EU:n uusi yleinen tietosuoja-asetus ja pilvipalveluihin liittyvien haasteiden hallinta

Transkriptio

1 EU:n uusi yleinen tietosuoja-asetus ja pilvipalveluihin liittyvien haasteiden hallinta

2 Johdanto Euroopan unionin tietosuojalainsäädäntö velvoittaa organisaatiot toteuttamaan riittävät toimenpiteet henkilötietojen suojaamiseksi. Velvoitetta on noudatettava riippumatta henkilötietojen käsittelykeinoista. Tietosuojavelvollisuus koskee paitsi yritysten tietojärjestelmiä, myös henkilötietojen käsittelyssä käytettäviä pilvipalveluita. Velvollisuus ilmoittaa tietoturvaloukkauksista, ankarat sakot, jotka voivat olla 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi, sekä organisaatioiden harjoittaman henkilötietojen käytön ja suojan tiukempi julkinen valvonta pakottavat organisaatiot panostamaan henkilötietojen suojaan. Yksi Euroopan unionin uuden yleisen tietosuoja-asetuksen (jäljempänä "tietosuoja-asetus" tai "asetus") pääperiaatteista on tilivelvollisuuden periaate, jonka nojalla organisaatioiden on osoitettava, että ne noudattavat asetusta ja että ne ovat toteuttaneet asianmukaiset toimenpiteet noudattamisen varmistamiseksi. Kun tähän lisätään vielä uusi oikeus "tulla unohdetuksi" sekä uudet sisäänrakennetun tietosuojan 1 ja oletusarvoisen tietosuojan 2 periaatteet, on selvää, että asetuksen noudattamisen hallinta tulee olemaan haastavaa. Hallitsemattomien pilvipalveluiden aiheuttama vaatimustenmukaisuuden ongelma Yksi vähiten tiedostetuista haasteista, joita tietosuoja-asetus organisaatioille aiheuttaa, on se, että monet tai jopa useimmat henkilötiedot, joista organisaatio on lain mukaan vastuussa, käsitellään strukturoimattomasti. Tietoja ei käsitellä ennalta määritetyissä yritysten tietojärjestelmissä eikä ennalta hyväksytyissä pilvipalveluissa, jotka ovat organisaation tietoturvakäytäntöjen ja lakisääteisten velvoitteiden mukaisia, jotka noudattavat tietojen minimoinnin periaatetta ja tietojen laadun periaatetta ja jotka varmuuskopioidaan, paikataan ja tarkistetaan säännöllisesti osana organisaation hallintaketjua. Tilannetta pahentaa se, että strukturoimattomia henkilötietoja luovat käyttäjät usein ilman valvontaa tuottavuustai yhteisösovelluksien avulla. Tiedot tallennetaan mobiililaitteille ja niitä jaetaan muiden kanssa hyödyntäen vahvistamattomia sovelluksia ja pilvitallennussijainteja, jotka ovat organisaation suoran valvonnan ulkopuolella. Omien laitteiden käyttöä suosiva BYOD (Bring Your Own Device) -trendi vaikeuttaa tilannetta entisestään. Tietosuoja-asetuksen nojalla organisaatiolla on tästä huolimatta lakisääteinen velvollisuus suojata strukturoimattomat tiedot häviämiseltä, muuttamiselta ja luvattomalta käsittelyltä, vaikka työntekijät käyttäisivät pilvipalveluita, joita organisaatio ei ole etukäteen hyväksynyt tai tarkistanut (vahvistanut). Velvollisuuden täyttäminen edellyttää, että organisaatio tietää mitä henkilötietoja käyttäjät pilvipalveluissa käsittelevät, tietää mitä pilvisovelluksia organisaation työntekijät käyttävät, estää henkilötietojen tallentamisen tai käsittelemisen hallitsemattomissa pilvipalveluissa ja suojaa pilvipalveluihin tallennetut tai niissä käsitellyt henkilötiedot. Luvattomien pilvipalveluiden hallitsemisen laiminlyönti voi aiheuttaa organisaatiolle vakavia riskejä sekä juridiselta kannalta että liiketoiminnan jatkuvuuden ja maineen kannalta. Tietohallintojohtajien on siis paneuduttava tähän ongelmaan ja toteutettava toimenpiteitä, joilla tällaiset pilvipalvelut saadaan organisaation näkyville ja hallintaan. 1. Sisäänrakennettu tietosuoja tarkoittaa, että henkilötietojen suojaaminen on huomioitava jokaisessa uudessa palvelussa tai liiketoimintaprosessissa, jossa henkilötietoja hyödynnetään. Organisaation on voitava osoittaa toteuttaneensa riittävät tietoturvatoimet ja valvovansa asetuksen noudattamista. Käytännössä tämä tarkoittaa, että tietotekniikkaosaston on huomioitava tietosuoja ja yksityisyys järjestelmä- tai prosessikehityksen kaikissa vaiheissa. 2. Oletusarvoinen tietosuoja tarkoittaa, että asiakkaan hankkiessa uuden tuotteen tai palvelun, sen tietosuoja-asetukset on säädetty mahdollisimman tiukoiksi. Toisin sanoen käyttäjän ei pitäisi joutua muuttamaan yksityisyysasetuksia manuaalisesti. 1

3 HELPPOA Kyky hallita vaatimustenmukaisuutta VAIKEAA Henkilökohtaiset ja vahvistamattomat sovellukset Hallitut sovellukset (räätälöidyt) Yrityksen vahvistama pilvi Yhteistyösovellukset Viestintäsovellukset Paikalliset sisällönluontisovellukset Tietoturvaloukkauksia aiheuttavat toiminnot: Kopioi Tallenna sijaintiin Vie sijaintiin Jaa Avaa sovelluksessa Yleinen tietosuoja-asetus Euroopan unionin (EU) lainsäädännön nojalla henkilötietoja voidaan kerätä lainmukaisesti vain tietyin edellytyksin ja laillista tarkoitusta varten. Henkilötietoja keräävien ja hallitsevien henkilöiden ja organisaatioiden on suojattava tiedot väärinkäytöltä ja kunnioitettava EU-lainsäädännössä säädettyjä rekisteröityjen oikeuksia. Aiempi tietosuojadirektiivi (95/46/EY) johti kansallisten tietosuojalainsäädäntöjen kirjavuuteen, mikä loi esteitä EU:n digitaalisille sisämarkkinoille. Se ei myöskään riittävällä tavalla vastannut tietotekniikan viimeaikaisen kehityksen haasteisiin, kuten pilvipalvelujen ja sosiaalisen median hyödyntämiseen. Tietojen keruu oli lisääntynyt räjähdysmäisesti, ja EU:n kansalaisten henkilötietoja kerättiin usein ilman heidän suostumustaan. EU:n uuden tietosuoja-asetuksen päätavoitteena on suojella kansalaisten henkilötietoja, lisätä henkilötietoja käsittelevien organisaatioiden vastuita ja velvollisuuksia sekä yksinkertaistaa sääntely-ympäristöä liike-elämän helpottamiseksi. Tietosuoja-asetuksella yhdenmukaistetaan tietosuojalainsäädäntö kaikkialla EU:n sisämarkkinoiden alueella. Tultuaan voimaan asetus menee kaikkien kansallisten tietosuojalakien edelle, vaikka kansalliset säännökset olisivat tiukempia. Jäsenvaltioiden on lisäksi yhdenmukaistettava kaikki alakohtainen tietosuojasäännöksiä sisältävä lainsäädäntö asetuksen kanssa. 2

4 Mitä ovat henkilötiedot? Henkilötiedoilla tarkoitetaan kaikkia yksilöä koskevia tietoja, koskivat ne sitten yksityistä, ammatillista tai julkista elämää. Henkilötietoja ovat esimerkiksi nimi, valokuva, sähköpostiosoite, pankkitiedot, internetin yhteisöpalveluissa julkaistut päivitykset, terveydentilaa koskevat tiedot, työmenestys, tilaukset, ostokset, verotunniste, koulutus tai pätevyys, sijainti, käyttäjätunnus ja salasana, harrastukset, tavat, elämäntapa sekä tietokoneen IP osoite. Tietosuoja-asetusta sovelletaan, kun henkilö voidaan tunnistaa henkilötiedoista suoraan tai epäsuorasti tai kun henkilö voidaan tunnistaa niiden perusteella ryhmästä. Arkaluonteiset tiedot SÄHKÖPOSTI PANKKITILI NIMI TAVAT Tietosuoja-asetuksessa ei erotella erityyppisiä henkilötietoja niiden arkaluonteisuuden perusteella, mutta on selvää, että jotkin henkilötiedot ovat luonteeltaan arkaluonteisempia kuin toiset. Ensinnäkin tietosuoja-asetuksessa korostetaan useaan otteeseen lasten henkilötietojen suojelemisen erityistä tärkeyttä. "Huolellisuusvelvollisuus" voidaan liittää myös muihin haavoittuvassa asemassa oleviin henkilöryhmiin, kuten ikääntyneisiin. Toiseksi tietojenkäsittely, joka aiheuttaa (suuria) riskejä yksilöiden oikeuksille ja vapauksille, katsotaan erittäin arkaluonteiseksi, minkä vuoksi se edellyttää tietosuojaa koskevien vaikutusarviointien tekemistä ennen käsittelyä sekä tietoturvaloukkauksista ilmoittamista valvontaviranomaisille ja yksilöille. Tietosuoja-asetuksessa ei valitettavasti eritellä, mitkä henkilötiedot voidaan luokitella "arkaluonteisiksi". Tietoturvaloukkauksista ilmoittamista ja tietojen luokittelua tietoturva-asioissa koskevien valvontaviranomaisten suuntaviivojen perusteella seuraavat henkilötietotyypit on kuitenkin syytä katsoa erityisen arkaluonteisiksi: erityiset tietoryhmät (ks. seuraava kappale), tiedot, jotka koskevat yksilön taloudellista tilannetta, tiedot, jotka voivat johtaa yksilön leimautumiseen tai syrjintään, käyttäjänimet, salasanat ja muut käyttäjätunnukset, tiedot, jotka kuuluvat lakisääteisen tai ammatillisen salassapitovelvollisuuden piiriin ja tiedot, joita voidaan väärinkäyttää henkilötietopetoksessa. Erityiset tietoryhmät Tietosuoja-asetuksessa monien henkilötietojen katsotaan kuuluvan "erityisiin tietoryhmiin". Tällaisten tietojen käsitteleminen on kielletty tietosuoja-asetuksella tiukasti lukuun ottamatta joitain asetuksessa säädettyjä poikkeuksia, kuten tarkkaan rajattuja käyttötapauksia (esimerkiksi työoikeutta), tiettyjä rekisterinpitäjiä (esimerkiksi voittoa tavoittelemattomia järjestöjä) tai yksilön annettua nimenomaisen suostumuksensa. Erityisiin tietoryhmiin kuuluvat tiedot, joista käy ilmi yksilön rodullinen tai etninen alkuperä (evvsimerkiksi valokuvat), tiedot, joista käyvät ilmi poliittiset mielipiteet, tiedot, joista käy ilmi uskonnollinen tai filosofinen vakaumus, tiedot, joista käy ilmi ammattiliiton jäsenyys, geneettiset tiedot, biometriset tiedot, terveydentilaa koskevat tiedot, sukupuolielämää, kuten sukupuolista suuntautumista, koskevat tiedot, rikollista tekoa, rangaistusta tai muuta turvallisuustoimenpidettä koskevat tiedot. 3

5 Eurooppalainen oikeus tietosuojaan EU:n perusoikeuskirjan mukaan jokaisella on oikeus henkilötietojen suojaan kaikilla elämän alueilla: kotona, työssä, ostoksilla, sairaanhoidonpalveluissa, viranomaisasioissa ja internetissä. Oikeus ei koske vain EU:n kansalaisia, vaan kaikkia maailman ihmisiä. Tämä tarkoittaa, että EU odottaa viranomaisten ja yritysten ympäri maailmaa suojelevan EU:n kansalaisten henkilötietoja mutta myös EU:n jäsenvaltioiden viranomaisten ja yritysten suojelevan jokaisen yksilön henkilötietoja, riippumatta siitä, onko yksilö EU:n kansalainen vai ei. Tietosuoja-asetuksen soveltaminen ei siis rajoitu vain EU:n rajojen sisälle. Tietosuoja-asetusta sovelletaan EU:n viranomaisiin ja yrityksiin riippumatta siitä, käsittelevätkö ne EU:n kansalaisten henkilötietoja vai ei, sekä EU:n ulkopuolisiin yrityksiin, jotka tarjoavat palveluita EU:n kuluttajille tai valvovat EU:n kansalaisten käyttäytymistä. Tietosuojaan liittyvät roolit, oikeudet ja velvollisuudet EU:n tietosuojalainsäädännössä erotellaan neljä tietosuojaan liittyvää roolia, joista jokainen sisältää tietosuoja-asetuksen nojalla omat velvollisuutensa ja oikeutensa. Rekisterinpitäjä on luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten tahojen kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän rooli perustuu yleensä organisaation toiminnallisen suhteeseen yksilön kanssa. Toisin sanoen yritys on myyntitoiminnassa käsittelemiensä asiakastietojen rekisterinpitäjä ja työnantaja on sellaisten työntekijöiden tietojen rekisterinpitäjä, joita se käsittelee työsuhteeseen liittyen. Joissain tapauksissa rekisterinpitäjän rooli perustuu lainsäädäntöön tai organisaation virallisiin tehtäviin. Esimerkiksi veroviranomainen on rekisterinpitäjä käsittelemilleen verotukseen liittyville kansalaisten taloudellisille tiedoille. Kolmanneksi rekisterinpitäjän rooli voi perustua organisaation tosiasialliseen määräysvaltaan tietojenkäsittelyssä. Esimerkiksi henkilötietoja varastanut taho katsotaan varastettujen tietojen rekisterinpitäjäksi (eikä sillä ole riittävää oikeusperustaa käsittelyyn, mikä tekee käsittelystä laitonta). Samantapaisessa tilanteessa on myös organisaation pääkonttori, joka vaatii tytäryhtiöitä käsittelemään tietonsa käyttäen tiettyä pilvisovellusta. Rekisterinpitäjän on noudatettava tietosuoja-asetuksessa säädettyjä velvollisuuksia, joita ovat muun muassa: velvollisuus omata riittävä oikeusperusta henkilötietojen käsittelyyn (esimerkiksi suostumus, sopimus, lakisääteinen velvollisuus tai oikeutettu etu, joka syrjäyttää rekisteröidyn perusoikeudet ja -vapaudet ja edut), velvollisuus kerätä henkilötietoja vain tiettyä nimenomaista ja laillista tarkoitusta varten (käsittelytarkoituksen rajoittaminen), velvollisuus rajoittaa henkilötietojen käsittely ja säilyttäminen edellä mainittuihin tarkoituksiin (tietojen minimointi), velvollisuus käyttää tietoja vain sellaisiin toissijaisiin tarkoituksiin, jotka ovat yhteensopivia sen tarkoituksen kanssa, johon tiedot kerättiin (käytön rajoittaminen), velvollisuus huolehtia, että tiedot ovat täsmällisiä, päivitettyjä ja tarpeellisia (tietojen laatu), velvollisuus toteuttaa riittävät toimenpiteet tietojen suojaamiseksi (tietoturva), 4

6 velvollisuus huolehtia, että henkilötiedot käsitellään sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteiden mukaisesti, velvollisuus ilmoittaa valvontaviranomaisille ja rekisteröidyille tietoturvaloukkauksista, velvollisuus osoittaa noudattavansa tietosuoja-asetusta (asiakirjat) ja velvollisuus estää henkilötietojen siirtäminen vastaanottajille maihin, joissa ei taata tietosuoja-asetuksessa säädettyä riittävää tietosuojaa (tietojen viennin rajoitukset). Rekisterinpitäjä on vastuussa henkilötietojen käsittelystä ja vastaa tietosuoja asetuksen rikkomisesta aiheutuvista mahdollisista vahingoista. Mikäli rekisterinpitäjä käsittelee henkilötietoja yhdessä toisen rekisterinpitäjän kanssa, kukin rekisterinpitäjä voi olla yhteisvastuullisesti vastuussa rekisteröidylle. Henkilötietojen käsittelijä on luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun (esimerkiksi palveluntarjoaja). Tyypillisesti henkilötietojen käsittelijät ovat tietotekniikan palveluntarjoajia (mukaan lukien hosting-palveluiden tarjoajia) tai palkkahallinnon ammattilaisia. Henkilötietojen käsittelijän on käsiteltävä henkilötiedot rekisterinpitäjän ohjeiden mukaisesti ja toteutettava riittävät toimenpiteet henkilötietojen suojaamiseksi. Henkilötietojen käsittelijä ei saa käyttää henkilötietoja omiin tarkoituksiinsa. Henkilötietojen käsittelijän on käsiteltävä henkilötietoja sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteiden mukaisesti, ilmoitettava rekisterinpitäjälle tietoturvaloukkauksista, osoitettava noudattavansa tietosuoja asetusta pitämällä käsittelyä koskevan dokumentaation ajan tasalla ja estettävä henkilötietojen siirtäminen vastaanottajille maihin, joissa ei taata riittävää tietosuojaa. Rekisterinpitäjän on tehtävä henkilötietojen käsittelijän kanssa käsittelyä koskeva sopimus, jossa eritellään käsittelijän velvollisuudet. Henkilötietojen käsittelijä on vastuussa vahingoista, jotka aiheutuvat sen asetuksen mukaisten velvollisuuksien laiminlyönnistä tai rekisterinpitäjän lainmukaisten ohjeiden vastaisesta toiminnasta. Näin ollen henkilötietojen käsittelijä on vastuussa muun muassa aiheuttamistaan tietoturvaloukkauksista. On syytä huomata, että rekisterinpitäjä on vastuussa henkilötietojen käsittelijän aiheuttamista vahingoista. Tämän vuoksi rekisterinpitäjän on noudatettava asianmukaista huolellisuutta henkilötietojen käsittelijän valinnassa, valvottava henkilötietojen käsittelyä ja tehtävä säännöllisiä tarkastuksia ja vaatimustenmukaisuuden tarkastuksia varmistaakseen, että käsittelijä noudattaa asetusta. Rekisteröity on luonnollinen henkilö, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa käyttää. Tietosuoja-asetuksella annetaan rekisteröidylle heidän henkilötietojensa käsittelyä koskevia erityisoikeuksia, kuten oikeus saada ilmoitus tietojenkäsittelystä, oikeus antaa suostumus omien henkilötietojen käsittelyyn (opt-in) tai vastustaa niiden käsittelyä (opt-out), oikeus saada henkilötietonsa jäsennellyssä ja yleisesti käytetyssä muodossa tietojen siirtämiseksi joissain olosuhteissa toiselle rekisterinpitäjälle (oikeus siirtää tiedot järjestelmästä toiseen), oikeus olla joutumatta täysin automaattisen tietojenkäsittelyn tai profiloinnin kohteeksi, oikeus kysyä rekisterinpitäjältä, käsitteleekö se rekisteröityä koskevia tietoja, oikeus tietää, mitä tietoja käsitellään (tiedonsaantioikeus), oikeus oikaista virheelliset tiedot, oikeus täydentää henkilötietoja, mikäli ne ovat riittämättömät tietojen käsittelyn tarkoitusta varten, sekä oikeus poistaa tiedot jossain olosuhteissa, esimerkiksi mikäli tietojen säilyttämisaika on umpeutunut ja mikäli suostumus käsittelyyn on peruttu (oikeus tulla unohdetuksi). Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaiselle ja saada korvaus vahingoista, jotka ovat seurausta rekisterinpitäjän tai henkilötietojen käsittelijän laiminlyönneistä. 5

7 Valvontaviranomainen (tietosuojaviranomainen) on kansallinen viranomainen, joka valvoo tietosuoja-asetuksen täytäntöönpanoa jäsenvaltion alueella. Jokaisella tietosuojaviranomaisella on laaja täytäntöönpanovalta, muun muassa valta langettaa sakot, joiden suuruus on 20 miljoonan euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on korkeampi, mikäli rekisteröidyn oikeuksia on rikottu, ja 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi, mikäli rekisterinpitäjät tai henkilötietojen käsittelijät eivät ole täyttäneet asetuksessa säädettyjä velvoitteita, sekä valta suorittaa tutkimuksia ja käsitellä valituksia. Rekisterinpitäjien on ilmoitettava tietosuojaviranomaiselle tietoturvaloukkauksista, ja jotkin tietojenkäsittelytoimet kuten jotkin kansainväliset tiedonsiirrot, edellyttävät tietosuojaviranomaisen lupaa. Tietosuoja- asetus Rekisterinpitäjä Henkilötietojen käsittelijä Rekisteröity Valvontaviranomainen Tietosuoja-asetus ja pilvipalvelut Tietosuoja-asetuksen sääntöjä sovelletaan riippumatta siitä, millä keinoin henkilötietoja käsitellään. Ne koskevat yhtä hyvin paikallisille palvelimille kuin pilvipalvelimille tallennettuja henkilötietoja. Pilvipalvelut asettavat kuitenkin useita asetuksen noudattamista vaikeuttavia haasteita tietosuoja-asetuksen piiriin kuuluville tahoille: Tietosuoja-asetuksessa edellytetään, että rekisterinpitäjät ja henkilötietojen käsittelijät tietävät, missä paikassa henkilötietoja säilytetään tai muuten käsitellään. Tietosuoja-asetus rajoittaa ankarasti asetuksen piiriin kuuluvien tahojen mahdollisuutta siirtää henkilötietoja vastaanottajille Euroopan talousalueen (ETA:n, johon kuuluvat EU:n jäsenvaltiot sekä Norja, Islanti ja Liechtenstein) ulkopuolelle. Pilvipalvelut voivat käyttää ETA:n ulkopuolella sijaitsevia palvelimia rekisterinpitäjän tai henkilötietojen käsittelijän tietämättä tai Euroopan alueella sijaitseva pilvipalvelun tietojenkäsittelylaitteisto voi olla EU:n ulkopuolisen palveluntarjoajan hallinnassa. Kaikissa näissä tapauksissa henkilötietojen siirtämisen on tapahduttava tietosuoja-asetuksen tiedonsiirtosääntöjen mukaisesti. Tietosuoja-asetuksessa edellytetään, että rekisterinpitäjien on toteutettava riittävät turvatoimenpiteet suojatakseen henkilötiedot häviämiseltä, muuttamiselta ja luvattomalta käsittelyltä. Rekisterinpitäjän on arvioitava, täyttävätkö henkilötietojen käsittelijän tietoturvatoimet tietoturvavaatimukset, joita sovelletaan henkilötietoihin (riskianalyysin perusteella) ja rekisterinpitäjään (erityisten alakohtaisten, sopimuksellisten tai organisatoristen vaatimusten perusteella). Rekisterinpitäjän on myös valvottava henkilötietojen käsittelijän tietoturvatoimien täytäntöönpanoa suorittamalla säännöllisiä tarkastuksia. Samat vaatimukset koskevat henkilötietojen käsittelijää, joka teettää käsittelyn alihankkijalla. Useimmat pilvipalveluiden tarjoajat eivät kuitenkaan salli asiakkaiden antaa tietoturvaa koskevia ohjeita tai tehdä tietoturvatarkastuksia. 6

8 Tietosuoja-asetus edellyttää, että rekisterinpitäjän on tehtävä henkilötietojen käsittelijän kanssa tietojenkäsittelyä koskeva sopimus. Sopimuksessa on määrättävä useista henkilötietojen käsittelijää koskevista vaatimuksista; käsittelijän täytyy muun muassa toimia ainoastaan rekisterinpitäjän ohjeiden mukaisesti, toteuttaa riittävät turvatoimenpiteet suojatakseen henkilötiedot häviämiseltä, muuttamiselta ja luvattomalta käsittelyltä, käyttää alihankkijana toimivan henkilötietojen käsittelijän palveluksia vasta rekisterinpitäjän ennakkohyväksynnän saatuaan, auttaa rekisterinpitäjää tarvittaessa vastaamaan pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttöä, auttaa rekisterinpitäjää huolehtimaan tämän velvollisuudesta ilmoittaa tietoturvaloukkauksista valvontaviranomaisille ja rekisteröidyille, auttaa rekisterinpitäjää suorittamaan tietosuojaa koskeva vaikutusarviointi henkilötietojen käsittelyyn liittyvien tietosuoja- ja tietoturvariskien tunnistamiseksi ja luovuttaa käsittelyn tai palvelusopimuksen päätyttyä kaikki henkilötiedot rekisterinpitäjälle. Useimmat pilvipalveluiden tarjoajat tarjoavat kuitenkin palveluitaan käyttöehdoin, jotka eivät täytä näitä vaatimuksia ja joista ei voi neuvotella lainkaan tai joista voi neuvotella vain marginaalisesti. Tietosuoja-asetuksessa edellytetään, että henkilötietoja kerätään niin vähän kuin tarkoituksen kannalta on tarpeen, rajoitetaan erityisten tietoryhmien käsittelyä (esimerkiksi tiedot, joista käy ilmi rotu, etninen alkuperä, biometriset ominaisuudet, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, sekä tiedot, jotka koskevat terveydentilaa tai sukupuolielämää, ammattiliiton jäsenyyttä taikka rikollista tekoa tai rangaistusta) ja rajoitetaan joidenkin arkaluonteisten tietojen käsittelyä, kuten verotunnisteiden ja lapsia koskevien tietojen käsittelyä. Tämä edellyttää sovellusten toimivuuden ja dataelementtien tarkkaa arvioimista ennen niiden käyttöönottoa. Monet pilvipalvelut ilmoittavat toimivuutta ja tietoja koskevat vaatimuksensa kokonaisuudessaan vasta sen jälkeen, kun organisaatiot ovat alkaneet käyttää niitä. Tietosuoja-asetus ei salli tietojen käsittelijöiden käyttää henkilötietoja muihin tarkoituksiin kuin palveluiden tarjoamiseen asiakkailleen. Monet pilvipalvelut kuitenkin varaavat oikeuden käyttää tietoja monenlaisiin toissijaisiin tarkoituksiin, kuten markkinointiin. Erityisesti silloin kun pilvipalveluita tarjotaan ilmaiseksi, palveluntarjoajat käyttävät tietoja jollain tavoin saadakseen tuloja. Jotkin pilvipalveluiden tarjoajat jopa vaativat itselleen ympäristöönsä tallennettujen tietojen täyden omistusoikeuden ja myyvät tiedot kolmansille osapuolille. Tietosuoja-asetus edellyttää, että henkilötiedot poistetaan, kun niiden käyttötarkoitus on lakannut. Tämä tarkoittaa, että organisaatioiden on määritettävä (etukäteen) määräaika tietojen säilyttämiselle, poistettava tiedot järjestelmistään automaattisesti tai toimittava niin, että tietojen käyttäjä voi tehdä perustellun päätöksen tietojen säilyttämisen jatkamisesta, sekä tehtävä tarkastuksia varmistaakseen, että tiedot on tosiasiallisesti poistettu. Monet pilvipalveluiden tarjoajat eivät kerro selvästi tietojen poistamismenettelyistään tai kehottavat käyttäjiä poistamaan tiedot itse, jolloin organisaatio saattaa rikkoa asetusta, jos tietoja ei poisteta pilvipalveluista asianmukaisesti. 7

9 Henkilökohtaiset pilvipalvelut ja omien laitteiden käyttö Vastuulliset organisaatiot pyrkivät minimoimaan pilvipalveluiden aiheuttamat riskit valitsemalla hyvämaineisia palveluntarjoajia, suorittamalla VS tietoturvariskien arviointeja ja vaatimustenmukaisuuden tarkastuksia sekä tekemällä sopimuksen henkilötietojen käsittelijän kanssa tai sopimalla käyttöehdoista, jotka ovat tietosuoja-asetuksen vaatimusten ja yhtiön käytäntöjen mukaisia. Työntekijät eivät sen sijaan ota näitä riskejä huomioon käyttäesswään henkilökohtaisia pilvipalveluita, joille organisaatio ei ole antanut hyväksyntää, puhumattakaan siitä, että he pyrkisivät minimoimaan näitä riskejä. Mahdollisuus liittää henkilökohtaisia laitteita, kuten kannettavia tietokoneita, tabletteja tai älypuhelimia, organisaation verkkoon (BYOD-käytännön mukaisesti) on lisännyt tietosuoja-asetuksen rikkomisen riskiä entisestään. Monissa kuluttajalaitteissa on valmiina ilmainen pilvipalvelu. Sen lisäksi monet käyttäjät lataavat laitteilleen riskialttiita ohjelmistoja. Jos organisaatio ei toteuta toimenpiteitä estääkseen henkilötietojen automaattisen siirtämisen joskus jopa käyttäjän tietämättä käyttäjän henkilökohtaiseen pilvipalveluun tai muihin pilvisovelluksiin, se vaarantaa henkilötietojen tietoturvan. Organisaatio ei useinkaan pysty hallitsemaan tällaisia palveluita ja sovelluksia, vaan sen on luotettava siihen, että työntekijät toimivat vastuullisesti käyttäessään ja tallentaessaan henkilötietoja yrityksen verkosta omalle laitteelleen, ja siihen, että laitteen ja sovellusten oletusasetukset ovat asianmukaiset. Organisaation tietämättömyys siitä, mihin henkilötiedot tallennetaan, miten ne suojataan, mitä henkilötietoja luodaan, kerätään ja käytetään mihin tarkoituksiin, kuinka pitkään tietoja säilytetään ja kuka voi tutustua tietoihin, voi johtaa tutkintaan, sakkoihin ja kielteiseen tietoturvaloukkauksia koskevaan julkisuuteen. Tämän vuoksi organisaatioiden on tehtävä kaikkensa estääkseen hallitsemattomien pilvipalveluiden käyttö tai rajoittaakseen sitä tai laadittava säännöt niiden käytölle. Miten Netskope voi auttaa organisaatioita tietosuoja-asetukseen liittyvien riskien hallinnassa? Organisaatioiden toimintakentän monimutkaisuus, pilvipalveluiden käyttö mukaan lukien, vaatii organisaatioita toteuttamaan aktiivisesti toimenpiteitä henkilötietojen suojaamiseksi. Monimutkaisuuden ja käsiteltävien tietojen valtavan määrän vuoksi pelkät oikeudelliset järjestelyt, kuten käytännöt, protokollat ja sopimukset, eivät enää riitä tietosuoja-asetuksen noudattamiseksi. Organisaation on oltava varma siitä, että henkilötiedot käsitellään tietosuoja-asetuksen mukaisesti. Tietosuoja-asetuksen noudattaminen edellyttää siis perinteisiä tietoturvatoimenpiteitä laajempia organisatorisia ja teknisiä toimenpiteitä, joilla pyritään takaamaan tietojen luottamuksellisuus, eheys ja saatavuus (sisäänrakennettu tietosuoja). Yksi toimenpidetyyppi, jolla voidaan hallita tietosuoja-asetuksen noudattamista organisaatiossa, on organisaation ja pilvipalvelun välisen vuorovaikutuksen hallitseminen. Vuorovaikutusta voi hallita tietämällä mitä henkilötietoja työntekijät pilvipalveluissa käsittelevät, tietämällä mitä pilvipalveluita työntekijät käyttävät, estämällä henkilötietojen tallentaminen tai käsitteleminen hallitsemattomissa pilvipalveluissa ja suojaamalla pilvipalveluihin tallennetut tai niissä käsitellyt henkilötiedot. Näiden vaatimusten laiminlyöminen voi johtaa sakkoihin, oikeusjuttuihin ja kielteiseen julkisuuteen tietosuoja-asetuksen rikkomisen vuoksi. 8

10 Tiedä, mitä henkilötietoja käyttäjät pilvipalveluissa käsittelevät Tietosuojan noudattaminen lähtee siitä, että tiedetään, mitä henkilötietoja organisaatiossa käsitellään. Tietokartoitus, toisin sanoen henkilötietojen tunnistaminen organisaation sisällä ja niiden kartoittaminen (laillisiin) tarkoituksiin, on suhteellisen helppoa, jos henkilötiedot on tallennettu yrityksen tietojärjestelmiin. Pilvisovelluksissa ja erityisesti hallitsemattomissa ja vahvistamattomissa pilvisovelluksissa käsiteltävien henkilötietojen tunnistaminen on paljon vaikeampaa. Monissa pilvisovelluksissa voidaan käsitellä paljon enemmän tietoa kuin olisi tarpeellista tai sallittua, ja tietosuoja asetuksen noudattamisesta vastaavien organisaation työntekijöiden on miltei mahdotonta havaita pilveen ja sieltä pois kulkevia tietovirtoja. Tätä varten tarvitaan työkalu, joka auttaa tunnistamaan pilveen ja pilvestä ladattavat henkilötiedot. Tunnistus ei tapahdu vain rajapinnalla, vaan se ulottuu yksittäisen työntekijän tasolle, jolloin henkilötietojen siirtämisen tarpeesta ja tarkoituksista sekä niiden käytöstä organisaatiossa voidaan keskustella ja niitä voidaan ymmärtää. Netskope auttaa organisaatioita määrittämään tiettyjä henkilötietotyyppejä koskevia käytäntöjä. Voit esimerkiksi estää tietyntyyppisten henkilötietojen, kuten työntekijöiden valokuvien, henkilötunnusten, asiakkaiden luottokorttitietojen tai terveystietojen, lataamisen pilvisovellukseen tai sieltä pois. Tieto siitä, että tällaisia tietoja käsitellään pilven kautta, auttaa organisaatiota arvioimaan käsittelyä ja tekemään perusteltuja päätöksiä tällaisten tietojen lainmukaisuudesta ja tarpeellisuudesta, vähentämään pilvipalveluihin liittyviä tietoturvariskejä ja arvioimaan tietosuoja-asetuksen noudattamista organisaatiossa yleisesti. Netskope Active Platform -alustan avulla voit porautua pilvisovellusten toiminta- ja tietotason käyttötietoihin. Sen avulla voit selvittää esimerkiksi, lataavatko luvattomat käyttäjät henkilötietoja organisaation HR-sovelluksista tai mitä arkaluonteista sisältöä organisaation vahvistetussa pilvitallennussovelluksessa on. Voit myös nähdä, kuka jakaa henkilötietoja organisaation ulkopuolisten vastaanottajien kanssa käyttäen pilvisähköpostia, pilvitallennusta tai tiedostojen jakamista tai muuta tietojen jakamistapaa, arvioida, onko jakaminen lainsäädännön ja organisaation tietosuojakäytäntöjen mukaista, ja tarvittaessa määrittää käytäntöjä, joilla varmistetaan, että tiettyjä henkilötietoja ei voida jakaa organisaation ulkopuolisten henkilöiden kanssa. Epäilyttäviä tapahtumia voidaan seurata jäljitysketjujen avulla. Tiedä, mitä pilvisovelluksia organisaatiossa käytetään Pilvessä käsiteltävien henkilötietojen ja käsittelytarkoitusten selvittäminen on vasta ensimmäinen askel. Seuraava vaihe tietosuoja-asetuksen noudattamisen varmistamisessa on sen selvittäminen, mitä pilvisovelluksia käytetään, minkälaisia käyttöehtoja ja käytäntöjä käytetyt pilvisovellukset noudattavat erityisesti henkilötietojen käytön, tietoturvan, luovuttamisen ja säilyttämisen suhteen sekä missä henkilötietoja sisältävät palvelimet sijaitsevat. Netskopen Cloud Confidence Index auttaa arvioimaan sekä hallittujen että hallitsemattomien pilvisovellusten sopivuuden yrityksen tietojen kuten organisaation vastuulla olevien henkilötietojen säilyttämiseen. Netskopen Cloud Confidence Index käyttää yli 40:ää parametria, jotka on muokattu Cloud Security Alliancen Cloud Controls Matrix -matriisista, mukaan lukien sovelluksen tietoturvaominaisuudet (esimerkiksi salataanko tiedot säilyttämisen ajaksi), tietojen luokittelukyky, sertifikaatit (esimerkiksi ISO27001, SOC 2 tai TRUSTen Trusted Cloud Privacy Certification) ja se, salliiko sovellus tarkastajan sisäänkirjautumisen luvattoman käytön tai toiminnan havaitsemiseksi. Netskope auttaa myös tunnistamaan pilvisovellukset, jotka eivät täytä tietojen omistajuutta koskevia standardeja sen vuoksi, että ne saavat käyttöehtojensa mukaan tiedot omistukseensa heti tietojen latauduttua pilviympäristöön. Netskopen avulla voit lisäksi tunnistaa sovellukset, jotka eivät täytä organisaatiosi tietosuojavaatimuksia; voit tarkistaa, sallivatko sovellukset kolmansien osapuolten evästeitä, käyttävätkö ne laitteelle tallennettuja henkilötietoja, käyttävätkö ne muita laitteella olevia sovelluksia tai noudattavatko ne säilyttämiskäytäntöjä, jotka eivät vastaa organisaatiosi tarpeita (poistavatko ne tiedot palvelun päättämisen jälkeen ensimmäisen viikon, kuukauden kuluessa vai ei lainkaan). Netskope auttaa 9

11 ottamaan käyttöön näihin tietoihin perustuvia käytäntöjä, esimerkiksi estämään sellaisia sovelluksia tai toimintoja sovellusten sisällä (kuten lataamisen sovellukseen), jotka eivät vastaa organisaatiosi tietosuojavaatimuksia, jolloin työntekijät eivät voi ladata organisaation henkilötietoja vahvistamattomiin ja mahdollisesti turvattomiin pilvipalveluihin. Netskopen avulla voit jopa kääntää henkilötietoja, joita työntekijät yrittävät ladata vahvistamattomiin pilvisovelluksiin tai yrityksen vahvistamiin pilviympäristöihin, tai pidättää tiedot karanteeniin esimerkiksi oikeusalan ammattilaisen tarkastusta varten. Netskope erottaa toisistaan saman pilvipalvelun yritysversion ja käyttäjän yksityisen version (esimerkiksi yrityksen vahvistaman Box-tilin ja käyttäjän oman Box-tilin). Sen avulla voit myös tunnistaa henkilökohtaiset laitteet, joilla organisaation pilvisovelluksia käytetään, jotta voit valvoa käytäntöjen täytäntöönpanoa mobiililaitteilla ja varmistaa, että yrityksen tiedoista ei tehdä varmuuskopioita mobiilisovelluksiin, kuten icloudiin. Näillä keinoin Netskope auttaa organisaatiotasi täyttämään tietosuoja-asetuksessa säädetyt vaatimukset, jotka koskevat tietojen luovuttamista kolmansille osapuolille, sekä noudattamaan tietojen minimoinnin, sisäänrakennetun tietosuojan ja tietoturvan periaatteita. Netskope auttaa organisaatiotasi noudattamaan tietosuoja-asetuksen tietojen vientiä koskevia sääntöjä tunnistamalla lainkäyttöalueet, joilta tiedot ladataan, sekä lainkäyttöalueet, joilla palvelimet sijaitsevat vaikkakin vain tilapäisesti. Näin voit estää henkilötietojen siirtämisen lainkäyttöalueelle, jolla henkilötiedoille ei taata tietosuoja-asetuksessa säädettyä riittävää suojaa. Estä henkilötietojen käsittely vahvistamattomissa pilvipalveluissa Kun on selvitetty, mitä henkilötietoja organisaation pilvisovelluksissa on ja mitkä sovellukset käsittelevät näitä tietoja, on varmistettava, että organisaation työntekijät eivät käytä sovelluksia, jotka eivät täytä tietosuojaasetuksen tietosuojavaatimuksia. Tämä koskee sekä yrityksen sovelluksia, joiden käyttö voi olla sopivaa EU:n ulkopuolisella lainkäyttöalueella mutta ei EU:n sisällä, että käyttäjien henkilökohtaisia sovelluksia. Netskope Active Cloud DLP:n avulla voit estää erityisiin tietoryhmiin kuuluvien henkilötietojen, kuten terveystietojen tai valokuvien, ja muiden sellaisten arkaluonteisten tietojen lataamisen palveluun, joita organisaatiosi haluaa suojella, kuten luottokorttitietojen, asiakkaiden sähköpostiosoitteiden tai henkilöstörekisterien lataamisen. Arkaluonteiset tiedot voidaan peittää niin, että organisaation tietotekninen henkilöstö ei näe pilveen ladattavan tiedoston sisältöä, vaan tietää tiedoston ainoastaan sisältävän arkaluonteisia tietoja, joita ei pidä ladata kyseiseen pilvisovellukseen. DLP:n ohjauspaneelissa voit lisäksi tunnistaa käyttäjän, joka yrittää ladata arkaluonteisia tietoja pilveen, sekä tietojen lähteen ja kohteen. Myös käyttäjän nimi voidaan peittää niin kauan kun tietoturvaloukkausta ei tapahdu. Toinen tärkeä toiminto on Netskopen kyky tunnistaa käyttäjiä, joiden tunnukset ovat voineet joutua vääriin käsiin aiemmassa tietoturvaloukkauksessa. Tämän ansiosta voit kehottaa käyttäjiä palauttamaan salasanansa ja jopa käynnistää asiankäsittelyn käyttäjän tunnusten palauttamiseksi kertakirjautumisella (Single Sign-On, SSO) kaikissa yrityksen hallitsemissa sovelluksissa. Näin voit estää henkilötietojen loukkauksia, tutkia ongelmatilanteita ja ilmoittaa niistä vaatimusten mukaisesti sekä toteuttaa toimenpiteitä (mukaan lukien kurinpitotoimenpiteitä) ongelmien toistumisen estämiseksi. Suojaa henkilötiedot pilvipalveluita käytettäessä Sikäli kun organisaatiosi sallii joidenkin pilvisovellusten käytön, tietosuoja-asetus edellyttää riittäviä suojatoimenpiteitä henkilötietojen luvattoman käytön estämiseksi. Pilvipalvelun omat tietoturvatoimenpiteet, joihin organisaatiosi ei voi millään tavoin vaikuttaa, eivät riitä. Tietosuojaasetuksessa vaaditaan organisaatioita toteuttamaan tietosuojatoimenpiteitä itse tai valvomaan, miten palveluntarjoaja (henkilötietojen käsittelijä) suojaa tietoja. Koska pilvisovellukset tyypillisesti eivät salli organisaatioiden valvoa tietoturvan toteutumista, organisaatioiden on toteutettava toimenpiteitä henkilötietojen suojaamiseksi ennen niiden siirtämistä pilveen. 10

12 Netskope auttaa salaamaan kaikki henkilötiedot ennen niiden lataamista pilveen niin, että tiedot pysyvät salattuina pilveen siirron ja pilvessä säilytyksen ajan. Salausta voidaan käyttää myös vaihtoehtona tietojen poistamiselle. Tällöin tiedot salataan ja avaimet poistetaan. Tiedot voidaan myös siirtää karanteeriin ennen pilveen lataamista tarkempaa tutkimista varten. Lisäksi käyttäjälle voidaan tarvittaessa lähettää automaattinen varoitus, jossa kerrotaan, että hän yrittää käsitellä henkilötietoja tavalla, joka on organisaation tietosuojakäytäntöjen vastainen. Jos henkilötiedot on jo ladattu vahvistettuun pilvipalveluun, Netskopen havainnointitoimintojen avulla tiedot voidaan tarkastaa takautuvasti riippumatta siitä, milloin ne on ladattu pilveen; lisäksi tiedot voidaan salata tai niiden jakamista voidaan rajoittaa. Netskopella on takautuvan tarkastamisen mahdollistava API-tason integrointi useiden kumppaneiden, kuten Googlen, Microsoftin, Boxin, Dropboxin, Salesforcen ja Egnyten, kanssa. Tietosuoja-asetuksen mukainen Netskopen käyttö Netskope tuottaa henkilötietoja itse (esimerkiksi tunnistaessaan käyttäjän tarkastuksessa tai DLP raportissa), minkä vuoksi sinun on käytettävä Netskopea tietosuoja-asetuksen mukaisesti, jos 1 organisaatiosi kotipaikka on Euroopan unionin jäsenvaltiossa tai Norjassa, Islannissa tai Liechtensteinissa (eli Euroopan talousalueella) tai 2 organisaatiosi kotipaikka ei ole Euroopan talousalueella, mutta valvot Netskopen avulla Euroopan talousalueella toimivan henkilöstön pilvipalveluiden käyttöä. Kaksi tärkeintä tietosuoja-asetuksen mukaiseen Netskopen käyttöön liittyvää tekijä ovat työntekijöiden yksityisyys ja vaatimustenmukaisuus. Työntekijöiden yksityisyys Netskope käyttää pilvitiedoista tehtyjä drill-down-raportteja, joissa poraudutaan käyttäjätasolle asti. Tästä syystä Netskope-ratkaisua voidaan pitää työntekijöiden valvontajärjestelmänä, vaikka Netskope olisi salannut tai peittänyt henkilökohtaiset tiedot. Netskope sallii käyttäjän ylläpitäjän tarkastella salaamattomia tarkastuksessa ilmenneitä tietoja (tapahtumia, varoituksia, karanteeneja ja säilyttämismääräyksiä), raportteja ja tietoja sovelluksen aktiivisimmista käyttäjistä. Näin ollen organisaatioiden, jotka aikovat käyttää Netskopea henkilötietojensa suojaamiseen ja tietosuoja-asetuksen noudattamisen varmistamiseen, on kiinnitettävä huomiota myös tietosuoja-asetuksen mukaiseen työntekijöiden yksityisyyteen. Tietosuoja-asetus sallii EU:n jäsenvaltioiden hyväksyä kansallista lainsäädäntöä työntekijöiden yksityisyyden suojaamiseksi sillä edellytyksellä, että lainsäädäntö on asetuksen mukaista. Tämän vuoksi organisaatioiden, jotka aikovat käyttää Netskopea, on selvitettävä tarkasti, millä lainkäyttöalueilla Netskopea aiotaan käyttää ja mitä tietosuoja-asetukseen ja kansalliseen lainsäädäntöön perustuvia vaatimuksia työntekijöiden valvontaan sovelletaan. Työntekijöiden valvontaa koskevia vaatimuksia voivat olla muun muassa seuraavat: työntekijöiden pilvipalveluiden käytön valvonnalle on oltava oikeusperusta, työntekijöille on tiedotettava Netskopen käytön tarkoituksista ja sen yleisistä ominaisuuksista, työntekijöiden edustajille tai työpaikkaneuvostoille on tiedotettava Netskopen käytöstä ja heiltä on tarvittaessa saatava suostumus, Netskopesta on tehtävä tietosuojaa koskeva vaikutusarviointi ja sen raporttien ja menettelyiden käyttö ja säilyttäminen on dokumentoitava, jotta työntekijät voivat käyttää tietosuoja-asetuksen mukaista oikeuttaan yksityisyyteen. 11

13 Oikeusperusta Jos työntekijöiden valvonnan oikeusperustasta ei ole määrätty kansallisissa vaatimuksissa, Netskopen käyttö perustuu todennäköisimmin organisaation oikeutettuun etuun, joka koskee pilviympäristöön tallennettujen henkilötietojen suojelemista. Tietosuoja-asetuksessa on erityisiä sääntöjä, jotka koskevat henkilötietojen käsittelyä oikeutetun edun perusteella; niihin kuuluu muun muassa vaatimus tiedottaa työntekijöille, miksi organisaation oikeutettu etu syrjäyttää työntekijöiden yksityisyyttä koskevat edut. Työntekijöille tiedottaminen Organisaation on tiedotettava työntekijöille Netskopen käytöstä ennen työntekijöiden valvonnan alkamista. Tyypillisesti tiedottaminen tapahtuu tietosuojaselosteella, joka voidaan esimerkiksi lähettää työntekijän sähköpostiosoitteeseen, tai muulla sopivalla tavalla, kuten osana sisäänkirjautumisen yhteydessä näkyviä organisaation verkon käyttöehtoja. Työpaikkaneuvostot Monien EU:n jäsenvaltioiden lainsäädännössä annetaan työpaikkaneuvostolle tai työntekijöiden edustajille oikeus tulla kuulluksi tai osallistua päätöksentekoon työntekijöiden yksityisyyttä tai valvontaa koskevissa asioissa. Netskopea käyttävien organisaatioiden on noudatettava tällaisia mahdollisia lakeja, tiedotettava työpaikkaneuvostoille Netskopen käytöstä ja tarvittaessa saatava neuvostojen suostumus. Työpaikkaneuvosto hyväksyy työntekijöiden valvontajärjestelmän käytön yleensä hyväksymällä järjestelmää koskevan tietosuojakäytännön; näin ollen on syytä harkita tietosuojakäytännön laatimista Netskopen käytölle. Tietosuojaa koskevat vaikutusarvioinnit ja dokumentaatio Tietosuoja-asetus edellyttää, että organisaatiot suorittavat tietosuojaa koskevan vaikutusarvioinnin, kun tietojenkäsittely aiheuttaa todennäköisesti merkittävän riskin henkilötiedoille. Kansalliset valvontaviranomaiset tulevat todennäköisesti tarkentamaan näitä vaatimuksia, joten on liian aikaista sanoa, edellyttääkö Netskopen käyttö tietosuojaa koskevan vaikutusarviointia. On myös mahdollista, että kansallisessa lainsäädännössä edellytetään tietosuojaa koskevaa vaikutusarviointia työntekijöiden valvontajärjestelmien yhteydessä. Tietosuoja-asetuksessa vaaditaan organisaatioita dokumentoimaan tietojenkäsittely, jotta ne voivat osoittaa noudattavansa asetusta. Tätä vaatimusta saatetaan soveltaa myös Netskopen käyttöön. Vaatimustenmukaisuus Netskopen datakeskuksia sijaitsee Yhdysvaltojen itä- ja länsirannikolla, Amsterdamissa ja Frankfurtissa sekä Singaporessa ja Sydneyssä. Tietosuoja-asetuksen kansainvälisiä tiedonsiirtoja koskevia sääntöjä voidaan noudattaa tallentamalla eurooppalaisia tytäryhtiöitä koskevat raportit Netskopen Amsterdamissa tai Frankfurtissa sijaitseviin datakeskuksiin. Jos organisaatio on sijoittunut Euroopan talousalueen ulkopuolelle, Netskopen datakeskukseen tallennettujen tietojen käytön on tapahduttava tietosuoja asetuksen tiedonsiirtosääntöjen mukaista tiedonsiirtomekanismia käyttäen. Jos organisaatio ei ole sijoittunut Euroopan talousalueelle ja jos se valvoo EU:ssa olevien henkilöiden pilvipalveluiden käyttöä Netskopen avulla EU:n ulkopuolisessa datakeskuksessa (Yhdysvalloissa, Singaporessa tai Sydneyssä), sen on kuitenkin noudatettava tietosuoja-asetusta. Tällaisessa tapauksessa tietosuoja-asetuksen tiedonsiirtosääntöjä ei sovelleta organisaation henkilötietoihin, koska asetuksessa tarkoitettua kansainvälistä tiedonsiirtoa ei tapahdu. Organisaation on kuitenkin nimettävä EU:n alueelle edustaja yhteyshenkilöksi EU:n alueella toimiville yksilöille, joiden pilvipalveluiden käyttöä valvotaan. 12

14 Netskope ja tietosuoja-asetus pähkinänkuoressa TIETOSUOJA-ASETUKSEN TIETOSUOJAPERIAATTEET MITEN NETSKOPE HELPOTTAA ASETUKSEN NOUDATTAMISTA PILVIPALVELUISSA Arvioi Netskope Cloud Confidence Indexin (CCI) avulla, mihin tiedot on tallennettu ja/tai missä niitä käsitellään kunkin käsittelijän (pilvipalvelu) osalta. Rekisterinpitäjät ja henkilötietojen käsittelijät tietävät, missä paikassa henkilötietoja säilytetään tai muuten käsitellään. Pane käytännöt täytäntöön Netskope Active Platformin avulla, jos käsittelijät eivät tallenna/siirrä tietoja turvallisiin sijainteihin (ks. Euroopan komission hyväksytyistä maista ja alueista ylläpitämä luettelo "List of Adequate Jurisdictions") tai jos ne käsittelevät tietoja määrittelemättömissä sijainneissa; esimerkiksi estä pilvisovelluksen käyttö. Teetä raportteja sovelluksen käytöstä kohdesijainnin mukaan. ediscover ja arkaluonteisten tietojen suojaaminen vahvistetun käsittelijän (pilvisovelluksen) säilyttäessä niitä Netskope Introspectionin avulla. Esimerkiksi etsi henkilötieto ja salaa se tai siirrä karanteeniin ja vedä takaisin paikalliselle palvelimelle (tai anna säilyttämismääräys myöhempää tarkastusta varten), sillä henkilötietojen käsittelijöiden ja rekisterinpitäjien on ilmoitettava käyttäjille näiden salaamattomien henkilötietojen häviämisestä ja valvontaviranomaisille tietoturvaloukkauksesta. Rekisterinpitäjät toteuttavat riittävät turvatoimenpiteet suojatakseen henkilötiedot häviämiseltä, muuttamiselta ja luvattomalta käsittelyltä. Sovella tietoturvakäytäntöjä, kuten "Estä sellaisten pilvitallennussovellusten käyttö, joille on annettu korkeintaan arvosana ''keskinkertainen'", jotta voit varmistaa, että organisaatiossa käytetään vain turvallisia ja hyväksi havaittuja käsittelijöitä. Tunnista henkilötiedot ja salaa ne Netskope Active Cloud DLP:n avulla (tai käytä käytäntöä, kuten estämistä) siirrettäessä tietoja käsittelijöille ja käsittelijöiltä; tuki yli tietojen tunnisteella ja yli 500 tiedostotyypille, kielestä riippumattomat kaksitavuiset merkit, räätälöidyt toistuvat ilmaukset, läheisyysanalyysi, sormenjäljet ja täysi vastaavuus. Tunnista Netskopen avulla käyttäjät, joiden tunnukset ovat voineet joutua vääriin käsiin aiemmassa tietoturvaloukkauksessa, ja korreloi rekisterinpitäjän käyttämien käsittelijöiden aktiivisuus; lisäksi mahdollisuus käynnistää asiankäsittely tunnusten palauttamiseksi kertakirjautumisella (SSO) kaikilla yrityksen hallitsemilla (vahvistetuilla) käsittelijöillä. Selvitä kaikki käyttö ja toiminta laitteittain ja laiteluokittain, esimerkiksi BYOD. Pane täytäntöön laitetyyppiin ja luokkaan perustuvia käytön ja toimintatason käytäntöjä. Rekisterinpitäjät estävät henkilötietojen lataamisen henkilökohtaisiin pilvipalveluihin ja henkilökohtaisille laitteille (BYODkäytäntö) tai valvovat organisaation tietoturvatoimien täytäntöönpanoa henkilökohtaisissa pilvipalveluissa tai henkilökohtaisilla laitteilla. Integroi mobiililaitteiden hallintapalveluiden (MDM) tarjoajien kanssa. Ota käyttöön mobiililaitteita koskevia käytäntöjä, joilla varmistat, että yrityksen tietoja tai henkilötietoja ei varmuuskopioida mobiilisovelluksiin tai mobiililaitteita käyttäen pilveen. Toteuta käytäntöjä, joilla varmistat, että yrityksen tiedot ja henkilötiedot siirtyvät vain yrityksen hyväksymiin käsittelijöihin eivätkä saman käsittelijän yksityisiin osioihin; esimerkiksi salli luottamuksellisten tietojen lataaminen yrityksen Boxiin mutta ei Boxin yksityisiin osioihin. Tee ero käsittelijöiden (sovellusten) välillä, jotta voit rajata yrityksen käytännöt ja näkyvyyden vain vahvistettuihin käsittelijöihin sekä henkilötiedoista vain organisatorisiin ja liiketoiminnallisiin prosesseihin liittyvät tiedot. 13

15 Seuraa henkilötietoja pilvipalvelun tietoturvaloukkausten tutkinnan avulla sekä kirjaa ja tarkasta, mitkä käsittelijät ovat käsitelleet ja/tai säilyttävät henkilötietoja, jotta voit vastata yksilöiden henkilötietoja koskeviin tietopyyntöihin. Rekisterinpitäjät tuntevat käsittelijän noudattamat yksityisyys- ja tietoturvastandardit ja arvioivat niitä. Arvioi CCI:n avulla käsittelijöiden yritysvalmiudet 40 parametrin suhteen (mukaan lukien yksityisyystoiminnot, kuten salliiko sovellus alihankkijoina toimivat käsittelijät tai tekeekö se tiedoilla mitään muuta, sekä tietoturvatoiminnot, kuten tietojen salaus säilytyksen aikana ja salaustyyppi). Tarkasta CCI:n avulla, salliiko käsittelijä tarkastajan sisäänkirjautumisen mahdollisten luvattomien käyttäjien havaitsemiseksi. Selvitä CCI:n avulla käsittelijän fyysiset ja loogiset tietoturvatoimet, kuten SOC-2 ja ISO27001, sekä sovelluksen yksityisyysmerkinnät, kuten TRUSTe. Rekisterinpitäjät tekevät käsittelijöiden kanssa tietojenkäsittelyä koskevan sopimuksen. Selvitä kaikki organisaatiossa käytetyt käsittelijät (erityisesti henkilötietoja käsittelevät käsittelijät) Netskope Discoveryn avulla ja päätä kunkin vahvistamisesta (ja sopimuksen tekemisestä käsittelijän kanssa) tai rajoittamisesta. Selvitä CCI:n avulla hankintasopimukseen tarvittavat käsittelijän tiedot, kuten hinnoittelu ja käyttäjämallit. Henkilötietoja kerätään vain niin vähän kuin käyttötarkoituksen kannalta on tarpeen ja "erityisten tietoryhmien" ja "arkaluonteisen tietojen" käsittelyssä noudatetaan erityisiä rajoituksia. Henkilötietojen käsittelijät eivät käytä henkilötietoja muihin tarkoituksiin kuin tarjotakseen palveluita asiakkailleen. Henkilötiedot poistetaan, kun niiden käyttötarkoitus on lakannut. Rajoita "erityisten tietoryhmien" ja "arkaluonteisten tietojen" lataamista pilveen ja pilvestä Netskope Cloud DLP:n avulla. Arvioi käsittelijän toimivuus ja dataelementit CCI:n avulla ennen sen ottamista organisaation käyttöön. Teetä CCI:n avulla raportteja siitä, mitkä käsittelijät eivät noudata tietojen omistusoikeutta koskevia standardeja (ts. ilmoittavat, että tiedot omistaa palveluntarjoaja, ei asiakas) tai yksityisyyden tarkastuksia (ts. selvitä, sallivatko ne kolmansien osapuolten evästeitä, käyttävätkö ne laitteelle tallennettuja henkilötietoja tai käyttävätkö ne muita laitteella olevia sovelluksia), mukaan lukien siitä, käytetäänkö henkilötietoja esimerkiksi markkinointitarkoituksiin. Näytä mitkä käsittelijät eivät poista tietoja ja mitkä poistavat ne välittömästi (Netskope ilmoittaa, tehdäänkö poisto ensimmäisen viikon kuluessa, kuukauden kuluessa vai ei lainkaan). Salaa tiedot säilytyksen aikana vaihtoehtona tietojen poistamiselle (salaa kaikki tiedot tai kaikki arkaluonteiset tiedot ja poista sitten salausavaimet) käsittelijöiden palveluiden päätyttyä Netskope, Inc. Kaikki oikeudet pidätetään. Netskope on rekisteröity tavaramerkki, ja Netskope Active, Netskope Discovery, Cloud Confidence Index ja SkopeSights ovat Netskope, Inc:n tavaramerkkejä. Kaikki muut tavaramerkit kuuluvat niiden omistajille. 01/16 WP-102-1