TIETOSUOJAOPAS 27 tai palveluissa tapahtuva henkilötietojen käsittely (ulkoistukset, ostopalvelut, SaaS-palvelut). Myös varmuuskopioinnin prosessit tulee käydä läpi, jotta henkilötietoa ei säilytetä niissä pidempään kuin on määritelty. Jos taas esimerkiksi jokin muu sääntely velvoittaa säilyttämään henkilötietoja pidempään, käsittely on rajattava minimitarpeen mukaisesti. Kun henkilötietojen käsittely- tai säilytysaika on umpeutunut, tiedot tulee anonymisoida tai poistaa lopullisesti. 7.3 Tietoturva Rekisterinpitäjän ja henkilötietojen käsittelijän on suojattava henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Tällöin tulee ottaa huomioon uusin tekniikka, aiheutuvat kustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilön oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla henkilötietojen käsittely on turvattu. Henkilötiedot tulee suojata asianmukaisesti koko niiden elinkaaren ajan (mm. tallennus, käsittely, siirto ja poisto). Tietosuoja-asetus listaa tällaisina teknisinä tai organisatorisina toimenpiteinä seuraavat: • henkilötietojen pseudonymisointi ja salaus, • kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus, • kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa, • menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Lisäksi henkilötietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa. Tietoturvallisuuden hallintaan on olemassa lukuisia malleja, joita voidaan käyttää. Tällaisia ovat esimerkiksi kansainvälisesti tunnetut standardit ISO/IEC 27001 ja ISO/EIC 27018. 7.4 Ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta Tietoturvaloukkaus voi tapahtua, kun yrityksen työntekijältä varastetaan tietokone, usb-muistitikku katoaa tai yrityksen tietojärjestelmiin tapahtuu tietomurto. Tällöin henkilötietoja voi joutua vääriin käsiin. Tietosuoja-asetus asettaa vaatimuksia rekisterinpitäjälle ja henkilötietojen käsittelijälle sen suhteen, miten henkilötietoihin kohdistuvasta tietoturvaloukkauksesta ilmoitetaan. Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta tietosuojaviranomaiselle ja tietyissä tilanteissa myös rekisteröidyille. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle ilman aiheetonta viivytystä havaittuaan, että henkilötiedot ovat joutuneet tietoturvaloukkauksen kohteeksi.
RkJQdWJsaXNoZXIy Mjk0MTY=