Minilex - Lakipuhelin

Tietoturva nimi- ja tunnisteoikeuden osana

» Lakipuhelin neuvoo - Soita 0600 12 450 »

Kun ihmisten tunnisteita käsitellään massoittain esimerkiksi virastoissa, yksityisyys ja henkilötietojen suoja ovat usein vaarassa. Siksi laissa on säädetty käsittelijöille eräitä tärkeitä velvollisuuksia.

Ensinnäkin kannattaa huomata, että tunnistetiedot ja henkilötiedot ovat hyvin laajoja käsitteitä. Henkilötietoja ovat kaikki sellaiset tiedot, jotka voidaan tunnistaa tiettyä ihmistä, hänen perheenjäsentään tai hänen kanssaan yhdessä elävää henkilöä koskeviksi. Kun käsitellään esimerkiksi passi- ja ajokorttihakemuksia tai henkilötunnuksia, käsitellään jatkuvasti tällaisia tietoja. Silloin täytyy noudattaa tietosuojalain ja Euroopan unionin tietosuoja-asetuksen vaatimuksia tietoturvallisuudesta.

Henkilötietojen käsittely on sallittua vain, kun laista löytyy käsittelylle peruste. Henkilötietoja voidaan käsitellä esimerkiksi, jos henkilö antaa itse suostumuksensa henkilötietojensa käsittelyyn. Myös kun henkilö on osapuolena sopimuksessa, voidaan hänen tietojaan käsitellä sopimuksen panemiseksi täytäntöön. Henkilön tehdessä esimerkiksi verkko-ostoksia, voi yritys käsitellä hänen osoitettaan, jotta tuotteet voidaan toimittaa perille. Henkilötietoja voidaan käsitellä myös, jos käsittely on tarpeen lakisääteisen velvoitteen noudattamiseksi. Esimerkiksi työnantaja voi ilmoittaa työntekijänsä palkkatiedot veroviranomaiselle.

Ennen kuin rekisterinpitäjä ryhtyy käsittelemään henkilötietoja, sen on tehtävä riskianalyysi. Rekisterinpitäjällä tarkoitetaan ihmistä tai organisaatiota, joka päättää, millä tavalla ja mihin tarkoitukseen henkilötietoja käsitellään. Riskianalyysillä rekisterinpitäjä arvioi, mitä vahinkoja rekisteröidylle voi aiheutua ja mitä rekisteröidyn oikeuksia käsittely saattaa vaarantaa. Rekisteröidyn oikeudet on määritelty laissa. Rekisteröidyllä on oikeus esimerkiksi rajoittaa tietojensa käsittelyä ja saada tietoa henkilötietojensa käsittelystä sekä oikaista häntä koskevia tietoja.

Tietoturvallisuus on myös tietotekninen kysymys. Käsittelijöiden tulee huolehtia siitä, että laitteet ja tietojärjestelmät ovat riittävän ajantasaiset ja laadukkaat. Kaikenlaisen tiedonsiirron tulee olla tarpeellisella tavalla suojattua.

Lisäksi tietoturvallisuus liittyy aivan olennaisesti hallintoon ja henkilöstöön. Ei ole viisasta antaa esimerkiksi kaikille viraston virkamiehille ja työntekijöille pääsyä kaikkiin henkilötietoihin, koska se johtaa helposti väärinkäytöksiin. Sen sijaan kannattaa antaa kullekin pääsy tehtävänsä kannalta tarpeellisiin tietoihin. Ennen tietojärjestelmään pääsyä käyttäjä tulee tunnistaa esimerkiksi salasanan perusteella.

Henkilöstöä tulee myös kouluttaa niin, että he ymmärtävät tietoturvallisuuden merkityksen ja osaavat toimia tarpeeksi huolellisesti. Kun täytetään tietoturvan kannalta tärkeitä virkoja, on syytä tarkastaa hakijoiden taustan nuhteettomuus. Tämä tapahtuu niin kuin turvallisuusselvityslaissa säädetään. Viime kädessä henkilöstön huolellisuutta turvataan sanktioilla. Vaitiolovelvollisuuden rikkominen ja henkilötietorikkomus ovat rangaistavia.

Tietosuojaan liittyvät myös tietosuojaperiaatteet, joita jokaisen henkilötietojen käsittelijän on noudatettava. Tietosuojaperiaatteiden mukaan henkilötietoja on muun muassa päivitettävä aina tarvittaessa. Tietoja on säilytettävä sellaisessa muodossa, josta henkilö on tunnistettavissa ainoastaan niin kauan kuin se on tarpeen käsittelyn tarkoituksen toteuttamiseksi. Henkilötietoja on myös käsiteltävä luottamuksellisesti ja turvallisesti. Käsittelyn on oltava läpinäkyvää ja sen on tapahduttava asianmukaisesti ja lakia noudattaen.

Henkilötietojen käsittelyyn liittyy myös ns. osoitusvelvollisuus. Sen sisältönä on, että rekisterinpitäjän on kyettävä osoittamaan, että se noudattaa tietosuojalainsäädäntöä. Käytännössä tämä tarkoittaa sitä, että rekisterinpitäjän on tehtävä tiettyjä toimenpiteitä ja kirjattava tekemänsä toimenpiteet. Kirjausten avulla rekisterinpitäjä voi näyttää toimineensa asianmukaisesti, jos havaitaan esimerkiksi tietoturvaloukkaus.

Lainsäädäntö siis vaatii riittävää teknistä, hallinnollista ja muuta tietoturvaa niiltä, jotka ammattimaisesti käsittelevät tietojamme. Se ei tietenkään vielä takaa henkilötietojemme suojaa, vaan suurin osa tietovuodoista johtuu omista virheistämme. Siksi kannattaa huolehtia muun muassa oman tietokoneensa tietoturvasta ja riittävän vahvoista salasanoista.

- Lakipuhelin neuvoo aamusta iltaan joka päivä -


Pyydä tarjous lakipalvelusta

 

Jätä sitomaton tarjouspyyntö lakimiehen palkkaamiseksi




Lakimiehet käsittelevät tietojasi luottamuksellisesti, eikä niitä tallenneta
Minilex.fi-palveluun.


 

Aiheeseen liittyvät artikkelit


 

Selaa lakitietoa