Muut dokumentit

23.5.2018

Tietosuoja-asetus astuu voimaan – miten varmistukset muuttuvat vai muuttuvatko

MultiCom on varmistamisen ja pitkäaikaistallentamisen asiantuntijayritys. Törmäämme usein kysymykseen, miten varmistuksissa tulisi suhtautua GDPR -asetukseen. Lakimiehiltä kysyttäessä saamme vastaukseksi: ”Tallennusmedia, -teknologia ja -tapa eivät aiheuta eroavuuksia GDPR -säädöksen asettamiin vaatimuksiin. Varmistusten osalta kaikkia velvoitteita tulee noudattaa kuten muunkin data-aineiston kohdalla”.

Vaikka uudesta säädöksestä ei luonnollisesti ole vielä yhtään ennakkotapausta, tulkinnanvaraisuutta on kuitenkin odotettavissa tämän säädöksen ja muiden jo aiemmin voimassa olleiden lakien ja asetusten välillä.

MultiComin näkemys GDPR -säädökseen:

  1. Tiedon turvaamiseen ja tietoon käsiksi pääsemiseen liittyvät vaatimukset tulee toteuttaa varmistusten osalta aivan kuten muunkin datan osalta.
  2. Tietomurtojen ja – varkauksien ilmoitusvelvoitteiden suhteen varmistusaineisto ei poikkea mitenkään muusta aineistosta eli ns. aktiividatasta.
  3. Erityisen paljon huomiota on herättänyt ns. unohdetuksi tulemisen oikeus. Sitä edeltää yleensä omien henkilötietojen tarkastusoikeus.

    Kyseisen säädöksen alakohdan osalta tulkitsemme, että varmistusdataa on kohdeltava erityisellä tavalla. On ymmärrettävä, miksi varmistusdata on ylipäätään olemassa ja minkälaisissa tilanteissa sitä tarvitaan. Ja myös ymmärrettävä, että varmistusdatalla ja erityisesti tiedon todistettavissa olevalla eheydellä voi olla esimerkiksi oikeudenkäynneissä merkitystä.  Vuosi sitten otettua ja esim. nauhavarmistukseen vietyä henkilötietokantaa ei teknisesti voi EIKÄ MYÖSKÄÄN SAA jälkikäteen muuttaa yhden henkilön tietojen osalta! Näin meneteltäessä rikottaisiin tiedon eheyttä.

On syytä muistaa myös, että GDPR ei ”kävele” muiden lakien ja asetusten (esim. kirjanpitolaki ja siihen liittyvät tiedon säilytysvelvoitteet) yli.

Henkilötietojen unohdetuksi tulemisen oikeutta tulisi toteuttaa seuraavasti varmistusdatan osalta:

Jos GDPR -säädöksen alaisessa prosessissa on oikeutetusti todettu, että henkilön tietoja on perustellusti syytä muuttaa tai jopa poistaa, on siitä pidettävä ns. loki-kirjaa. Mikäli päädytään tilanteeseen, että aktiividatasta on poistettu tieto, joka tietojen palautuksen myötä olisi palautumassa ennen poistoa vallinneeseen tilanteeseen, henkilötietojen sisällöstä vastuullisen henkilön tai tahon on verrattava palautettua tietoa lokitietoihin ja tehtävä uudelleen aikaisemmat muutokset ennen kuin kyseinen varmistus palautetaan tuotantoon.

Monimutkaista! Kyllä, mutta kertoo osaltaan, mistä koko GDPR -säädöksessä on kysymys: Ensisijaisesti hallitusta ja valvotusta prosessista sekä henkilötietojen suojauksesta!