970 likes | 1.13k Views
Tietoturvallisuuden merkitys ja tavoitteet. VAHTI Tietoturvallisuuden perusteet 5.11.2006. Mihin tietoturvallisuutta tarvitaan?. Tietoturvatoimenpiteillä turvataan yksilön, yhteisön ja yhteiskunnan etuja Tietoturvallisuus on osa organisaation toiminnan laatua
E N D
Tietoturvallisuuden merkitys ja tavoitteet VAHTI Tietoturvallisuuden perusteet 5.11.2006
Mihin tietoturvallisuutta tarvitaan? • Tietoturvatoimenpiteillä turvataan yksilön, yhteisön ja yhteiskunnan etuja • Tietoturvallisuus on osa organisaation toiminnan laatua • Tietoturvallisuus on yhteiskunnan toimintojen, palvelujen, sovellusten ja tietoteknisen infrastruktuurin perusedellytys • Puutteellinen tietoturvallisuus vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja sekä aiheuttaa lisätyötä ja -kustannuksia
Tietoturvallisuus käsitteenä • Hyvä tietoturvallisuus tarkoittaa tilannetta, jossa sekä tietojen, järjestelmien, palveluiden että tietoliikenteen • Luottamuksellisuuteen • Eheyteen ja • Käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä
Tietoturvallisuuden säädöspohja VAHTI Tietoturvallisuuden perusteet 29.9.2006
Tietoturva- ja tietosuojasäädökset • Suomessa ei ole yhtenäistä tietoturvalainsäädäntöä • Tietoturvallisuuden järjestämistä koskevia säännöksiä sisältyy useisiin lakeihin ja asetuksiin • Myös henkilötietojen käsittelyyn ja luottamuksellisen viestinnän suojaan liittyviä säännöksiä on lukuisissa eri laeissa
Suomen perustuslaki (731/1999) • Oikeusvaltioperiaate (2 §) • Yksityiselämän suoja (10 §) • Viranomaisen toiminnan julkisuus (12 §) • Vastuu virkatoimista (118 §)
Henkilötietolaki (523/1999) • Henkilötietojen käsittelyä koskevat yleiset periaatteet (5-10 §) • Arkaluonteiset tiedot ja henkilötunnus (11-13 §) • Henkilötietojen käsittely erityisiä tarkoituksia varten (14-21 §) • Henkilötietojen siirto Euroopan unionin ulkopuolelle (22-23 §) • Rekisteröidyn oikeudet (24-31 §) • Tietoturvallisuus ja tietojen säilytys (32-35 §) • Vahingonkorvausvelvollisuus ja rangaistussäännökset (47-48 §)
Laki viranomaisten toiminnan julkisuudesta (621/1999) • Julkisuusperiaate (1 §) • Asiakirjan julkiseksi tuleminen (6-8 §) • Oikeus saada tieto asiakirjasta (9-12 §) • Tiedon antaminen asiakirjasta (13-16 §) • Viranomaisen velvollisuudet edistää tiedonsaantia ja hyvää tiedonhallintatapaa (17-21 §) • Salassapitovelvoitteet (22-25 §) • Asiakirjasalaisuus • Vaitiolovelvollisuus ja hyväksikäyttökielto • Salassa pidettävät viranomaisen asiakirjat • Salassapito- ja luokitusmerkintä • Rangaistussäännökset (35 §)
Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintotavasta (1030/1999) • Hyvän tiedonhallintatavan toteuttaminen (1-4 §) • Selvitykset hyvän tiedonhallintatavan toteuttamiseksi • Erityissuojattavan tietoaineiston luokitus • Erityissuojattavaa tietoaineistoa koskevat yleiset tietoturvallisuustoimenpiteet • Ohjeet, valvonta ja seuranta • Tiedonsaantioikeuksien toteuttaminen ja edistäminen (5-8 §) • Valtionhallinnon viestintä (8 abc §)
Arkistolaki (831/1994) • Arkistotoimi ja sen järjestäminen (6-10 §) • Tehtävänä varmistaa asiakirjojen käytettävyys ja säilyminen, huolehtia asiakirjoihin liittyvästä tietopalvelusta, määritellä asiakirjojen säilytysarvo ja hävittää tarpeeton aineisto • Asiakirjojen laatiminen, säilyttäminen ja käyttö (11-16 §) • Säilytystavat ja -materiaalit • Turvassa tuhoutumiselta, vahingoittumiselta ja asiattomalta käytöltä • Hävittäminen määrätyn säilytysajan jälkeen siten, että tietosuoja on varmistettu
Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) • Sähköisten asiointipalvelujen järjestäminen (5 §) • Viranomaisen saavutettavuuden turvaaminen ja yhteystiedoista ilmoittaminen (6-7 §) • Sähköisen viestin lähettäminen (8-15 §) • Vastuu sähköisen viestin perillemenosta • Kirjallisen muodon ja allekirjoitusvaatimuksen täyttyminen • Sähköisen viestin saapumisajankohta • Sähköisen asiakirjan kirjaaminen tai rekisteröiminen • Sähköisen viestin tekninen muokkaaminen • Päätösasiakirjan sähköinen allekirjoittaminen ja sähköinen tiedoksianto (16-19 §)
Sähköisen viestinnän tietosuojalaki (516/2004) • Yksityisyyden ja luottamuksellisen viestin suoja (4-7 §) • Viestien ja tunnistamistietojen käsittely (8-15 §) • Paikkatiedot (16-18 §) • Viestinnän tietoturva (19-21 §) • Puhelupalvelut (22-25 §) • Suoramarkkinointi (26-29 §) • Rangaistussäännökset (42 §)
Laki sähköisistä allekirjoituksista (14/2003) • Sähköisiin allekirjoituksiin liittyvien palvelujen ja tuotteiden vapaa liikkuvuus (4 §) • Turvallinen allekirjoituksen luomisväline (5 §) • Laatuvarmenne (7 §) • Vastuu allekirjoituksen luomistietojen oikeudettomasta käytöstä (17 §) • Sähköisen allekirjoituksen oikeusvaikutus ja henkilötietojen käsittely (18-21 §)
Viestintämarkkinalaki (393/2003) • Teletoiminnan harjoittaminen (4-15 §) • Velvollisuuksien asettaminen teleyritykselle (16-22 §) • Käyttäjän oikeudet (59-83 §) • Viranomaisen avustamiseen liittyvät teleyrityksen velvollisuudet (90-99 §) • Tietojen luovuttaminen ja julkistaminen sekä kuulemisvelvollisuus (112-118 §) • Viestintäverkkoa ja viestintäpalvelua koskevat laatuvaatimukset ja määräykset (128-129 §)
Laki julkisista hankinnoista (1505/1992) • Hankinnan tekeminen (5-7 §) • Vahingonkorvaus ja markkinaoikeuden määräämät seuraamukset (8-9 §) • Tietojenanto (13 §) • Tiedonsaantioikeus ja vaitiolovelvollisuus (14 §) • Rangaistussäännös (15 §)
Hallintolaki (434/2003) • Hyvän hallinnon perusteet (6-10 §) • Asiamiehen ja avustajan salassapitovelvollisuus (13 §) • Hallintoasian vireilletulo ja asian käsittely viranomaisessa (16-53 §) • Asiakirjan lähettäjän vastuu • Käsittelyn julkisuus • Esteellisyys
Asetus valtion talousarviosta (1243/1992) • Virastojen ja laitosten maksuliike ja palkan laskenta on hoidettava riittävän yhtenäisiä, turvallisia sekä tarvittavat tiedot antavia järjestelmiä käyttäen (40 §) • Kirjanpito on hoidettava riittävän yhtenäisiä, turvallisia sekä tarvittavat tiedot antavia järjestelmiä käyttäen. Valtiokonttori antaa tarvittaessa tarkempia määräyksiä ja ohjeita kirjanpidossa käytettävistä järjestelmistä (41 a §) • Tilivirastolla tulee olla taloussääntö … Talous-säännössä on annettava tarkemmat määräykset … tiliviraston taloushallinnon ja siihen liittyvien järjestelmien tietoturvallisuudesta (69 b §)
Laki kansainvälisistä tieto-turvallisuusvelvoitteista (588/2004) • Salassapitovelvollisuus ja tietojen käyttö (6 §) • Vaitiolovelvollisuus ja hyväksikäyttökielto (7 §) • Turvallisuusluokan merkitseminen (8 §) • Turvallisuusluokkaa vastaavat käsittelyvaatimukset (9 §) • Tiloihin liittyvät turvallisuusvaatimukset (10 §) • Henkilöturvallisuusselvitykset ja arviot (11 §) • Yhteisöturvallisuusselvitykset ja arviot (12 §) • Turvallisuustodistus (14 §) • Rangaistussäännökset (20 §)
Valtion virkamieslaki (750/1994) • Sidonnaisuudet (8 a §) • Virkamiehen on suoritettava tehtävänsä asianmukaisesti ja viivytyksettä. Hänen on noudatettava työnjohto- ja valvontamääräyksiä (14 §) • Vaitiolovelvollisuus (17 §) • Virkamiehelle, joka toimii vastoin virkavelvollisuuksiaan tai laiminlyö niitä, voidaan antaa kirjallinen varoitus (24 §) • Virkamiehen virkasuhde voidaan heti purkaa, jos virkamies törkeästi rikkoo tai laiminlyö virkavelvollisuuksiaan (33 §) • Virasto voi tehdä virkamiehen kanssa kirjallisen sopimuksen palvelussuhteessa noudatettavista ehdoista (44 §) • Virkasuhteessa aiheutuneen vahingon korvaamisesta on voimassa, mitä siitä erikseen säädetään (64 §)
Laki yksityisyyden suojasta työelämässä (759/2004) • Henkilötietojen käsittelyn yleiset edellytykset (3-5 §) • Huumausaineiden käyttöä koskevien tietojen käsittely (6-12 §) • Testien ja tarkastusten suorittamista koskevat vaatimukset (13-15 §) • Kameravalvonta työpaikalla (16-17 §) • Työnantajalle kuuluvien sähköpostiviestien hakeminen ja avaaminen (18-20 §) • YT-menettely teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä (21 §) • Rangaistussäännös (24 §)
Laki turvallisuusselvityksistä (177/2002) • Perusmuotoinen turvallisuusselvitys (4-13 §) • Haetaan kirjallisesti • Etukäteen kirjallinen suostumus • Tekemisestä päättää suojelupoliisi • Annetaan hakijalle kirjallisesti • Ei sido selvityksen hakijaa • Selvityksen turvallinen säilyttäminen ja salassapitovelvollisuus • Turvallisuusluokitus ja laaja turvallisuusselvitys (14-18 §) • Suppea turvallisuusselvitys (19-23 §) • Rangaistussäännökset (28 §)
Rikoslaki (39/1889) • Yksityisyyden, rauhan ja kunnian loukkaaminen (24 L) • Salakuuntelu ja -katselu (5-7 §) • Elinkeinorikokset (30 L) • Yritysvakoilu (4 §) • Yrityssalaisuuden rikkominen (5 §) • Yrityssalaisuuden väärinkäyttö (6 §) • Yleisvaaralliset rikokset (34 L) • Vaaran aiheuttaminen tietojenkäsittelylle (9 a §)
Rikoslaki (39/1889) • Tieto- ja viestintärikokset (38 L) • Salassapitorikos (1 §) • Salassapitorikkomus (2 §) • Viestintäsalaisuuden loukkaus (3-4 §) • Tietoliikenteen häirintä (5-7 §) • Tietomurto ja suojauksen purkujärjestelmärikos (8 §) • Henkilörekisteririkos (9 §) • Virkarikos (40 L) • Virkasalaisuuden rikkominen (5 §) • Virkavelvollisuuden rikkominen (9-10 §)
Rikoslaki (39/1889) • Aineettomien oikeuksien loukkaaminen (49 L) • Tekijänoikeusrikos (1 §) • Teknisen suojauksen kiertäminen (3-4 §) • Oikeuksien sähköisten hallinnointitietojen loukkaus (5 §)
Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuudesta (VM0024:00/02/99/1998) • Tietoturvallisuuden ja sen kehittämisen merkitys • Tietoturvallisuus ja sen osa-alueet • Tietoturvallisuuden hallinta ja tietoturvallisuustyö viranomaisessa • Kukin viranomainen on velvollinen huolehtimaan omasta tietoturvallisuudestaan • Viranomaisilla tulee olla ajantasainen tiedonkäsittelyn turvaamissuunnitelma, toipumissuunnitelma ja tiedonkäsittelyn valmiussuunnitelma • Ylin johto hyväksyy ja vahvistaa organisaatiossaan noudatettavat turvallisuus- ja varautumisperiaatteet sekä määrittelee asiaa hoitavan sisäisen organisaation • Tietoturvallisuuden ohjaus ja seuranta valtionhallinnossa
Laki tietoyhteiskunnan palvelujen tarjoamisesta (458/2002) • Tietoyhteiskunnan palvelujen tarjoamisen vapaus (5-6 §) • Tiedonantovelvollisuus sekä sähköiset tilaukset ja sopimukset (7-12 §)
Laki eräiden suojauksen purkujärjestelmien kieltämisestä (1117/2001) • Suojauksen purkujärjestelmää koskeva kielto (3 §) • Suojauksen purkujärjestelmän oikeudeton hallussapito, käyttö, valmistus, maahantuonti, kaupanpito, vuokraus, levittäminen, myynninedistäminen, asentaminen ja huolto on kielletty • Rangaistussäännös (6 §)
Valmiuslaki (1080/1991) • Päätöksentekomenettely (2 L) • Yleiset periaatteet (3 L) • Toimivaltuudet (4 L) • Varautuminen (6 L) • Valtioneuvoston, valtion hallintoviranomaisten, valtion liikelaitosten ja muiden valtion viranomaisten sekä kuntien tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muin toimenpitein varmistaa tehtäviensä mahdollisimman häiriötön hoitaminen myös poikkeusoloissa. Poikkeusoloihin varautumista johtaa, valvoo ja yhteensovittaa valtioneuvosto sekä kukin ministeriö hallinnonalallansa (40 §) • Tiedonantovelvollisuus ja salassapitosäännökset (44-45 §) • Rangaistussäännökset (49-51 §)
Valtionhallinnon tieto-turvallisuuden johtoryhmän (VAHTI) ohjeisto • VAHTI 7/2006 Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen - hallittu prosessi • VAHTI 6/2006 Tietoturvatavoitteiden asettaminen ja mittaaminen • VAHTI 5/2006 Asianhallinnan tietoturvallisuutta koskeva ohje • VAHTI 4/2006 Selvitys valtionhallinnon ympärivuorokautisen tietoturvatoiminnan järjestämisestä • VAHTI 3/2006 Selvitys valtionhallinnon tietoturvaresurssien jakamisesta • VAHTI 2/2006 Electronic-mail Handling Instruction for State Government
Valtionhallinnon tieto-turvallisuuden johtoryhmän (VAHTI) ohjeisto • VAHTI 3/2005 Tietoturvapoikkeamatilanteiden hallinta • VAHTI 2/2005 Valtionhallinnon sähköpostien käsittelyohje • VAHTI 1/2005 Information Security and Management by Results • VAHTI 5/2004 Valtionhallinnon keskeisten tietojärjestelmien turvaaminen • VAHTI 4/2004 Datasäkerhet och resultatstyrning • VAHTI 3/2004 Haittaohjelmilta suojautumisen yleisohje • VAHTI 2/2004 Tietoturvallisuus ja tulosohjaus
Valtionhallinnon tieto-turvallisuuden johtoryhmän (VAHTI) ohjeisto • VAHTI 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa • VAHTI 5/2003 Datasäkerhetsanvisning för användaren • VAHTI 5/2003 User´s Information Security Instruction • VAHTI 4/2003 Valtionhallinnon tietoturvakäsitteistö • VAHTI 3/2003 Tietoturvallisuuden hallintajärjestelmän arviointisuositus • VAHTI 2/2003 Turvallisen etäkäytön arkkitehtuuri • VAHTI 1/2003 Valtion tietohallinnon Internet-tietoturvallisuusohje
Valtionhallinnon tieto-turvallisuuden johtoryhmän (VAHTI) ohjeisto • VAHTI 4/2002 Arkaluonteisten kansainvälisten aineistojen käsittelyohje • VAHTI 3/2002 Etätyön tietoturvaohje • VAHTI 1/2002 Tietoteknisten laitetilojen turvallisuussuositus • VAHTI 6/2001 Tietotekniikkahankintojen tietoturvallisuustarkistuslista • VAHTI 4/2001 Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje
Valtionhallinnon tieto-turvallisuuden johtoryhmän (VAHTI) ohjeisto • VAHTI 3/2001 Salauskäytäntöjä koskeva valtionhallinnon tietoturvallisuussuositus • VAHTI 2/2001 Valtionhallinnon lähiverkkojen tietoturvallisuussuositus • VAHTI 1/2001 Valtion viranomaisen tietoturvallisuustyön yleisohje • VAHTI 3/2000 Tietojärjestelmäkehityksen tietoturvallisuussuositus
Valtionhallinnon tieto-turvallisuuden johtoryhmän (VAHTI) ohjeisto • VAHTI 3/2000 Tietojärjestelmäkehityksen tietoturvallisuussuositus
Viestintäviraston määräyksiä • Viestintävirasto 9 B/2004 M, määräys tietoturvaloukkausten sekä vika- ja häiriötilanteiden ilmoittamisvelvollisuudesta yleisessä teletoiminnassa • Viestintävirasto 11/2004 M, määräys sähköpostipalvelujen tietoturvasta ja toimivuudesta • Viestintävirasto 47 B/2004 M, määräys teleyritysten tietoturvasta • Viestintävirasto 48 B/2004 M, määräys viestintäverkon fyysisestä suojaamisesta
Henkilörekisterit ja tietosuoja VAHTI Tietoturvallisuuden perusteet 5.11.2006
Tietosuojan määritelmät • Mitä on yksityisyyden suoja? • Perustuslain takaama luonnollisen henkilön oikeus ja mahdollisuus suojautua ulkopuoliselta puuttumiselta • Mitä on tietosuoja? • Oikeus tai mahdollisuus määrätä itseään koskevien henkilötietojen käsittelystä • Oikeus tulla arvioiduksi oikeiden ja oleellisten henkilötietojen perusteella • Oikeus tietojensa turvalliseen ja asianmukaiseen käsittelyyn ja rekisterinpitäjän velvollisuus tähän
Tietosuojalait • Henkilötietojen käsittelyyn sovellettavat tietosuojalait • Henkilötietolaki (523/1999) • Laki yksityisyyden suojasta työelämässä (759/2004) • Sähköisen viestinnän tietosuojalaki (515/2004)
Tietosuojalakien tarkoitus • Henkilötietolaki (523/1999) • Suojata yksityiselämää sekä edistää hyvän tietojenkäsittelytavan ja tiedonhallinnan kehittämistä ja noudattamista • Laki yksityisyyden suojasta työelämässä (759/2004) • Toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia työelämässä • Sähköisen viestinnän tietosuojalaki (515/2004) • Lisätä käyttäjien luottamusta sähköiseen viestintään ja sitä kautta edistää uusien palvelujen kehittämistä
Muita tietosuojan kannalta merkittäviä lakeja • Perustuslaki (731/1999) • Turvata valtiosääntönä ihmisarvon loukkaamattomuus ja yksilön vapaudet ja oikeudet sekä edistää oikeudenmukaisuutta yhteiskunnassa • Julkisuuslaki (621/1999) • Toteuttaa avoimuutta ja hyvää tiedonhallintatapaa; antaa mahdollisuus valvoa julkisen vallan käyttöä; muodostaa mielipiteensä sekä vaikuttaa julkisen vallan käyttöön; valvoa oikeuksiaan ja etujaan • Arkistolaki (831/1994) • Varmistaa asiakirjojen käytettävyys ja säilyminen; huolehtia tietopalvelusta, määritellä säilytysarvo ja hävittää tarpeeton aineisto
Henkilötiedot ja niiden käsittely • Mikä on henkilötieto? • Luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä, hänen perhettään tai hänen kanssaan eläviä koskeviksi • Mitä on henkilötietojen käsittely? • Henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista ja tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä
Henkilörekisteri • Mikä on henkilörekisteri? • Käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, • Jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla tai • Joka on järjestetty kortistoksi, luetteloksi tai muulla verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja ilman kohtuuttomia kustannuksia (looginen rekisteri)
Rekisteröity ja rekisterinpitäjä • Kuka on rekisteröity? • Henkilö, jota henkilötieto koskee • Kuka on rekisterinpitäjä? • Yksi tai useampi henkilö, yhteisö, laitos tai säätiö, jonka käyttöön henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty
Rekisteröidyn oikeudet ja velvollisuudet • Mitä oikeuksia ja velvollisuuksia rekisteröidyllä on? • Tiedonsaantioikeus • Tarkastusoikeus • Virheenoikaisuoikeus • Kielto-oikeus • Vaitiolovelvollisuus
Rekisteröidyn oikeudet ja velvollisuudet • Tiedonsaantioikeus • Rekisteröidyllä on yleensä oikeus saada tietää henkilötietojensa käsittelystä, mistä tiedot hankitaan, mihin niitä käytetään ja keille niitä luovutetaan • Tarkastusoikeus • Rekisteröidyllä on oikeus saada tietää, onko rekisterissä häntä koskevia tietoja tai mitä tietoja hänestä on siihen tallennettu • Rekisteröidyllä on myös oikeus saada jäljennös tiedoistaan • Tarkastuspyyntö esitetään rekisterinpitäjälle
Rekisteröidyn oikeudet ja velvollisuudet • Virheenoikaisuoikeus • Mikäli rekisteröidyn tiedot ovat virheellisiä, tarpeettomia, puutteellisia tai vanhentuneita, hän voi vaatia niiden oikaisua, hävittämistä, täydentämistä tai päivittämistä • Rekisteröity voi vaatia myös korvausta virheellisten tietojen käytöstä aiheutuneesta vahingosta • Kielto-oikeus • Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käyttämästä ja luovuttamasta tietojaan suoramainontaan, puhelinmyyntiin tai muuhun suoramarkkinointiin, osoitepalveluun, markkina- ja mielipidetutkimukseen sekä henkilömatrikkelia ja sukututkimusta varten
Rekisteröidyn oikeudet ja velvollisuudet • Vaitiolovelvollisuus • Rekisteröity, joka henkilötietoja käsitellessään on saanut tietää toisen ominaisuuksista, henkilökohtaisista tai taloudellisista oloista, ei saa henkilötietolain vastaisesti ilmaista sivullisille näitä tietoja • Rekisteröity, joka on saanut tiedon luottamuksellisesta viestistä tai tunnistamistiedosta, joka ei ole tarkoitettu hänelle, ei saa ilman viestinnän osapuolen suostumusta lain vastaisesti ilmaista tai käyttää hyväksi viestin sisältöä, tunnistamistietoa tai tietoa viestin olemassaolosta
Rekisterinpidon periaatteet • Mitä yleisiä periaatteita rekisterinpidossa on? • Suunnitelmallisuus • Tarpeellisuus ja huolellisuus • Suojaaminen • Informointi
Rekisterinpidon periaatteet • Suunnitelmallisuus • Rekisterinpitäjän tulee määritellä, mitä tarkoitusta varten henkilötietoja kerätään ja mihin henkilörekisteriä on tarkoitus käyttää • Rekisterinpitäjän tulee analysoida ja suunnitella henkilötietojen käsittely siten, että rekisteröityjen yksityisyyttä ei perusteettomasti vaaranneta • Rekisterinpitäjän tulee varmistaa, että hänellä on oikeus kerätä, käyttää tai käsitellä henkilötietoja
Rekisterinpidon periaatteet • Tarpeellisuus ja huolellisuus • Kussakin rekisterinpitäjän tehtävässä voidaan käsitellä vain siinä tarkoituksessa tarpeellisia henkilötietoja, erityisesti arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä • Rekisterinpitäjän on varmistettava henkilötietojen käsittelyn asianmukaisuus ja huolellisuus • Rekisterinpitäjän on myös varmistuttava keräämiensä ja käsittelemiensä henkilötietojen laadusta; tietojen tulee olla virheettömiä ja ajan tasalla olevia