EU:n tietosuoja-asetus lyhyesti
EU:n uusi tietosuoja-asetus (GDPR eli General Data Protection Regulation) astuu voimaan 25.5.2018. Uusi asetus muuttaa vanhan tietosuojalain sisällön vastaamaan paremmin muuttuvan globaalin markkinatalouden vaatimuksia.
Uudistuksen tarkoituksena on parantaa yksilön oikeuksia omien henkilötietojensa käsittelyyn liittyvissä asioissa. Samassa yhteydessä yhtenäistetään EU:n alueen lainsäädäntöä henkilötietoja koskien. EU:n alueen valtioiden oma kansallinen lainsäädäntö kuitenkin säilyy, mutta se tulee muuttaa vastaamaan uutta GDPR:n mukaista määräystä.
Uusi asetus tuo mukanaan uusia velvoitteita rekisteriä ylläpitäville tahoille kuten yrityksille. Laki muun muassa velvoittaa ilmoittamaan vakavista tietoturvaloukkauksista 72 tunnin kuluessa toimivaltaiselle valvontaviranomaiselle.
GDPR:n yhteydessä puhutaan pääsääntöisesti rekisteröidystä, rekisterinpitäjistä ja käsittelijöistä. Rekisteröity on se, jonka tiedot löytyvät rekisterinpitäjän rekisteristä. Käsittelijä taasen suorittaa toimenpiteitä rekisterinpitäjän lukuun heidän antaman ohjeistuksen mukaisesti.
Tarkempaa tietoa uudistuksesta löytyy esimerkiksi Tietosuojavaltuutetun toimiston sivuilta osoitteesta http://tietosuoja.fi/fi/index/euntietosuojauudistus.html
Louhi ja GDPR
Louhi aloitti GDPR:ää koskevat valmistelut omassa toiminnassaan noin pari vuotta sitten. Koko tämän ajan yrityksen tietoturvaa ja asiakkaidemme tietosuojaa on kehitetty eteenpäin, ja yhtenä suurena projektina on ollut GDPR:n mukaisten toimenpiteiden kehittäminen ja käyttöönotto yrityksessä. GDPR:n osalta teimme muun muassa kartoituksen mitä rekistereitä meillä on käytössämme. Yhtenä selkeänä kehityskohteena havaitsimme rekisteriselosteen päivittämisen GDPR:n mukaiseksi.
Louhen ollessa rekisterinpitäjä omalle asiakasrekisterille, olemme kehittäneet henkilötietojen käsittelytoimintaa tämän osalta. Osana tätä työtä, tulemme julkaisemaan uuden asiakashallintaliittymän vielä tämän vuoden aikana.
Louhen palveluista suurin osa tuotetaan EU/ETA-alueella. Esimerkiksi webhotellipalvelimet sijaitsevat Suomessa. Kansainvälisemmistä palveluista, kuten esimerkiksi Office365-palveluista tuotetaan muut palvelut EU:n sisällä paitsi Yammer ja Sway, jotka tuotetaan Yhdysvalloissa. Verkkotunnusten osalta verkkotunnusten omistajan tiedot menevät kansainvälisen rekisteritahon (ICANN) tietoihin paitsi .fi-verkkotunnuksien tapauksessa, jossa tiedot menevät Viestintäviraston rekisteriin lakisääteisesti. Tämän lisäksi verkkotunnusten kansallisissa päätteissä, kuten esimerkiksi .ru-verkkotunnukset (Venäjä), WHOIS-tiedot saattavat mennä EU/ETA-alueen ulkopuolelle.
Tuoteryhmäkohtaiset tiedot missä maassa palvelu tuotetaan ja data säilytetään:
| Tuoteryhmä | EU/ETA-alue vai sen ulkopuolella |
| Verkkotunnukset | Osittain EU/ETA-alueen ulkopuolella (pl. .fi-verkkotunnukset |
| SSL-sertifikaatit | Osittain EU/ETA-alueen ulkopuolella |
| Office365 | Pääsääntöisesti EU/ETA-alueella (pl. Yammer ja Sway) |
| Google g-suite | Pääsääntöisesti EU/ETA-alueella (muissa tapauksissa käytetään EU:n hyväksymiä vakiosopimuslausekkeita tai muita EU:n komission hyväksymiä siirtomenettelyitä) |
| Louhi Exchange | EU:n sisällä |
| Louhi Kuriiri | EU:n sisällä |
| Wordfence Premium | Käyttää EU:n hyväksymiä vakiosopimuslausekkeita tai muita EU:n komission hyväksymiä siirtomenettelyitä |
| Nexetic Shield | EU:n sisällä |
| F-Secure PSB | EU:n sisällä |
| Webhotellit | EU:n sisällä (Suomessa) |
| Virtuaalipalvelimet ja Pilvipalvelimet | EU:n sisällä |
Louhen webhotellipalvelut tuotetaan korkean saatavuuden laitesalissa, jossa verkkoyhteydet on kahdennettu, ja palvelut on L2-eriytetty palomuurissa. Webhotellipalveluiden lisäksi myös virtuaalipalvelimet sijaitsevat samassa laitesalissa. Webhotellipalveluissa on awstats-tilastointi, joka tallentaa tiedon sivustolla vierailleista kävijöistä. Tässä yhteydessä näkyy tarkempaa tietoa mm. IP-osoitteista.
Tietojärjestelmien pääsyoikeudet on rajattu ja pääsyoikeuksien hallinnointi on dokumentoitu tarkemmin yrityksen sisäisessä tietoturvaohjeistuksessa.
Louhi hankkii osan palveluista, kuten ylläpitopalveluita, alihankkijoilta. Näiden osalta olemme sopineet tietojen käsittelystä aina alihankkijakohtaisesti erillisillä sopimuksilla, joissa olemme muun muassa määritelleet tietojen käsittelyä koskevat rajoitukset ja salassapitovelvollisuudet. Ennen GDPR:n voimaantuloa olemme myös varmistaneet kaikkien alihankkijoidemme osalta, että heillä toimitaan GDPR:n velvoitteiden mukaisesti.
Asiakkaiden omat rekisterit
Asiakkaalla saattaa olla omia rekistereitä, joita säilytetään Louhen toimittamissa palveluissa. Näiden osalta rekisterinpitäjänä toimii asiakas itse, ja vastuut sen osalta kuuluvat asiakkaalle. Asiakkaan on huolehdittava siitä, että rekisterinpitäjänä täyttää GDPR:n mukaiset vastuut ja velvollisuudet muun muassa rekisteröityjen oikeuksien suhteen. Mahdollisissa rekisteriin kohdistuvissa tietomurtotapauksissa on rekisterinpitäjällä velvoite ilmoittaa toimivaltaiselle valvovalle viranomaiselle rekisteriin kohdistuneesta tietomurrosta 72 tunnin kuluessa siitä kun murto on havaittu (kts. http://www.privacy-regulation.eu/fi/33.htm). Myös rekisteröidyille tulee ilmoittaa tietomurrosta viipymättä.
Louhi sitoutuu omassa käsittelytoiminnassaan, joissa kyseessä on Asiakkaan mahdollinen oma rekisteri, GDPR-asetuksen mukaisiin määräyksiin ja asetuksiin. Louhi ei kuitenkaan takaa tiedon säilymistä palvelussa. Tästä johtuen asiakkaan vastuulla on ottaa varmuuskopiot omista palvelussa käytössä olevista tiedostoista kuten asiakkaan omasta rekisteristä. Varmuuskopiointi on syytä suorittaa tietyin väliajoin ettei tärkeitä tietoja pääse häviämään.
Päivitys: Louhen yleisiin sopimusehtoihin on julkaistu sopimusliite henkilötietojen käsittelystä, kun Louhi toimii tietojen käsittelijänä: https://www.louhi.fi/yritys/sopimusehdot/henkilotietojen-kasittelysopimus/