Tietosuoja- ja tietosuojapolitiikka

Tietosuoja- ja tietosuojapolitiikka (P17) määrittää kattavan viitekehyksen henkilötietojen suojaamiseksi ja sisäänrakennetun tietosuojan periaatteiden toteuttamiseksi koko organisaatiossa. Tämä politiikka asettaa pakolliset organisatoriset ja teknologiset vaatimukset, jotka ovat tarpeen kansainvälisten standardien ja kehittyvien sääntelykehysten noudattamiseksi, varmistaen, että henkilötietoja käsitellään lainmukaisesti, turvallisesti ja läpinäkyvästi koko niiden elinkaaren ajan. Kattavuus ulottuu kaikkiin organisaatioyksiköihin, koko henkilöstöön ja järjestelmiin, jotka käsittelevät henkilötietoja, riippumatta siitä, ovatko tiedot fyysisellä tai digitaalisella medialla, ja sisältää pilvipalvelut, SaaS-alustat ja mobiililaitteet. Politiikka on soveltamisalaltaan täsmällinen ja selventää, että kaikki työntekijät, urakoitsijat ja kolmannet osapuolet kuuluvat sen vaatimusten piiriin. Kaikki ympäristöt, joissa henkilötietoja sijaitsee — tuotanto-, kehitys-, testi- tai varmuuskopioympäristöt — sisältyvät. Politiikka käsittelee henkilötietojen keruun, säilytyksen ja käytön lisäksi myös säilyttämisen, hävittämisen, rajat ylittävät siirrot sekä rekisteröidyn oikeuksien käsittelyn. Politiikan keskeinen tavoite on varmistaa vaatimustenmukaisuus johtavien säädösten ja standardien kanssa: GDPR (artiklat 5, 6, 12–23, 25, 28, 30, 32–34; johdanto-osan kappale 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (lausekkeet 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (hallintakeinot 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (useita hallintakeinoja) ja COBIT 2019 (APO12, DSS01, DSS05, MEA). Tätä varten se edellyttää roolien ja vastuurakenteiden osoittamista: Executive Management varmistaa strategisen valvonnan; DPO koordinoi vaatimustenmukaisuusprosesseja, rekisteröidyn oikeuksien täytäntöönpanoa ja vuorovaikutusta valvontaviranomaisten kanssa; ja Security, Legal, Data Owners ja IT toteuttavat yhdessä teknologiset ja organisatoriset suojatoimet, ylläpitävät rekistereitä ja hallitsevat tietoturvaloukkauksia. Politiikka edellyttää muodollista Privacy Governance Frameworkia, joka on integroitu organisaation tietoturvallisuuden hallintajärjestelmään johdonmukaisen täytäntöönpanon varmistamiseksi. Se määrittelee prosessit tietosuojariskirekisterien ylläpitämiseksi, DPIA-arviointien tekemiseksi korkean riskin käsittelytoimille sekä sen varmistamiseksi, että tietosuojakontrollit (tietojen minimoinnista ja pseudonymisoinnista säilytysaikataulutukseen ja turvalliseen hävittämiseen) on sisällytetty syvällisesti. Lainmukainen käsittely ja dokumentoidut oikeusperusteet ovat perustana, ja suostumuksen, tietovarantojen sekä rajat ylittävien tietovirtojen hallinta on kuvattu nimenomaisesti. Rekisteröidyn pyynnöt käsitellään asetetuissa määräajoissa ja kirjataan jäljitettävyyden varmistamiseksi, ja vahvat viitekehykset tietoturvaloukkausten hallintaan, poikkeusten käsittelyyn ja kolmansien osapuolten valvontaan kuvataan yksityiskohtaisesti. Säännölliset katselmoinnit, tarkastusjäljet sekä vaatimus vuosittaisista (tai ad hoc) sisäisistä auditoinneista auttavat varmistamaan, että politiikka pysyy tehokkaana ja reagoi sääntelymuutoksiin, auditointihavaintoihin tai merkittäviin poikkeamiin. Jokainen merkittävä päivitys on hyväksytettävä Executive Managementilla ja dokumentoitava tietoturvallisuuden hallintajärjestelmässä. Tämä politiikka on olennainen osa organisaation laajempaa tietoturvallisuus- ja riskienhallintajärjestelmää ja linkittyy läheisesti täydentäviin politiikkoihin, jotka koskevat tietoturvapoikkeamiin reagointia, riskienhallintaa, luokittelua, säilytystä, tietojen peittämistä ja auditointivalvontaa.