Tulostusversio

2/2012

Laatua tietojärjestelmiin: Standardi on direktiivin linjoilla

Teksti: Frank Dawson ja Antti Saari

Ensimmäinen pelkkään tietosuojaan keskittyvä standardi heijastelee EU-direktiivien linjauksia.

Kansainvälinen standardisoimisjärjestö ISO julkaisi viime vuoden lopulla ensimmäisen pelkkään yksityisyydensuojaan (engl. privacy) keskittyvän standardinsa ISO/IEC 29100. Se on tarkoitettu tukemaan henkilötietoja sisältävien tietojärjestelmien suunnittelua, toteutusta, käyttöä ja ylläpitoa yksityisyyttä suojaavalla tavalla. Ajatuksena on myös rohkaista organisaatioita kehittämään tietojärjestelmiinsä uusia yksityisyyttä suojaavia ratkaisuja.

Nykyisten tietoturvastandardien tukena toimiva tietosuojastandardi antaa tieto- ja viestintäteknologian toimijoille kansainvälisen standardimallin yksityisyydestä. Standardi onkin laadittu ajatellen erityisesti tekniikan ammattilaisia.

Tunnistettava henkilötieto voidaan yhdistää yksilöön

Uusi standardi määrittelee yksityisyydensuojan yleisen terminologian, mallin ja periaatteet. Siinä on myös yleiskatsaus yksityisyyden suojaamisen vaatimuksiin.

Yksityisyyttä ei määritellä suoraan, vaan asiaa lähestytään standardissa käsittelemällä osa-alueita, jotka ovat tärkeitä käsiteltäessä henkilötietoja tietojärjestelmissä. Henkilötiedolla tarkoitetaan mitä tahansa ihmistä kuvaavaa tietoa. Kun tämä tieto voidaan yhdistää tiettyyn yksilöön, puhutaan tunnistettavasta henkilötiedosta.

Arkaluonteinen tunnistettava henkilötieto on erityisen intiimiä tai muuten erityisen tärkeää henkilölle, jota se koskee, eli tunnistettavien henkilötietojen lähteelle. Arkaluonteisiksi henkilötiedoiksi lasketaan esimerkiksi terveyteen, etniseen alkuperään, uskontoon, poliittisiin näkemyksiin tai seksuaaliseen suuntautumiseen liittyvät tiedot.

Kuluttaja, hallinnoija ja käsittelijä

Yksityisyydensuojan malli kuvataan standardissa henkilötietojen käsittelyn eri toimijoiden näkökulmista.

Kuluttaja on mallissa tunnistettavien henkilötietojen lähde. Vastuu kuluttajaa koskevista henkilötiedoista on tunnistettavien henkilötietojen hallinnoijalla, esimerkiksi sosiaalisen median palvelun ylläpitäjällä.

Tunnistettavien henkilötietojen hallinnoija määrittelee, millaista henkilötietoa kuluttajasta kerätään, käytetään, annetaan kolmansille osapuolille tai muuten käsitellään. Hallinnoija voi käyttää apunaan tunnistettavien henkilötietojen käsittelijää, joka kuvataan mallissa erillisenä toimijana. Silloinkin vastuu henkilötiedoista säilyy hallinnoijalla.

Standardi määrittelee yleisellä tasolla, millaisia vaatimuksia eri tahoilla voi olla tunnistettavien henkilötietojen käsittelystä. Vaatimuksia asettavat lait ja säädökset, sopimukset, liiketoiminnan intressit sekä muut tahot. Liiketoiminnan intressit voivat olla peräisin esimerkiksi toimialan käytännöistä ja standardeista tai liittyä suoraan liiketoimintamallin. Muihin tahoihin kuuluvat esimerkiksi kuluttajien mielipiteet omien henkilötietojensa käytöstä.

Tekniikkaneutraali standardi

Tietosuojastandardin periaatteet pohjautuvat viimeisten 30 vuoden aikana kehitettyihin yksityisyydensuojan malleihin, esimerkiksi OECD:n ohjeisiin, Yhdysvaltain liittovaltion kauppakomission FTC:n sääntöihin (Fair Information Practice Principles) sekä EU:n henkilötietodirektiiviin.

EU-maiden tietosuojavaltuutetut olivat standardin luoneen työryhmän asiantuntijoiden joukossa vahvasti edustettuina. Täten standardi heijastelee samanlaisia näkemyksiä kuin EU-direktiivitkin. Ehkä juuri siksi standardi myös pysyttelee käsitteellisellä tasolla eikä määrittele tai vaadi mitään tiettyä teknistä toteutusta.

EU kuuluu näkyvimpiin tietosuojatoimijoihin, ja EU:n henkilötietodirektiiviä käytetään myös latinalaisessa Amerikassa, Aasiassa ja Afrikassa. Standardin yhtenä tarkoituksena on tarjota EU:n ulkopuolisille toimijoille kansainvälinen standardi, johon tukeutua tarvitsematta sotkeentua EU-lainsäädännön tai muiden alueellisten säädösten kiemuroihin.

---

[KIRJOITTAJAT]

Frank Dawson on Nokian yksityisyydensuojan standardeista vastaavan yksikön johtaja. Antti Saari on IT-standardisoinnin asiantuntija Suomen Standardisoimisliitossa.

Lue myös

Laatua tietojärjestelmiin: Tietotilinpäätös tueksi »
Laatua tietojärjestelmiin: "Ei raporttia raportoinnin vuoksi" »
Laatua tietojärjestelmiin: Arviointi lisää turvaa »
Laatua tietojärjestelmiin: Yhteentoimivuus parantaa laatua »
Laatua tietojärjestelmiin: Standardi pähkinänkuoressa »
Laatua tietojärjestelmiin: Uudistus lisää yhteistyötä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.