Automaattisten tietosuojakeinojen käyttö näyttää olevan ristiriidassa Suomen lainsäädännön kanssa. Automaattisia keinoja, kuten Data Loss Prevention, voidaan kuitenkin käyttää, kun käyttö suunnitellaan ja toteutetaan huolellisesti ja työntekijöitä riittävästi informoiden. Lisäksi tulee varmistaa työntekijöiden suostumus automaattisten tietosuojakeinojen käyttöön.

EU:n yleisen tietosuoja-asetuksen soveltamiseen on aikaa alle 12 kuukautta. Keskustelu tietosuoja-asioista näyttää kiihtyvän. Asiakkailtamme kantautuu meille kysymyksiä, onko Office 365:n ja muiden Microsoftin pilvipalvelujen tietosuojakeinojen, kuten Data Loss Prevention ja Azure Information Protection, käyttö laillista.

Kysymys oli herännyt väitteestä, että Suomen edistyksellinen tietosuojalainsäädäntö osaltaan estää hyvän tietosuojan toteuttamisen. Tietoyhteiskuntakaaren 272§ mukaan automaattisia tietoturvatoimia voidaan kohdistaa viestin sisältöön vain ’tietoturvalle haittaa aiheuttavien häiriöiden havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi, viestintämahdollisuuksien turvaamiseksi ja maksuvälinepetosten valmistelun ehkäisemiseksi’. Lainsäädäntö on syystäkin tarkkarajaista, puututaanhan automaattisella valvonnalla perustuslain suojaamaan viestinnän luottamuksellisuuteen. Yrityksen tai organisaation liikesalaisuuksien ja salassa pidettävän tiedon suojaaminen ei oikeuta automaattiseen viestinnän sisällön käsittelyyn, vaan ainoastaan viestinnän tunnistetietojen ja tiettyjen viestintää koskevien määrätietojen automaattiseen kokoamiseen ja käsittelyyn Tietoyhteiskuntakaaren 18 luvun mukaisesti.

Tietosuoja vastaan tietosuoja

Henkilötietolain ja EU:n Yleisen tietosuoja-asetuksen mukaan organisaation on toteutettava riittävät organisatoriset ja tekniset toimenpiteet henkilötietojen suojaamiseksi ja rekisteröidyn oikeuksien toteuttamiseksi. Digitaalisessa maailmassa myös suojaustoimenpiteet ovat digitaalisia ja enevästi automaattisia. Miten sitten ratkaistaan näennäinen ristiriita työntekijän sähköisen viestinnän luottamuksellisuuden ja rekisteröidyn henkilön henkilötietojen suojaamisen välillä. Voidaanko toisen oikeuksia loukata toisen oikeuksien suojaamiseksi? Tuleeko jokaisen organisaation harkita käsittelemiensä henkilötietojen vuotamisen henkilöille aiheuttamia riskejä ja punnita toimenpiteitä riskien pohjalta? Tulee kyllä, ainakin tietosuoja-asetuksen mukaan.

Voidaanko automaattisia suojatoimia, kuten Data Loss Prevention -ominaisuuksia käyttää henkilötietojen suojaamiseen? Onko sähköposti eri asemassa suojaamisen osalta kuin verkkotallennustila, kuten OneDrive for Business tai Sharepoint Online? Data Loss Prevention voi haluttaessa estää tunnistettavan henkilötiedon, kuten henkilötunnuksen, pankkitilin numeron tai muun vastaavan lähettämisen sähköpostilla tai tallentamisen tiedostoon tai pyytää käyttäjältä vahvistuksen toimenpiteeseen tai neuvoa käyttäjää toimimaan organisaation toimintapolitiikan mukaisesti. Azure Information Protection voi puolestaan automaattisesti luokitella viestejä ja tiedostoja tietosisällön mukaan, antaa käyttäjälle mahdollisuuden luokitella niitä ja automaattisesti salata tiedostot ja viestit koko niiden elinkaaren ajaksi. Olennaista näissä molemmissa työkaluissa on, että käyttäjälle voidaan antaa koko ajan täysi näkyvyys siihen, mitä hän tekee ja mitä palvelu tunnistaa tietosisällössä. Kaikki uudet ja uudehkot Office-versiot pystyvät näyttämään käyttäjälle sekä sähköpostiviestien että tiedostojen tietosisällön osalta suojattavat henkilötiedot.

Suostumus ratkaisee

Olen keskustellut sekä Tietosuojavaltuutetun toimiston että Viestintäviraston kanssa asiasta. Työntekijän viestinnän luottamuksellisuuteen puuttuminen automaattisella valvonnalla tai automaattisella tietojen salaamisella on Viestintäviraston mukaan mahdollista vain työntekijän suostumuksella. Työntekijälle voidaan ilman suostumustakin antaa käyttöön välineitä, joilla hän voi toteuttaa suojaustoimenpiteet itse, mutta automaattisten toimenpiteiden toteuttaminen olisi mahdollista vain suostumuksella.

Ennen suostumusta toimenpiteet tulisi käsitellä työntekijöiden kanssa yhteistoimintamenettelyssä. Tämä luonnollisesti tarkoittaa riittävän hyvää dokumentointia organisaatiossa noudatettavista menettelytavoista ja toimintapolitiikoista. Tietosuoja-asetuksen velvoitteet tulevat tältä osin toteutettua ikään kuin itsestään.

Tilanne ei varmasti ole organisaation kannalta ihanteellinen. Mitä jos työntekijä ei suostu? Mitä siinä tilanteessa voidaan laillisesti tehdä?

On huomattava, että toimintojen kaikkia ominaisuuksia ei välttämättä pystytä käyttämään, vaan seurannan ja raportoinnin osalta voidaan joutua rajoittamaan käytettäviä ominaisuuksia, esimerkiksi sitä, kenelle tieto henkilötietojen käsittelystä lähetetään. Organisaation tietosuojavastaava tuntuu luontevalta roolilta käsittelemään tällaisia tietoja, normaalin ylläpitäjän rooliin tällainen ei mielestäni kuulu.

Lainsäädännössä on kehittämistarpeita

Miksi olemme tällaisessa tilanteessa? Miksi laki näyttää estävän kehittyneiden suojaamistoimenpiteiden käytön? Mielestäni, ja tämä on tietenkin vain oma mielipiteeni, lainsäädäntö, vaikka yrittääkin olla teknologianeutraalia, on liiaksi sidottu pitkään vallinneeseen tietoturvallisuuden paradigmaan, organisaation toimipisteen ja organisaation ympärille rakennettuun muuriin ja turvalliseen sisäverkkoon. Suuri osa tietoturvasta rakentuu sisäverkon reunan ylittävän tietoliikenteen valvonnan varaan ja Tietoyhteiskuntakaaressa on selvästi nähtävissä tämä ”tietoliikenteen valvonta on tietoturvaa” -ajattelu.

Nykyaikainen tietoturvallisuus rakentuu kuitenkin paljon hienojakoisemmin. On siirrytty uuden tietoturvallisuusparadigman aikaan. Pääosassa ovat identiteetti, tiedot, päätelaitteet ja sovellukset. Näitä kaikkia suojataan erikseen ja kaikkien komponenttien tulee kyetä toimimaan ei-luotetussa ympäristössä. Yksittäisen tiedon suojaaminen salauksella ja valvottavissa olevilla käyttöoikeuksilla yli organisaatiorajojen koko tiedon elinkaaren ajan luo aivan erilaisen toimintamallin ja tuo parempaa suojaa tiedoille.

Teknologianeutraali lainsäädäntö on oman historiansa vanki. Mielestäni olisi syytä harkita, tarvittaisiinko erityistä sääntelyä varmistamaan työntekijän ja rekisteröidyn oikeuksien yhteensovittaminen. Työntekijän suostumukseen perustuva käsittely ei ole kovin vankalla pohjalla, sillä on vaikea nähdä kuinka työntekijän suostumus voisi olla Tietosuoja-asetuksen edellyttämällä tavalla vapaaehtoinen. Ehkä EU:n ePrivacy-asetus tuo tähän asiaan ratkaisun.

 

Aki Siponen
teknologiajohtaja
Microsoft Oy

Huomautus: Tämä ei ole oikeudellista neuvontaa, vaan pohdiskelua siitä, millä tavalla digitalisaation edetessä yhä enemmän digitaalisiksi ja automaattisiksi muuttuvat toiminnot voidaan toteuttaa lainsäädännön vaatimuksia noudattaen ja perusoikeuksia kunnioittaen.