Kanta-Häme

Yrittäjä vastaa romulaitteen henkilötiedoista – Vanha tulostin voi sisältää ison määrän tyhjennystä vaativaa dataa

Tietoturvasääntelyn perusteella kaikki henkilötietoja käsittelevät yrittäjät ovat rekisterinpitäjiä. Tietoturvan kannalta esimerkiksi vanhasta monitoimikoneesta luopuminen voi olla odotettua hankalampaa.
Toimiston laitteista löytyy useita muistisäilöjä, joihin voi tallentua henkilötietoja. Osassa uudemmista tulostimista ja skannereista on automaattinen ylikirjaustoiminto, joka tyhjentää tiedot itsestään. Kuva: Pekka Rautiainen
Toimiston laitteista löytyy useita muistisäilöjä, joihin voi tallentua henkilötietoja. Osassa uudemmista tulostimista ja skannereista on automaattinen ylikirjaustoiminto, joka tyhjentää tiedot itsestään. Kuva: Pekka Rautiainen

Yrityksien käyttämiin laitteisiin jää paljon tietoja, joita ei saa päätyä ulkopuolisten käsiin. Tämä voi aiheuttaa päänvaivaa, kun yritys on hankkiutumassa eroon vanhoista laitteista.

Nykyisen sääntelyn näkökulmasta jokainen yrittäjä on rekisterinpitäjä, joka on vastuussa yrityksen laitteisiin tallennetuista henkilötiedoista.

– Tilanteessa, jossa yritys on käytöstään poistanut laitteen, joka on vielä sisältänyt henkilötietoja, on yritys tästä henkilötietojen tarpeettomasta luovuttamisesta vastuussa, Tietosuojavaltuutetun toimisto linjasi viime vuonna.

Raportti olisi löydyttävä

Käytännössä rekisterinpitäjän pitää pystyä jotenkin osoittamaan, että käytöstä poistetuista laitteista on tyhjennetty kaikki henkilötiedot. Tämä tarkoittaa sitä, että tietoturvatyhjennyksestä olisi jäätävä rekisterinpitäjälle jonkinlainen dokumentti tyhjennyksestä.

– Tietosisältöjen tuhoamisesta on syytä saada kierrättäjältä raportti. Sama periaate on toki hyvä muidenkin suojattavien tietojen kuten liikesalaisuuksien suojaamisessa, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen sanoo.

Tietoturvakierrätysyhtiö Green Disposalin myyntijohtaja Arvi Arohongan mukaan tietoisuus tiukasta sääntelystä on edelleen vähäistä.

Hänen mukaansa lähes kaikilla yrityksillä on puutteita tietoturvan toteutumisen kannalta, kun laitteita poistetaan käytöstä. Monissa yrityksissä ei esimerkiksi tajuta, että myös tulostimiin ja skannereihin voi tallentua iso määrä suojeltaviksi määriteltyjä henkilötietoja.

– Esimerkiksi vanhojen monitoimilaitteiden mukana menee huomattavia määriä tietoturvatyhjennystä vaativaa dataa ja tätä ei yrityksissä osata vielä ajatella, Arohonka sanoo.

Tiedot voi tyhjentää myös itse

Tiedoista eroon pääseminen ei ole aivan yksinkertaista.

Kiintolevyn ja muiden muistisäiliöiden hakkaaminen hajalle on epävarma keino hävittää tiedot. Tiedoista eroon pääseminen hoituu varmimmin ohjelmilla, jotka kirjoittavat tietojen päälle dataa, mikä tekee suojattavien tietojen lukemisesta mahdotonta.

Ylikirjoitusohjelmiston tulee pystyä tuottamaan raportti tapahtumasta.

Ohjelmia löytyy useita, mutta kyberturvallisuuskeskuksen Halosen mukaan ohjelman luotettavuus on tarkistettava huolella.

– Pitää aina arvioida, onko tämän ohjelmiston tekijä luotettava taho ja saiko ohjelmiston satunnaiselta sivustolta netistä vai tunnetun valmistajan omilta verkkosivuilta.

Traficom on hyväksynyt salaustuotteita turvallisuusluokiteltujen tietojen käsittelyyn ja joitakin niistä voidaan käyttää muistisäilöjen ylikirjoittamiseen. Useimpiin tarkoituksiin riittää kuitenkin muukin kuin Traficomin hyväksymä salaustuote.

Henkilötietojen poistamisia hoitavat myös yritykset. Suomessa tietoturvatyhjennyksiä tekevät Green Disposalin lisäksi esimerkiksi Seiffi ja Elker.

Käytti ylikirjoitusohjelmaa sitten yksityishenkilönä tai asiaan vihkiytyneenä yrityksenä, pitäisi Halosen mukaan varmistua siitä, että ylikirjoitusohjelma onnistui tekemään kaiken, mitä se komennettiin tekemään.

– Ylikirjoitushan saattaa vaikka keskeytyä esimerkiksi ylikirjoitettavan muistilaitteen laiteohjelmiston vian vuoksi, jolloin suojattavia tietoja jää edelleen fyysisesti lukukelpoisiksi, Halonen sanoo.

Miten toimia korjaajien kanssa?

Laitteista luopumisen lisäksi eteen voi tulla tilanne, jossa henkilötietoja sisältävä laite vuokrataan muualta tai joudutaan viemään korjaukseen.

Pitääkö esimerkiksi korjaukseen toimitettava monitoimilaite tyhjentää tiedoista ennen kuin se luovutetaan ulkopuoliselle yritykselle?

Arohonka viittaa tietosuojavaltuutetun toimiston lausuntoon.

– Yrityksen ei pidä luovuttaa henkilötietoja sisältävää laitetta yritykseen kuulumattomalle henkilölle, Arohonka sanoo.

Halosen mukaan yrityksen on tehtävä korjaustapauksissa ulkopuoliselle yritykselle selväksi, mitä korjattavalle laitteelle saa tehdä.

– Pitäisi olla keskusteltu palveluntarjoajan kanssa siitä, minkälaisessa ympäristössä korjausta saa tehdä. Saako laitteen yhdistää internetiin, josta sinne ladataan joku uusi ohjelmisto, vai onko siinä joku kontrolli välissä, jonka avulla ohjelmiston luotettavuutta voi arvioida.

Työn ja vapaa-ajan erottelu on hankalaa

Toinen harmaa alue koskee työtä ja vapaa-aikaa. EU:n yleinen tietoturva-asetus GDPR koskee yrityksiä, mutta ei yksityishenkilöitä.

Mistä kaikista tiedoista on siis vastuussa esimerkiksi yksinyrittäjä, joka käyttää samoja laitteita töissä ja vapaa-ajalla? Tai mikä on yrityksen vastuu tilanteessa, jossa työntekijä käyttää työlaitteita myös vapaa-aikanaan?

Halonen kannustaa yrityksiä kertomaan selvästi työntekijöille, mitä työhön tarkoitetuilla laitteilla saa tehdä.

Rajan vetäminen eri tilanteissa kerättyjen tietojen välille on joka tapauksessa vaikeaa.

Työn puolesta kerätyt asiakastiedot ovat selvästi suojattavaksi määriteltyjä tietoja, mutta niiden erottaminen siviiliasioihin liittyvistä henkilötiedoista voi olla lähes mahdotonta.

– Jos tulee kiista asiasta, niin kyllä se ainakin vaivaa teettää, että selvitetään, missä roolissa erilaiset tiedot on tallennettu. HÄSA

Tietoturvasääntely

Henkilötietojen turvallista käsittelyä edellyttävät monet säädökset.

Vuonna 2018 voimaan astunut EU:n yleinen tietosuoja-asetus GDPR koskee kaikkia henkilötietoja käsitteleviä organisaatioita.

Yleistä tietosuoja-asetusta sovelletaan, jos yritys käsittelee henkilötietoja ja sijaitsee EU:ssa, riippumatta siitä, missä itse henkilötietojen käsittely tapahtuu.

Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella.

Tietosuojavaltuutetun toimiston mukaan henkilötietoja ovat myös esimerkiksi puhelinnumero ja sähköpostiosoite, josta ilmenee henkilön nimi.

Henkilötietojen käsittelyssä on noudatettava tietosuoja-asetuksen vaatimuksia, kun käsittely on kokonaan tai osittain automaattista tai tiedot muokkaavat rekisterin osan.

Sähköpostin tai puhelimen puhelinluettelokin voidaan laskea rekisteriksi.

GDPR:n lisäksi julkisen hallinnon on lisäksi noudatettava tiedonhallintalakia ja viranomaisen julkisuuslakia. Monilla aloilla on myös tietojen suojaamista käsittelevää erityissääntelyä.

Päivän lehti

24.9.2020

Fingerpori

comic