan tuomita rikoslain mukainen rangaistus.
Tietosuoja-asetuksen rikkominen ei siis ole mitätön asia. Käy siis läpi, miten ja missä yrityksesi säilyttää henkilötietoja ja että täytät tietosuoja-asetuksen vaatimukset.
Henkilötietojen käsittelyssä on noudatettava EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelyä koskevaa lainsäädäntöä.
Henkilötietojen käsittelyä koskevaa erityislainsäädäntöä
Tietoturva
Jokaisen yrittäjän on tunnettava ja tiedettävä, mitä vaatimuksia tietosuojalainsäädäntö asettaa omaan yritystoimintaan asettaa. GDPR (General Data Protection Regulation eli EU:n yleinen tietosuoja-asetus suojaa henkilötietoja ja vahvistaa ihmisten oikeuksia itseään koskevan datan käsittelyssä. Samalla se lisää kaikkien yritysten tietosuojavaatimuksia.
Jos yrityksesi tietoturva ei ole kunnossa, asiakastietosi saattavat päätyä vääriin käsiin. Menetetty luottamus on vaikea saada takaisin. Tietoturvapuutteista voi myös seurata suuria sanktioita. Sinun pitää siis käydä läpi, miten ja missä yrityksesi henkilötiedot säilytetään ja täytätkö tietosuoja-asetuksen vaatimukset.
Henkilötietojen säilytysvaatimukset koskevat myös mahdollisten alihankkijoittesi ja kumppaneittesi toimintaa. Jos esimerkiksi järjestät arvonnan, johon osallistujat jättävät yhteystietonsa, jokaisen pitää halutessaan saada tietää, miten hänen tietojaan käytetään ja säilytetään jatkossa.
Suomen Yrittäjät järjestää jäsenilleen erilaisia koulutuksia kuten tietosuojakoulutusta.
Varmista, että yritykselläsi on tietoturva-asioista vastaava henkilö. Yrityksen on nimettävä myös tietosuojavastaava, jos henkilötietojen käsittely on yrityksen keskeistä liiketoimintaa, rekisteröityjä seurataan säännöllisesti ja järjestelmällisesti tai arkaluonteisia tietoja käsitellään laajasti. Tietosuojavastaava voidaan nimittää myös silloin, kun tietosuoja-asetus ei siihen velvoita. Tietosuojavastaavan ei tarvitse olla yrityksen oma työntekijä, vaan tehtävän voi ulkoistaa. Viime kädessä henkilötietojen käsittelyn lainmukaisuus on kuitenkin organisaation johdon vastuulla.
Huolehdi siitä, että uusimmat päivitykset yrityksesi laitteisiin ovat kaikkien käytössä.
Luo yritykseesi kulttuuri, jossa on selviö ja velvollisuus asentaa päivitykset puhelimeen ja koneille aina mahdollisimman pian, viimeistään muutaman päivän sisällä päivitysilmoituksesta. Perustele työntekijöillesi, miksi tämä on tärkeää. Väärissä asioissa ei kannata säästää. Yrityksessä pitäisi aina olla yrityksen tietoturvasta vastaava henkilö, joka osaa auttaa käytännön tietoturvakysymyksissä.
Kouluta työntekijäsi tietoturvan osaajiksi. On tärkeää kertoa ja perustella konkreettisesti, miksi tietyt tietoturvasäännöt ovat työpaikalla tarpeen. Ajattelematon ihminen on usein nimittäin tietoturvan heikoin lenkki. Esimerkiksi tuntemattomilta lähettäjiltä tulleita liitetiedostoja ei kannata avata.
Yrittäjän kannalta on myös merkittävää, mitä työntekijöiden kanssa on sovittu työlaitteiden käytöstä ja surffailusta eri sivustoilla.
Huijausyritysten varalta kannattaa olla jatkuvasti hereillä. Kouluta henkilöstösi tunnistamaan nämä perusasiat.
- Aina kun sinulta pyydetään netissä jotakin, ole varuillasi. Luota arkijärkeen. Jos jokin kuulostaa liian hyvältä tai halvalta ollakseen totta, se ei ole totta. Huijauksia tehdään jopa toimitusjohtajien nimissä sekä erilaisilla huijauslaskuilla.
- Huijarit räätälöivät sähköposteja, joiden kautta he yrittävät ujuttaa haittaohjelmia isompien yritysten laitteisiin. Myös yritysten identiteettejä on varastettu esimerkiksi niin, että huijarit ovat käyneet yritysrekisterissä vaihtamassa nimet.
- Tiesithän, että voit tilata Patentti- ja rekisterihallitukselta hälytyksen, joka kertoo, jos yrityksesi tiedot muuttuvat. Palvelu on maksuton ja voit aktivoida sen täältä.
- Jos sähköpostiviestin otsikko epäilyttää, älä avaa viestiä. Myös tutuilta tullut sähköposti voi sisältää viruksen. Sähköpostin liitetiedostoissa etenkin tiedostopäätteet .COM, .EXE, .SHS, .PIF ja .VBS ovat suosittuja sähköpostitse leviävissä haittaohjelmissa.
- Kalastelumeilit saattavat näyttää hyvinkin aidoilta. Niillä yritetään saada käyttäjätunnuksia ja luottokorttitietoja. Kielioppivirheitä vilisevää meiliä lukiessasi hälytyskellojen pitäisi huutaa.
- Vaikka surffaisit luotettavalla sivustolla, voit vahingossa joutua hakkeroidulle sivustolle, joka näyttää viralliselta. Jos selaimesi päivitykset ovat kunnossa, tilanne ei ole vaarallinen. Mutta muista: aina, jos tapahtuu jotakin epätavallista, tuntosarvien on noustava pystyyn. Tunnistat luotettavat sivustot osoitekentässä näkyvästä lukosta.
Jos sivustollasi ei ole SSL-salausta (tällöin verkko-osoite ei ole https-alkuinen), sen liikennettä ei ole suojattu. SSL-sertifikaatin avulla vähennetään esimerkiksi haittaohjelmien leviämistä. Esimerkiksi Suomen suosituin selain Google Chrome merkitsee kaikki ilman SSL-suojausta olevat verkkosivustot turvattomiksi ja varoittaa kaikkia käyttäjiä, jotka ovat siirtymässä sivuillesi. Tällä voi olla merkittävä vaikutus liiketoimintaasi sekä löydettävyyteesi Googlen haussa. SSL-sertifikaatin asentaminen itse on työlästä, joten pyydä siihen apua sivustosi ylläpitäjältä tai webhotellilta. Lue suojauksesta lisää sivuiltamme.
Yrityksen verkon on oltava turvallinen eli salasanalla salattu. Muuten kuka tahansa voi käyttää verkkoasi. Asiakkaille ja muille vierailijoille on myös hyvä luoda oma salattu vierasverkkonsa.
Voit ottaa verkon suojauksen ja salasanan käyttöön reitittimen tai modeemin asetuksista. Ohjeet löytyvät yleensä laitteen mukana tulevasta ohjelehtisestä tai valmistajan nettisivustolta hakemalla ohjeita laitteen mallimerkinnän perusteella.
Muista, että verkkolaitteetkin, kuten nettiyhteyden reititin, pitää välillä päivittää. Tämän voit tehdä myös modeemin tai reitittimen asetuksissa.
Sopikaa säännöt myös etätyöläisen verkkokäyttäytymiselle. Kahvilan salaamattomassa verkossa ei ole turvallista tehdä töitä, mutta salatussa verkossa hommia voi paiskia melko rauhallisin mielin — jollet sitten puhu suureen ääneen työasioita tai joku kurkkii olkasi yli näyttöäsi.
Jos matkustat ulkomaille, kannattaa olla erityisen tarkka tietoturva-asioissa. Esimerkiksi työkonetta ei kannata yhdistää hotellin avoimeen wifi-verkkoon, sillä isoissakin hotelleissa saatetaan vakoilla verkkoliikennettä vakoiluohjelmilla.
Suojaa omat tilisi kaksivaiheisella tunnistautumisella. Se lisää tietoturvaa ja lisää yhden esteen lisää mahdollista tunkeutujaa vastaan. Tapa on tuttu mm. nettipankkien tunnuslukusovelluksista. Käyttöönotto hieman vaihtelee tilin ja laiteympäristön mukaan, lisätietoja löydät haulla ”kaksivaiheinen tunnistautuminen”.
Monen yrityksen tärkein pääoma on erilaiset tietovarastot ja dokumentit. Huolehdi näiden riittävästä suojaamisesta, niihin pääsystä ja käyttöoikeuksista. Pidä myös huoli tietojen säännöllisestä varmistuksesta ulkoiseen ympäristöön, jotta ne voidaan tarvittaessa palauttaa ongelmatilanteissa tai mahdollisessa kiristystilanteessa.
Suurin tietoturvauhka on ihminen. Tämän takia on hyvä pitää eri järjestelmiin ja ympäristöihin liittyvien käyttäjien tiedot ja käyttöoikeudet ajan tasalla. Muista myös poistaa ylimääräiset ja poistuneiden henkilöiden tilit ja oikeudet.
