Siirry sisältöön
Skip to page content

7. Huolehdi henkilötietojen käsittelyn turvallisuudesta

Kuvakkeessa on suljettu riippulukko, jonka keskellä on henkilöä kuvaava symboli. Riippulukon sanka on katkennut. Kuvakkeen ympärillä on vaaleanvihreä kehys. Kuvaketta voidaan käyttää kuvaamaan sitä, että tilanteessa on kyse henkilötietojen tietoturvaloukkauksesta.

Harrastustoiminnan järjestäjän on huolehdittava tietojen suojaamisesta kaikissa käsittelyn vaiheissa aina tietojen keräämisestä ja niiden tuhoamiseen. Turvallinen käsittely edellyttää esimerkiksi, että rekisterinpitäjä pystyy takaamaan järjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden sekä mahdollisuuden palauttaa tiedot nopeasti vikatilanteessa. Tietojen suojaamiseksi henkilötietojen käsittelyä on myös seurattava ja valvottava.

Riittävä tietoturvan taso riippuu käsiteltävän tiedon luonteesta ja tiedon määrästä: esimerkiksi arkaluontoista ja erityisiin henkilöryhmiin kuuluvaa tietoa on suojattava tehokkaammalla teknisellä suojauksella. Tietojen suuri määrä voi lisätä ulkopuolisten tahojen kiinnostusta tietoihin, jolloin tiedot on myös suojattava tehokkaammin. Henkilötietoja on suojattava kaikissa yhteyksissä koko niiden käsittelyn elinkaaren ajan, eli aina keräämisestä poistamiseen.

Tietoja on suojattava siltä, ettei ulkopuolinen pääsisi niihin käsiksi. Ulkopuolisia ovat kaikki, joilla ei ole perustetta tai oikeutta käsitellä henkilötietoja.

Sähköisissä järjestelmissä ulkopuolisten pääsy henkilötietoihin voidaan estää hallinnoimalla käyttöoikeuksia. Rekisterinpitäjän on huolehdittava, että henkilötietoja pääsevät käsittelemään vain sellaiset henkilöt, joilla on tehtäviensä perusteella oikeus käsitellä niitä. Huomioi, että tietojen katselu on myös käsittelyä. Hyvä huomioida lisäksi, että henkilön esimerkiksi vaihtaessa roolia yhdistyksessä, poistetaan hänen käyttöoikeutensa välittömästi sellaisista järjestelmistä, joihin hänellä ei ole enää oikeutta päästä.

Esimerkki

Urheiluseurassa jalkapallojoukkueen valmentajilla ja joukkueenjohtajalla on oikeus käsitellä joukkueensa urheilijoiden henkilötietoja, mutta heillä ei ole lähtökohtaisesti oikeutta käsitellä urheiluseuran muiden joukkueiden urheilijoiden henkilötietoja.

Järjestelmissä kannattaa käyttää henkilökohtaisia käyttäjätunnuksia, eikä yhteisten tunnusten käyttäminen ole suositeltavaa. Tällöin rekisterinpitäjä pystyy kontrolloimaan ja todentamaan myös jälkikäteen paremmin, kuka henkilötietoja käsittelee.

Kun rekisterinpitäjä ottaa käyttöön uuden järjestelmän tai sovelluksen, tulee niiden oletusasetukset tarkastaa ennen käyttöönottoa. Tietosuojan kannalta tulisi huomioida esimerkiksi, ettei henkilötietojen näkyminen kaikille käyttäjille ole oletusarvoisesti päällä.

Mitä tarkoittaa tietoturva?

Tietoturva on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.

Kenellä on oikeus käsitellä henkilötietoja?

Rekisterinpitäjän tulee määritellä, kenellä on asianmukainen peruste käsitellä henkilötietoja missäkin tilanteessa. Tämä on syytä myös dokumentoida. Asianmukainen peruste voi olla esimerkiksi työtehtävä tai yksittäisestä tilanteesta johtuva syy.

Muista

Tarkista uusien järjestelmien ja sovellusten oletusasetukset, etteivät ne kerää tarpeettomia tietoja tai salli käyttäjien liian laajaa näkyvyyttä henkilötietoihin.

6. Käsittele vain paikkansapitäviä henkilötietoja ja oikaise virheelliset tiedot
8. Määrittele henkilötietojen säilytysajat ja poista tarpeettomat tiedot