Page 56 - MRKTNG 1 2021
P. 56

Pelisäännöt

                                                                       ASIANAJAJA Pauli Sortti
                                                                       toimii Asianajotoimisto
                                                                       Roihu Oy:ssä osakkaana ja
                                                                       neuvoo myös Marketing
                                                                       Finlandin jäseniä mm. liike­
                                                                       juridiikan, markkinointi­
                                                                       oikeuden sekä tietosuojaan
                                                                       liittyvissä kysymyksissä.

           Case Vastaamo ja tietosuojan merkitys

           SUOMESSA tietosuojaan ja tietoturvaan liittyviä isom-       lenkki on usein tuolin ja etätyöpisteen välissä. Kun yri-
           pia oikeustapauksia on ollut viranomaisten käsitte-         tyksen henkilötietojen käsittely ei ole laajamittaista ja
           lyssä ja sanktioiden kohteena vähän, kun vertaillaan        varsinaiselle nimetylle tietosuojavastaavalle ei ole lais-
           sakkojen määrää ja suuruutta muuhun Eurooppaan.             sa mainittua tarvetta, on yrityksellä hieman pienempi
           Laitteisiin ja tietokoneohjelmistoihin liittyvä tietotur-   taakka tietosuojavelvoitteiden noudattamisessa.
           va kulkee käsi kädessä organisaation noudattaman
           tietosuojapolitiikan sekä määrittelyjen kanssa.                Kehotan jokaista yritystä tarkistamaan osalta aina-
                                                                       kin seuraavat seikat: 1) Mallinna ”kartan” avulla, mis-
           VASTAAMON tapaus toi Suomessa tietosuojan merki-            sä henkilötietoja liikkuu 2) Onko yrityksellä tietosuo-
           tyksen viimein tapetille. Julkisuuteen saatujen tieto-      jaseloste, ja onko henkilötietojen luovuttamisesta so-
           jen perusteella Vastaamo oli laiminlyönyt vastuunsa         vittu kirjallisella sopimuksella GDPR Artikla 28 mu-
           järjestää potilastietojen suojaamisen asianmukaisella       kaisesti sekä 3) Kuinka kauan tietoja säilytetään ja mi-
           tavalla, ja menettely on ilmeisest ollut pitkäkestoista     ten tietoturvallisuudesta on huolehdittu?
           sekä huolimatonta. Lisäksi on käynyt ilmi, että asiak-
           kaiden henkilötietoja oli mitä ilmeisimmin talletettu          Yleensä jo henkilötietojen käsittelyä koskevan so-
           tietosuojasäännösten vastaisesti, eikä organisaatiossa      pimuksen tekeminen saa organisaatiossa aikaan sen,
           ollut toteutettu 2-vaiheista tunnistautumista tai poti-     että sisäisesti mietitään, kuinka kauan tietoja säilyte-
           lastietoverkon erillisyyttä riittävällä tasolla.            tään, miten tieto suojataan ja mitä tietoja sopimuksen
                                                                       perusteella liikutetaan rekisterinpitäjältä käsittelijälle.
              Liiketaloudellisena lopputuloksena oli Vastaamon
           julistaminen konkurssiin 15.2.2021, vain muutamia           EU:N tietosuoja-asetuksen (GDPR) valvonta on jäänyt
           kuukausia tietomurron julkitulon jälkeen. Asiantunti-       Suomessa muuta Eurooppaa vähemmälle, ja esille on
           jaorganisaatiolle luottamus on kaikki kaikessa ja Vas-      tuotu Tietosuojavaltuutetun toimiston resurssipula,
           taamon osalta luottamus oli menetetty sekä liiketoi-        joka on aiheuttanut käsittelyaikojen venymistä ja tie-
           mintamahdollisuudet mitä ilmeisimmin hyvin heikot.          tosuoja-asoiden käsittelyn tehottomuutta. Käsitykseni
                                                                       on, että Tietosuojavaltuutetun toimisto ei pysty toimi-
              Hyvällä tietoturvalla ja osaavalla henkilöstöllä on      maan odotetulla tavalla. Tehottomuus heikentää luot-
           liiketoiminnan kannalta suuri merkitys. Vastaamon           tamusta viranomaiseen ja vääristää tilannetta niiden
           tapauksessa on ilmeistä, että yhtiön sisällä ei löytynyt    hyväksi, jotka eivät ole hoitaneet tietosuojaan liittyviä
           tietosuojaan liittyvää osaamista, eikä yhtiö ollut pa-      velvoitteitaan. Olen myös huomannut, että pk-sekto-
           nostanut asianmukaisesti luottamuksellisten tietojen        ri ja koko yrityskenttä on jätetty viranomaisnäkökul-
           suojaamiseen. On selvää, että myöskään ulkopuolisen         masta neuvonnan sekä yhteistyön ulkopuolelle.
           asiantuntijan tekemiä tarkastuksia ei ole tehty riittä-
           vällä tasolla. Väitän, että normaalitason auditointi olisi     Vastaamon case toi esiin, että viranomaisvalvontaa
           liputtanut Vastaamon tekemiä virheitä ja huolimatto-        ja neuvontaa tarvitaan myös yrityksille, eikä niitä pi-
           muuksia ja saattanut estää kymmenientuhansien ih-           dä jättää tietosuojaneuvontapalveluiden ulkopuolelle
           misten terveystietojen joutumisen pimeän verkon puo-        sen takia, että yhtiömuoto on osakeyhtiö. Toivon et-
           lelle ja väärien tahojen käsiin. Tämä on tietenkin yk-      tä uuden tietosuojavaltuutettu Anu Taluksen myötä
           sittäisen ihmisen ja potilaan osalta todella traagista.     Tietosuojavaltuutetun toimisto alkaa tehdä tiiviimpää
                                                                       yhteistyötä yrityskentän kanssa ja yrityksille saadaan
              Yritykselle luottamuksellisen tiedon käsittelyn          matalan kynnyksen neuvontaa tietosuoja-asioihin liit-
           turvaaminen on välttämätöntä. Tällä hetkellä erilais-       tyen. Tämä on koko kentän etu ja parantaa yritystem-
           ten kalasteluyritysten johdosta organisaation heikoin
                                                                       •me turvallisuutta sekä kilpailukykyä.

56 MRKTNG
   51   52   53   54   55   56   57   58   59   60   61