Tietosuoja on ihmisoikeuskysymys

Kirjoittaja

Tietosuojasta tuli kertaheitolla valtakunnan ykkösuutinen ja pääpuheenaihe, kun julkisuuteen ryöpsähti psykoterapiakeskus Vastaamon asiakasrekisteriin tehty tietomurto. Tietosuoja on ihmisoikeuskysymys ja myös yritysvastuun ytimessä. Digiaika vaatii yrityksiltä erityistä huolellisuutta tietosuojan varmistamisessa.

Tietosuoja kuuluu yksityisyyden suojaan

Tietosuoja liittyy ihmisoikeutena turvattuun, meille kaikille kuuluvaan yksityisyyden suojaan. Yksityisyyden suojaa säännellään valtioita sitovissa kansainvälisissä ihmisoikeusnormeissa. Nämä Suomenkin hyväksymät normit on viety myös Suomen perustuslakiin, jossa on oma pykälä yksityiselämän suojasta (10 §)

Suomessa noudatettavaa tietosuojasääntelyä on tullut myös EU:sta. Tietosuojalailla on täsmennetty ja täytäntöönpantu keväällä 2018 voimaan tullutta EU:n tietosuoja-asetusta (GDPR), joka asetti uusia vaatimuksia kaikille henkilörekistereitä ylläpitäville tahoille. 

Yritykset ylläpitävät erilaisia henkilötietorekistereitä muun muassa työntekijöistään ja asiakkaistaan. Tietosuoja määrittelee pelisäännöt henkilötietojen käsittelylle – sille, mitä tietoja saa kerätä ja miten tietoja tulee säilyttää. Henkilötietojen suojaa täsmennetään eri laeissa, keskeisesti tietosuojalaissa. Arkaluonteisten tietojen, kuten terveystietojen, käsittelyssä vaaditaan erityistä huolellisuutta, mistä on erillistä  sääntelyäkin.  Vastaamo-tapaus koskee juuri tällaisia asiakastietoja. Tapaus on myös paljastanut aukkoja lainsäädännössä.

Tietosuoja kuuluu yrityksen ihmisoikeusvastuuseen

Tietosuoja on myös yritysvastuun ytimessä. Se kuuluu yrityksen sosiaalisen vastuun perustana olevaan ihmisoikeusvastuuseen.

Henkilötietoja käsittelevän yrityksen vastuu on varmistaa, että tietoja käsitellään asianmukaisesti ja tiedot tallennetaan turvallisesti. Erilaisin tietoturvatoimin varmistetaan tietoaineiston ja -järjestelmien suojaaminen esimerkiksi ulkopuolista hakkerointia vastaan. 

Jos yritys kerää ja säilyttää arkaluontoista, esimerkiksi ihmisten terveyteen liittyvää tietoa, yritysvastuuvaatimukset ovat normaalia kovemmat. Tällöin yritykseltä vaaditaan erityistä huolellisuutta (due diligence), käytännössä tietosuojan varmistamista vahvoin suojaustoimin. 

Koska aito vastuullisuus alkaa vasta siitä missä laki loppuu, vastuullinen yritys ei katso vain kansallisen lainsäädännön vaatimuksia, vaan virittää toimintansa niin, että se varmistaa ihmisoikeuksien kunnioittamisen.

Digitalisaatio luo uusia riskejä

Digitalisaatio kuuluu aikamme merkittäviin, yhteiskunnan toimintatapoja muokkaaviin megamuutoksiin. Suomi ajaa voimallisesti digitalisaatiota ja haluaa olla digitalisaatiossa maailman johtavia maita, missä se on onnistunutkin

Laajan digitalisoitumisen kääntöpuoli on suomalaisten toimijoiden altistuminen kyberhyökkäyksille ja tietomurroille. Digi- ja väestötietoviraston asiantuntija Kimmo Rousku totesi osuvasti tuoreessa Ylen haastattelussa, että “digitaalisen maailman suuronnettomuuksiin on varauduttu Suomessa heikommin kuin esimerkiksi luonnonilmiöihin”. 

Kun kyse on digituotteista ja varsinkin arkaluonteisiin tietoihin liittyvästä tietosuojasta, tarvitaan myös erityistä riskienhallintaa. Vastaamo-tapauksessa yritykseen kohdistuneet ja toteutuneet tietosuojaan liittyvät liiketoimintariskit kääntyivät salassa pidettävien asiakastietojen vuodettua yrityksen ulkopuolelle myös toteutuneiksi yritysvastuuriskeiksi. Tapaus toimii myös muistutuksena siitä, että yritysten tietoturvakysymyksiä on tarkasteltava laajasti sekä liiketoiminta- että yritysvastuuriskien näkökulmista.

Yritysjohtajien olisi viimeistään nyt syytä herätä tietosuojan merkitykseen ja tietoturvaan liittyviin haasteisiin, jotka voivat pahimmillaan olla uhka itse yritystoiminnalle. Huolimattomuuden ja vastuuttomuuden vuoksi menetetty luottamus on työläs, joskus mahdotonkin palauttaa. 

Uusi Ihmisoikeussitoumus alleviivaa tietosuojaa

Keskuskauppakamari julkaisi äskettäin rakentamamme Ihmisoikeussitoumuksen tukemaan yrityksiä ja muitakin toimijoita niiden ihmisoikeusvastuutyössä. Sitoumus on kansainvälisestikin ainutlaatuinen työkalu, ja se on tehty suomalaiset  lähtökohdat huomioiden. Nostimme sitoumukseen kahdeksan mielestämme erityisen relevanttia ihmisoikeusteemaa, joiden avulla organisaatiot voivat arvioida ja kehittää ihmisoikeusvastuutaan. Yksi näistä teemoista on tietosuoja. Vastaamo-tapaus osoittaa miksi kyseinen teema kuuluu tälle listalle.

Merja & Hanna

Jaa artikkeli

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *