Tulostusversio

1/2008

Hyvät käytännöt: Tietosuoja osana liiketoimintaa

Teksti: Kaisa Lakovaara

Koko yhtiön kattava tietosuojapolitiikka ja käytännöt ovat keskeisellä sijalla IBM:n pyrkimyksessä liittää tietosuoja ja tietoturvallisuus liiketoiminnan malleihin ja tavoitteisiin.

IBM:n tietosuojastrategiana on noudattaa tietosuojan alueella olevia ja ennakoida tulevia vaatimuksia sekä mukauttaa toimintaansa niiden mukaisiksi. Strategiaan liittyy läheisesti myös se, miten yhtiö tulevaisuudessa tulee hoitamaan yhä moninaisempia tietosuojavaatimuksia ja -kysymyksiä sekä kehittämään uusia teknologioita, liiketoimintaprosesseja ja sovelluksia tietosuojan alueella.

IBM otti yhtenä ensimmäisistä yhtiöistä käyttöön maailmanlaajuiset tietosuojasäännöt ja -ohjeistuksen. Se on vaikuttanut myös yhteistyökumppaniensa tietosuojakäytäntöihin muun muassa edellyttämällä näiltä tietosuojailmoituksia ja tietosuojapolitiikkaa. Yhtiö on myös vaatinut USA:n vakuutusyhtiöitä poistamaan henkilötunnukset sairausvakuutuskorteista ja muista helposti saatavilla olevista asiakirjoista.

Tietosuojaorganisaatio tukee toimintaa

IBM:llä on maailmanlaajuinen tietosuojapolitiikka ja -ohjeistus. Lisäksi käytössä on standardeja henkilötietojen keräämisestä, käytöstä, tallentamisesta, säilyttämisestä, suojaamisesta, luovuttamisesta ja käyttöoikeuksista.

Periaatteena on, että tietosuojan menettelytapojen tulee olla koko henkilöstön tiedossa. Tätä tuetaan organisatorisilla, teknologia- ja turvallisuustoimenpiteillä, jotka on suunniteltu suojaamaan henkilötietoja. Esimerkkeinä toimenpiteistä mainittakoon turvallisuusstandardien varmistaminen muun muassa automaattisilla työasematarkastuksilla, henkilöstön kouluttamisella ja sisäisellä tarkastuksella. 

IBM on mukana erilaisissa järjestelmissä ja menetelmissä siirtäessään henkilötietoja maasta toiseen ja EU:n ulkopuolelle. Tähän kuuluvat muun muassa Safe Harbor -järjestelmä ja EU-mallisopimuslausekkeet. Näillä tuetaan myös yhtiön maailmanlaajuista toimintaa.

Erillinen tietosuojaorganisaatio tukee liiketoimintaa asiantuntemuksellaan. IBM:n Chief Privacy Officer (CPO) valvoo henkilötietoihin liittyvien yhtiön tietosuojaohjelmien ja -käytäntöjen noudattamista. Hän johtaa yhtiön tietosuojaorganisaatiota, johon kuuluu Pohjois-Amerikassa sijaitseva tietosuojayksikkö (Privacy Office) sekä alueittain määritellyt tietosuojavastaavat (Privacy Officer), jotka vastaavat ja toimivat asiantuntijoina tietosuoja-asioissa.

IBM:n tietosuojaorganisaatioon kuuluu myös asiantuntijoita muun muassa lakiasiain-, turvallisuus- ja henkilöstöosastoilta, tuotekehityksestä sekä palvelutoiminnoista.

Yhtiö myös rahoittaa tutkimustoimintaa, joka keskittyy kehittämään tietosuojaan liittyvää teknologiaa.

Henkilötietojen siirrosta sovitaan

IBM ei toimi asiakkaiden henkilötietojen rekisterinpitäjänä. Yhtiö kuitenkin käsittelee tietoja asiakassopimuksissa määriteltyjen kirjallisten ja erikseen sovittujen ohjeiden mukaan.

Rekisterinpitäjinä toimivat asiakkaat ovat vastuussa heitä velvoittavan lainsäädännön ja muiden säännösten noudattamisesta. Toisaalta IBM vastaa omalta osaltaan lainsäädännön noudattamisesta siinä laajuudessa kuin se soveltuu henkilötietojen käsittelijään.

Jos sopimusehdot sisältävät henkilötietojen käsittelyä Euroopan ulkopuolella, IBM sopii yksityiskohtaisesti yhdessä asiakkaan kanssa siitä, mitä ja minne henkilötietoja siirretään sekä myös alueellisesti sen, missä tietoja käsitellään. Tämä tapahtuu sekä sopimusneuvottelujen aikana että ennen henkilötietojen siirtoa.

IBM:llä on laaja kokemus sekä yhtiön omien että sen asiakkaiden kansainvälisistä henkilötietojen siirroista. Yhtiö voi avustaa ja opastaa asiakkaita määrittelemään kaikki ne henkilötietojen siirtoon liittyvät vaiheet, vaatimukset ja säännöstöt, jotka heidän tulee huomioida ja omaksua.

Yhtiö on lisäksi tehnyt useiden asiakkaiden kanssa tietosuojayhteistyötä erilaisten toimenpiteiden ja toimintaohjelmien läpiviemiseksi.

Myös paikallisia menettelyjä

IBM noudattaa Suomessa Suomen lakia ja säännöksiä. Maailmanlaajuisten ohjelmien ja ohjeistuksen lisäksi on myös tarpeen mukaan luotu paikallisia menettelytapoja, joilla voidaan turvata sekä oman henkilöstön että asiakkaitten henkilötietoja.

Suomessa toimivan tietosuojavastaava Kaisa Lakovaaran vastuualueeseen kuuluvat Pohjoismaat ja Baltian maat. Tämän lisäksi hän toimii esimiehenä North East -alueen tietosuojavastaaville. Hän raportoi yhtiön Euroopan tietosuojavastaavalle ja pääkonttorin tietosuojayksikköön.

Laajan ja kattavan tietosuojaorganisaation avulla on haluttu varmistaa, että alueellisesti pystytään täyttämään tietosuojavaatimukset, joita tulee jatkossa olemaan yhä enemmän.

Henkilöstön tulee lukea ja hyväksyä vuosittain eettiset säännöt (Business Conduct Guidelines) sekä suorittaa niihin liittyvä koulutus. Eettiset säännöt sisältävät muun muassa tietosuojaan ja -turvallisuuteen liittyvät osa-alueet.

Lisäksi järjestetään koko henkilöstön saatavilla olevaa koulutusta, joka osittain on verkkokursseja ja osittain tietyille osastoille suunnattua koulutusta. Henkilöstöltä edellytetään tai heitä rohkaistaan osallistumaan tietosuoja ja -turvallisuuskoulutukseen tehtävästä riippuen. Tällä halutaan parantaa henkilöstön tietoisuutta ja ymmärrystä tietosuoja-asioissa sekä niihin liittyvissä vaatimuksissa.

Henkilöstölle tiedotetaan myös henkilötietojen käsittelyn ja suojaamisen tärkeydestä eri yhteyksissä, muun muassa yhtiön yleisillä intranetsivuilla sekä erityisillä tietosuojasivuilla.

Uusia työkaluja

Tulevaisuudessa painopisteet tietosuojan alueella liittyvät muiden muassa uusien työkalujen kehittämiseen, joilla pystyttäisiin entistä tehokkaammin huolehtimaan erilaisista tietosuojaan ja -turvaan liittyvistä vaatimuksista.

Henkilöstön kouluttamisella pyritään lisäämään ja parantamaan yleistä tietoisuutta tietosuoja-asioissa sekä kohdentamaan koulutusta erityisesti niihin organisaation osiin, joissa nämä asiat ovat korostuneessa asemassa. Prosessien ja ohjelmien kehittäminen tulee myös olemaan jatkuvaa, jotta IBM pystyy vastaamaan yhä haastavampiin vaatimuksiin tietosuojan alueella myös tulevaisuudessa.

---------

[KIRJOITTAJA]

Data Privacy Officer Kaisa Lakovaara työskentelee Suomen IBM:n tietosuojavastaavana, vastuualueenaan Pohjoismaat ja Baltia.

----

IBM

IBM:n henkilöstömäärä on nykyään noin 370 000, ja toimintaa on noin 170 maassa. IBM:n 98,8 miljardin dollarin liikevaihto jakautuu nykyisin melko tasan laitteisto-, ohjelmisto- ja liiketoiminta- ja teknologiapalvelujen kesken.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.