Sisäänrakennettu ja oletusarvoinen tietosuoja
Tietosuoja on otettava sisäänrakennetuksi ja oletusarvoiseksi osaksi kaikkia palveluita ja järjestelmiä, joihin liittyy henkilötietojen käsittelyä. Vaatimus perustuu suoraan lakiin, eikä siitä siksi voida joustaa. Tietyt vaatimukset on toteutettava aina riippumatta siitä, ovatko henkilötiedot varsinaisesti suojaamisen arvoisia vai eivät. Esimerkiksi jo pelkkä yhteyshenkilön sähköpostiosoite on henkilötieto. Suojaamisintressin taso voidaan kuitenkin huomioida suojatoimenpiteiden suunnittelussa.
Tämä sivu listaa ne tietosuojan perusasiat, jotka kaikessa kehityksessä pitää vähintään huomioida. Ne koskevat henkilötietojen koko elinkaarta keräämisestä hävittämiseen.
Tutustu lisäksi oman organisaatiosi tietosuojaohjeistukseen.
Tietosuojan oikea-aikainen huomioiminen
Käsiteltävät henkilötiedot ja henkilötietojen käsittelyn perusasiat tulee kartoittaa jo valmisteluvaiheessa, jotta saadaan selville, onko valmistelussa ylipäätään kannattavaa edetä. Suunnitelmat kannattaa jo tässä vaiheessa esitellä organisaation tietosuojavastaavalle. Lisäksi on selvitettävä edellyttääkö henkilötietojen käsittely tietosuojan vaikutustenarviointia.
Suunnittelu- ja toteutusvaiheessa on aika toteuttaa henkilötietojen käsittelyn edellyttämät käytännön toimenpiteet sekä laatia tietosuojaa koskevat dokumentit, kuten tietosuojakortti, riskiarviointi ja mahdollisesti myös tietosuojan vaikutustenarviointi.
Tuotanto- ja ylläpitovaiheessa on varmistettava, että tietosuojaa koskevat vaatimukset täyttyvät jatkuvasti. Jos palveluun tai järjestelmään liittyvissä riskeissä tapahtuu muutoksia, on päivitettävä riskiarviointia sekä tarvittaessa myös hallintatoimia. Lisäksi tietosuojaa koskevia dokumentteja, kuten tietosuojan vaikutustenarviointia, on tarvittaessa päivitettävä.
Kun palvelu tai järjestelmä saavuttaa elinkaarensa päätösvaiheen, on palvelu tai järjestelmä ajattava hallitusti alas tietosuojaa tai henkilötietojen tietoturvaa vaarantamatta.
Kartoita henkilötietojen käsittely ja henkilötietojen elinkaari
Tunnista ja kuvaa ne prosessit tai toiminnot, joihin liittyy henkilötietojen käsittelyä. Hahmota henkilötietojen elinkaari esimerkiksi tietovuokaavion avulla (ks. luku 9). Huomioi tarvittaessa eri henkilötietotyypit, kuten erityisiin henkilötietoryhmiin kuuluvat tiedot, salassa pidettävät tiedot tai turvakiellon alaiset tiedot.
Tiedosta miksi henkilötietoja käsitellään
Kaikelle henkilötietojen käsittelylle on oltava jokin tietty, laillinen ja perusteltu tarkoitus. Lähtökohtaisesti henkilötietojen käsittelyn oikeusperuste on se syy, miksi jotakin palvelua tai järjestelmää ylipäätään kehitetään, kuten tietyn viranomaistehtävän toteuttaminen. Kaikki henkilötietojen käsittely ja siihen liittyvät prosessit ja toiminnallisuudet on peilattava tähän tarkoitukseen. Esimerkiksi budjettirajoitteet tai tekniset syyt eivät oikeuta käsittelemään henkilötietoja. Henkilötietoja ei saa myöhemmin käsitellä muuhun kuin alkuperäiseen tarkoitukseen, paitsi jos uusi ja vanha tarkoitus ovat keskenään selkeästi yhteensopivia.
Tunnista lainsäädännön asettamat erityisvaatimukset
Viranomaisten harjoittama henkilötietojen käsittely perustuu pääosin lakiin. Yleensä laki määrää tehtävän, johon henkilötietoja saadaan käsitellä. Joskus myös henkilötietojen käsittelyn yksityiskohdista, kuten säilytysajoista tai luovutusmetodeista, saatetaan säätää erikseen. Lisäksi joidenkin henkilötietotyyppien, kuten terveystietojen, käsittely voi edellyttää erityisiä suojatoimia. Tällaiset yksityiskohdat voi olla tarpeen huomioida palveluun tai järjestelmään liittyvien prosessien tai toiminnallisuuksien suunnittelussa. Laissa saatetaan esimerkiksi säätää tilanteista, joissa jokin tieto pitää poistaa tietyn määräajan tultua täyteen,. Tällöin on suunniteltava toiminnallisuus ja prosessi poiston toteuttamiseksi.
Varmista että henkilötietojen käsittely on tarpeellista, ja minimoi se
Kaikelle henkilötietojen käsittelylle on oltava jokin perusteltu tarkoitus, eikä niitä saa käsitellä enempää kuin mitä tämä tarkoitus edellyttää. Toiminnallisuudet ja prosessit tulee suunnitella siten, että ne eivät käsittele henkilötietoja turhaan tai pelkästään teknisistä syistä. Henkilötietojen käsittelylle on aina oltava muukin kuin tekninen peruste, kuten esimerkiksi tietyn viranomaistehtävän toteuttaminen.
Varmista että henkilötietoja ei säilytetä tarpeettomasti
Kaikille henkilötiedoille on määriteltävä säilytysaika tai kriteerit säilytysajan määräytymiselle. Henkilötietoja saa käsitellä vain niin kauan kuin mitä niiden käsittelyn tarkoituksen saavuttaminen edellyttää. Joskus säilytysajoista säädetään suoraan laissa. Kun säilytysaika tulee täyteen tai henkilötietoja ei enää tarvita, on olemassa kolme vaihtoehtoa: ne on poistettava, arkistoitava tai anonymisoitava.
Varmista että virheelliset tai vanhentuneet henkilötiedot voidaan poistaa tai korjata
Kaikkien käsiteltävien henkilötietojen tulisi olla paikkansapitäviä ja ajantasaisia. Tarvittaessa ne pitää päivätä, jotta niiden paikkansapitävyys voidaan säännöllisesti tarkistaa. Jos henkilötiedoissa havaitaan puutteita, ne pitää pystyä poistamaan tai korjaamaan.
Tietosuojaseloste on laadittu, ja se on selkeä ja ymmärrettävä
Henkilötietojen käsittelystä pitää kertoa rekisteröidyille eli niille henkilöille, joiden henkilötietoja käsitellään. Tämä informointivelvollisuus hoidetaan tietosuojaselosteilla. Tekstin on oltava niin selkeää, että rekisteröidyt ymmärtävät helposti, mistä heidän henkilötietojensa käsittelyssä on kyse.
Yllä mainittujen vaatimusten noudattaminen ei saa edellyttää käyttäjältä toimenpiteitä
Kaikki palvelut, järjestelmät ja niiden toiminnallisuudet ja prosessit on suunniteltava siten, että tietosuojavaatimukset toteutuvat loppukäyttäjän toiminnasta riippumatta. Sama koskee tietoturvavaatimuksia, sillä ilman tietoturvaa ei voida toteuttaa tietosuojaakaan.
Sopimuskumppaneihin on voitava luottaa
Henkilötietojen käsittelyä sisältäviä toimintoja voidaan ulkoistaa toimeksiantosopimuksella kolmansille osapuolille (kuten pilvikapasiteettipalvelua tarjoavalle taholle). Tällaista sopimuskumppania kutsutaan henkilötietojen käsittelijäksi. Henkilötietojen käsittelijöiden osalta on aina varmistuttava siitä, että ne noudattavat tietosuojalainsäädäntöä. Lainsäädännön noudattamisen osoittamisessa voidaan hyödyntää tietosuoja-asetuksen mukaisia käytännesääntöjä (kuten CISPE) tai sertifikaatteja (kuten Europrivacy). Muut kuin tietosuoja-asetuksen mukaiset käytännesäännöt ja sertifikaatit (kuten ISO 27701) ovat myös toimittajille eduksi. Jos sopimuskumppanin kyvystä (tai halusta) noudattaa lainsäädäntöä on epäilyksiä, ei sopimukseen pidä ryhtyä.
Tietosuojan yhteyshenkilöiden on oltava tiedossa
Sekä omalle väelle että sopimuskumppaneille on oltava selvää, kehen palvelun tai järjestelmän tietosuojaan liittyvissä asioissa voi olla yhteydessä. Lähtökohtaisesti yhteyspiste ei voi olla organisaatiotasoinen, kuten tietosuojavastaava, vaan yhteyspisteen on oltava henkilö, joka tuntee nimenomaan kyseessä olevan palvelun tai järjestelmän tietosuoja-asiat. Myös sopimuskumppaneilla on oltava tietosuojan yhteyshenkilö, johon DVV:ltä voidaan tarvittaessa olla yhteydessä.
Esimerkki: Jos palveluun lisätään uusi toiminnallisuus, jonkun on pystyttävä kertomaan uudistuksen käyttöönotosta ja sen vaikutuksesta henkilötietojen käsittelyyn.
Arvioi tietosuojariskit
Uhkamallinnuksen lisäksi on toteuttava erillinen tietosuojan riskiarviointi. Tietosuojan riskiarviointi eroaa muista riskiarvioinneista, sillä siinä riskit arvioidaan henkilötietojen taustalla olevan ihmisen näkökulmasta.
Toteuta toimenpiteet tietosuojariskien hallitsemiseksi
Kun tietosuojariskit on tunnistettu ja arvioitu, on toteutettava toimenpiteet, joita niiden hallitseminen edellyttää. Toimenpiteiltä edellytetään proaktiivisuutta: riskit tulisi minimoida jo ennen kuin ne pääsevät realisoitumaan. Toimenpiteet voivat olla sekä teknisiä (esim. henkilötietojen salaus) että hallinnollisia (esim. palvelinten sijainnin rajoittaminen sopimuksellisesti EU-/ETA-alueelle).
Poikkeamatilanteissa on osattava toimia oikein
Jos henkilötietoihin kohdistuu tietoturvaloukkaus, on tietoturvaloukkaus kyettävä käsittelemään 72 tunnin sisällä tapahtumasta. Tämä on huomioitava myös sopimuskumppanien kanssa tehtävissä sopimuksissa. Koska toiminnan on oltava nopeaa, on kaikille oltava selvää, miten poikkeamatilanteissa tulee toimia.
Muista dokumentaatiovelvollisuus
Tietosuojaa koskevien vaatimusten noudattaminen ei vielä riitä. Tietosuojalainsäädäntö on rakennettu siten, että mikäli henkilötietojen käsittelystä vastuussa oleva organisaatio ei pysty osoittamaan henkilötietojen käsittelyn lainmukaisuutta, käsittely katsotaan lainvastaiseksi. Tehtyjen ratkaisujen perusteleminen on tärkeää erityisesti tietosuojaan liittyvissä rajanvetotilanteissa.