Henkilötietojen luovutuspyynnöt GDPR:n ja ISO 27701:n mukaisesti

Pyyntö saapuu perjantaina klo 16.47
Asiakkuuksien onnistumisesta vastaava päällikkö välittää lakiasioista vastaavalle yksikölle sähköpostin, jonka otsikko on: ”KIIREELLINEN POLIISIPYYNTÖ.” Liitteenä on skannattu kirje, jossa pyydetään nimetyn henkilön tilitietoja, kirjautumishistoriaa, IP-osoitteita, maksutietoja ja ”kaikkea muuta olennaista tietoa”. Lähettäjä väittää edustavansa kyberrikosyksikköä. Sähköpostissa pyydetään luovutusta 24 tunnin kuluessa ja vaaditaan, ettei organisaatio ”ilmoita rekisteröidylle”.
Samaan aikaan tietoturvaoperaatioiden tiimi tutkii epätavallista toimintaa samalla asiakastilillä. Tietosuojavastaava on toisella aikavyöhykkeellä. CISO kysyy, onko kyse poikkeamasta, oikeudellisesta pyynnöstä, GDPR-luovutuksesta vai kaikista näistä. Myynti haluaa ”tehdä täyttä yhteistyötä”. Tuki haluaa tietää, voiko se viedä asiakasprofiilin. Joku ehdottaa koko CRM-tietueen lähettämistä, koska ”viranomaiset pyysivät kaikkea”.
Tämä on hallinta-aukko.
Useimmilla organisaatioilla on tietosuojapolitiikka, tietoturvapoikkeamiin reagointisuunnitelma ja prosessi rekisteröidyn tarkastuspyyntöjä varten. Monet pystyvät hallitsemaan toimittajien due diligence -arviointeja, viranomaiskirjeenvaihtoa ja tietoturvaloukkauksista ilmoittamista. Huomattavasti harvemmilla on toistettava työnkulku lainvalvontaviranomaisten, valvontaviranomaisten, tuomioistuinten, veroviranomaisten, finanssivalvojien, telealan valvontaviranomaisten, kyberrikosyksiköiden tai ulkomaisten viranomaisten pakottaviin tai virallisiin henkilötietojen luovutuspyyntöihin.
Tämä aukko on vaarallinen. Vilpillisen pyynnön noudattaminen voi muodostaa henkilötietojen tietoturvaloukkauksen. Perustellusta pyynnöstä kieltäytyminen voi aiheuttaa oikeudellista altistumista. Vastaaminen ilman hallittua prosessia voi johtaa liialliseen luovutukseen, katkenneeseen hallussapitoketjuun, määräaikojen laiminlyöntiin, lainvastaisiin kansainvälisiin siirtoihin ja auditoinnin epäonnistumiseen.
GDPR:n, ISO 27701:2025:n ja ISO/IEC 27001:2022:n mukaan virallinen henkilötietojen luovutuspyyntö ei ole pelkkä lakiasioiden sähköpostilaatikkoon kuuluva asia. Se koskee oikeusperustetta, osoitusvelvollisuutta, käyttötarkoitussidonnaisuutta, tietojen minimointia, luottamuksellisuutta, roolipohjaista hyväksyntää, kansainvälisten siirtojen hallintaa, henkilötietojen käsittelijän ohjeita, todentavan aineiston säilyttämistä, turvallista siirtoa ja auditointijälkiä.
Käytännön testi on yksinkertainen: pystyykö organisaatio pyynnön saapuessa osoittamaan, että se varmisti pyytäjän, arvioi toimivaltaperusteen, minimoi luovutuksen, hankki oikeat hyväksynnät, suojasi todentavan aineiston, kirjasi päätöksen ja säilytti auditointivalmiin jäljen?
Clarysecin kanta on selkeä. Lainvalvonta- ja valvontaviranomaisten henkilötietojen luovutuspyyntöjä tulee käsitellä hallittuna tietosuojan ja tietoturvan työnkulkuna, ei improvisoituna sähköpostivastauksena.
Miksi viralliset henkilötietojen luovutuspyynnöt ovat erilaisia
Tavanomainen ulkoinen tietojen jakamista koskeva järjestely alkaa yleensä liiketoimintatarkoituksesta. Toimittaja tarvitsee työntekijöiden henkilötietoja palkanlaskentaa varten. SaaS-palveluntarjoaja käsittelee asiakkaiden tunnisteita. Kumppani saa tapahtumatietoja sopimuksen perusteella. Hallintamalli on tuttu: due diligence, tietojenkäsittelysopimus, tietoturvavaatimukset, siirron arviointi, säilytysehdot ja jatkuva seuranta.
Lainvalvonta- ja valvontaviranomaisten henkilötietojen luovutuspyynnöt ovat erilaisia. Ne ovat tapahtumaperusteisia, aikakriittisiä, usein luottamuksellisia ja joskus oikeudellisesti sitovia. Ne voivat saapua hankintakanavien ulkopuolelta. Ne voivat koskea laajoja henkilötietoryhmiä. Ne voivat kieltää ilmoittamisen. Ne voivat liittyä ulkomaisiin viranomaisiin. Ne voivat saapua poikkeaman, petostutkinnan, oikeudellisen säilytysvelvoitteen, valvontatarkastuksen tai kyberrikostutkinnan aikana.
Tästä syntyy kolme välitöntä hallintavaatimusta.
Ensinnäkin organisaation tulee tietää, kuka saa vastata. Asiakasrajapinnan työntekijän ei pidä päättää, onko poliisipyyntö pätevä, onko valvontaviranomaisen sanamuoto sitova tai onko asiakkaalle ilmoittaminen kielletty.
Toiseksi yhteistyö tulee erottaa liiallisesta luovutuksesta. GDPR ei estä lainmukaista yhteistyötä viranomaisten kanssa, mutta se edellyttää edelleen pätevää oikeusperustetta, kohtuullisuutta, läpinäkyvyyttä soveltuvin osin, käyttötarkoitussidonnaisuutta, tietojen minimointia, eheyttä, luottamuksellisuutta ja osoitusvelvollisuutta.
Kolmanneksi todentava aineisto on säilytettävä. Jos pyyntö liittyy poikkeamaan, petostapahtumaan, oikeudenkäyntiasiaan tai valvontaviranomaisen tiedusteluun, lokien poistaminen, tallenteiden muuttaminen tai tietojen vienti ilman jäljitettävyyttä voi heikentää sekä vaatimustenmukaisuutta että oikeudellista puolustettavuutta.
Vahvin toimintamalli yhdistää tietosuojan hallinnan, oikeudellisen hyväksynnän, todistusaineiston käsittelyn, tietoturvapoikkeamiin reagoinnin, turvallisen siirron ja viranomaisyhteydet yhdeksi työnkuluksi.
Clarysecin kontrollikokonaisuus: viranomaiset, tietosuoja ja todentava aineisto
Teoksessa Zenith Controls: The Cross-Compliance Guide Clarysec käsittelee lainvalvonta- ja valvontaviranomaisten luovutuspyyntöjen hallintaa toisiinsa kytkeytyvänä kontrollikokonaisuutena, ei erillisenä tietosuojatehtävänä. Keskeiset ISO/IEC 27002:2022 -hallintakeinot ovat 5.5 Contact with authorities, 5.28 Collection of evidence ja 5.34 Privacy and protection of PII. Tukevia kontrollisuhteita ovat luokittelu ja merkinnät, pääsynhallinta, toimittajasuhteet, poikkeamien hallinta, lokitus, kellon synkronointi, kryptografia, peittäminen, poistaminen ja tiedonsiirto.
Tällä on merkitystä, koska viralliset luovutuspyynnöt voivat epäonnistua useassa kohdassa. Tietosuojatiimi voi varmistaa oikeusperusteen mutta laiminlyödä todentavan aineiston säilyttämisen. SOC voi säilyttää lokit mutta luovuttaa liikaa henkilötietoja. Lakiasiat voivat hyväksyä vastauksen mutta unohtaa päivittää luovutusrekisterin. Henkilötietojen käsittelijä voi vastata suoraan viranomaiselle, vaikka pyyntö olisi pitänyt ohjata rekisterinpitäjälle.
Zenith Blueprint: An Auditor’s 30-Step Roadmap vahvistaa tämän operatiivisen yhteyden Controls in Action -vaiheen vaiheessa 22 kohdassa Contact with Authorities:
Hallintakeino 5.5 varmistaa, että organisaatio on valmis toimimaan tarvittaessa ulkoisten viranomaisten kanssa ennalta määriteltyjen, rakenteistettujen ja hyvin ymmärrettyjen kanavien kautta – ei reaktiivisesti tai paniikissa.
Sama kohta jäsentää kysymykset, joihin on vastattava ennen todellisen pyynnön saapumista:
Periaate on yksinkertainen: jos organisaationne joutuisi kyberhyökkäyksen kohteeksi, osalliseksi henkilötietojen tietoturvaloukkaukseen tai tutkinnan kohteeksi, kuka ottaisi yhteyttä viranomaisiin? Mistä hän tietäisi, mitä sanoa? Millä edellytyksillä tällainen yhteydenotto käynnistettäisiin? Näihin kysymyksiin on vastattava etukäteen, ei jälkikäteen.
Henkilötietojen suojaamisen osalta Zenith Blueprint kuvaa Controls in Action -vaiheen vaiheessa 23 tietosuojan elinkaaren kattavana velvoitteena:
Hallintakeino 5.34 edellyttää, että organisaatiot suojaavat yksilöiden tietosuojaa toteuttamalla asianmukaiset toimenpiteet henkilötietojen käsittelyyn koko niiden elinkaaren ajan.
Todentavan aineiston osalta sama vaihe ja askel selittää, miksi epämuodollinen käsittely on riskialtista:
Hallintakeino 5.28 tunnistaa, että poikkeaman jälkitilanteessa se, mitä pystyt osoittamaan, on yhtä tärkeää kuin se, mitä tosiasiallisesti tapahtui.
Yhdessä nämä kolme periaatetta määrittävät hallintamallin: tiedä, kuka kommunikoi viranomaisten kanssa, suojaa henkilötiedot koko luovutuksen elinkaaren ajan ja säilytä todentava aineisto puolustettavalla tavalla.
GDPR:n ja ISO 27701:2025:n näkökulma pakottavaan luovutukseen
ISO 27701:2025 vahvistaa henkilötietojen hallintajärjestelmän kurinalaisuuden tarvetta. PIMS:n tulee määrittää, miten rekisterinpitäjät ja henkilötietojen käsittelijät käsittelevät virallisia luovutuspyyntöjä, mukaan lukien vastaanotto, varmentaminen, oikeudellinen katselmointi, valtuutus, kirjaaminen, minimointi, turvallinen siirto, säilytys ja vastauksen jälkeinen katselmointi.
Rekisterinpitäjän osalta ydinkysymys on, määrittääkö organisaatio käsittelyn tarkoitukset ja keinot ja onko sen siksi päätettävä, onko luovutus lainmukainen ja miten se toteutetaan. Henkilötietojen käsittelijän osalta kysymys on, saako se ylipäätään luovuttaa tietoja ilman rekisterinpitäjän ohjetta, ellei laki sitä edellytä. Alikäsittelijän kohdalla reititys ja ketjutettavat velvoitteet korostuvat entisestään.
GDPR vahvistaa samat toimintavaatimukset. Luovutus viranomaiselle on edelleen käsittelyä. Organisaatio tarvitsee Article 6:n mukaisen oikeusperusteen, dokumentoidun tarkoituksen, asianmukaisen turvallisuuden, Article 5(1)(c):n mukaisen tietojen minimoinnin ja Article 5(2):n mukaisen osoitusvelvollisuutta koskevan näytön. Monissa tapauksissa oikeusperuste on Article 6(1)(c), eli käsittely, joka on tarpeen lakisääteisen velvoitteen noudattamiseksi, mutta vasta sen jälkeen, kun lakiasiat ovat varmistaneet pyynnön ja lainkäyttöalueen.
Kun pyyntö tulee ulkomaiselta viranomaiselta, siirtojen hallinta ja tietosuojavastaavan katselmointi ovat olennaisia. Kun pyyntö koskee henkilötietojen käsittelijää, sopimusperusteiset ilmoitus- ja ohjeistusvelvoitteet on tarkistettava. Kun pyyntö liittyy kyberturvallisuuspoikkeamaan, vastauksen on oltava yhdenmukainen poikkeamien käsittelyn ja todentavan aineiston keräämistä koskevien vaatimusten kanssa.
Clarysecin politiikkakokonaisuus muuntaa nämä vaatimukset operatiivisiksi säännöiksi.
Yritystason P17 Tietosuoja- ja yksityisyydensuojapolitiikka, kohta 6.1.1, toteaa:
Kaiken käsittelyn tulee perustua pätevään oikeusperusteeseen (esim. suostumus, sopimus, lakisääteinen velvoite).
Sama politiikka, kohta 6.2.1, lisää minimointia koskevan perustan:
Vain tiettyyn, oikeutettuun liiketoimintatarkoitukseen tarvittavia tietoja saa kerätä ja käsitellä.
Pk-yrityksille P17S Tietosuoja- ja yksityisyydensuojapolitiikka - SME, kohta 6.2.1, toteaa:
Vain välttämättömät henkilötiedot tulee kerätä ja säilyttää
Näillä kohdilla on merkitystä, kun pyynnössä vaaditaan ”kaikki tiedot”, ”täydellinen historia” tai ”kaikki asiaan liittyvät tallenteet”. Oikea vastaus ei ole kaikkien kenttien vienti. Oikea vastaus on pyynnön varmentaminen, oikeudellisesti edellytetyn soveltamisalan tunnistaminen, vain tarpeellisten henkilötietojen luovuttaminen, päätöksen dokumentointi ja todentavan aineiston säilyttäminen.
Sähköpostipaniikista hallittuun luovutukseen
Kypsän työnkulun tulee olla riittävän yksinkertainen asiakasrajapinnan työntekijöille ja riittävän kurinalainen auditoijille, valvontaviranomaisille ja tuomioistuimille. Clarysec suosittelee seitsemän vaiheen mallia.
| Vaihe | Kontrollitavoite | Ensisijainen omistaja | Syntyvä todentava aineisto |
|---|---|---|---|
| 1. Vastaanotto ja karanteeni | Estetään epämuodollinen vastaus tai vahingossa tapahtuva luovutus | Palvelupiste, lakiasioiden vastaanotto, tietosuojavastaava | Pyyntötiketti, alkuperäinen viesti, liitteet, aikaleima |
| 2. Aitouden varmentaminen | Varmistetaan pyytäjän henkilöllisyys, toimivalta, lainkäyttöalue ja oikeudellinen asiakirja | Lakiasiat, tietosuojavastaava, vaatimustenmukaisuustoiminto | Varmentamismuistiinpanot, viranomaisyhteyden varmistus, oikeusperusteen arviointi |
| 3. Roolin määrittäminen | Päätetään, toimiiko organisaatio rekisterinpitäjänä, henkilötietojen käsittelijänä, yhteisrekisterinpitäjänä vai alikäsittelijänä | Tietosuojavastaava, sopimusomistaja | PIMS-roolin arviointi, asiakkaan ohjeen kirjaus käsittelijätilanteessa |
| 4. Soveltamisalan minimointi | Muunnetaan pyyntö täsmällisiksi henkilötietoryhmiksi ja päivämääräväleiksi | Prosessin omistaja, tietoturva, lakiasiat | Tietokartoitteen ote, minimointipäätös, peittämistä koskevat muistiinpanot |
| 5. Hyväksyntä | Varmistetaan valtuutettu päätös ennen luovutusta | Tietosuojavastaava, lakiasiat, CISO, liiketoimintavastaava | Hyväksyntäkirjaus, kiireellisessä tilanteessa poikkeuskirjaus |
| 6. Turvallinen luovutus | Siirretään vain hyväksytyt tiedot hallittujen kanavien kautta | Tietoturva, lakiasiat | Siirtoloki, salausta koskeva todentava aineisto, vastaanottajan vahvistus |
| 7. Rekisteröinti ja katselmointi | Säilytetään osoitusvelvollisuutta koskeva näyttö ja opit | PIMS-päällikkö, vaatimustenmukaisuustoiminto | REG08-, REG09- tai REG12-kirjaus, auditointijälki, sulkemiskatselmointi |
Ensimmäinen sääntö on reititys. Jokaisen työntekijän tulee tietää, että viralliset henkilötietopyynnöt ohjataan määriteltyyn vastaanottopolkuun. Kenenkään ei tule vastata henkilökohtaisesta sähköpostilaatikosta. Kenenkään ei tule soittaa pyytäjälle käyttäen varmentamattomassa kirjeessä ilmoitettua puhelinnumeroa. Kenenkään ei tule viedä asiakastietoja ennen kuin lakiasiat ja tietosuojatoiminto ovat katselmoineet pyynnön.
Yritystason P30 Tietoturvapoikkeamien hallintapolitiikka, kohta 6.5.5, tukee tätä reitityskuria:
Kaikki yhteydenpito lainvalvontaviranomaisiin tai forensisiin palveluntarjoajiin on koordinoitava lakitiimin ja CISO:n kautta.
Tämä kohta on erityisen tärkeä, kun luovutuspyyntö liittyy petokseen, kyberrikokseen, käyttäjätilin vaarantumiseen, kiristyshaittaohjelmiin, sisäpiiriuhkaan tai tietoturvaloukkauksen tutkintaan. Lakiasioiden ja tietoturvan tulee koordinoida toimintansa, ei toimia rinnakkain.
Yritystason P37 Laki- ja sääntelyvaatimusten noudattamisen politiikka, kohta 7.3.1.2, ohjaa ulkoisia lausumia:
Kaikki suulliset tai kirjalliset lausumat sääntelyviranomaisille on hyväksyttävä etukäteen
Kohta 7.3.1.3 lisää määräaikoja ja todentavaa aineistoa koskevan kurin:
Vastausmääräaikoja on seurattava ja todistusaineistolokeja ylläpidettävä
Nämä säännöt eivät ole byrokraattista kitkaa. Ne estävät tahattomia myönnytyksiä, hallitsemattomia luovutuksia, määräaikojen laiminlyöntejä ja heikkoa todentavaa aineistoa.
Hyväksyntä- ja rekisterikuri: auditointinäyttö, joka monelta tiimiltä puuttuu
Monet organisaatiot pystyvät näyttämään alkuperäisen pyyntösähköpostin. Harvemmat pystyvät osoittamaan, kuka hyväksyi luovutuksen, mitä oikeusperustetta käytettiin, miksi tietyt kentät sisällytettiin tai jätettiin pois, miten pyytäjä varmennettiin, ilmoitettiinko rekisteröidylle tai jätettiinkö ilmoittamatta lainmukaisesti ja mihin vastaus kirjattiin.
Tässä Clarysecin PIMS-rekistereistä tulee keskeisiä.
Rekisterinpitäjien osalta yritystason PII09 PII Collection, Use, Disclosure and Sharing Policy, kohta 4.4.1, edellyttää:
[Rekisterinpitäjä] Prosessin omistajan / liiketoimintavastaavan TULEE kirjata tietosuojavastaavan / PIMS-päällikön katselmoinnin tulos REG08:aan ennen uuden ulkoisen luovutuksen tai tietojen jakamista koskevan järjestelyn aloittamista.
Kohta 4.4.2 täsmentää, mitä toistuvasta jakamisesta on kirjattava:
[Rekisterinpitäjä] Toimittaja- / hankintaomistajan TULEE kirjata vastaanottajan henkilöllisyys, vastaanottajan rooli, luovutuksen tarkoitus, henkilötietoryhmät, jakamisen tiheys, käsittelyn sijainti ja toimivallan lähde REG08:aan ennen toistuvan ulkoisen jakamisen aloittamista.
Henkilötietojen käsittelijöiden osalta yritystason PII12 Processor, Subprocessor and Third-Party Privacy Management Policy, kohta 4.5.3, antaa erityissäännön oikeudellisesti sitoville ja asiakkaan valtuuttamille pyynnöille:
[Henkilötietojen käsittelijä] Toimittaja- / hankintaomistajan TULEE kirjata kolmannen osapuolen luovutuspyynnöt, oikeudellisesti sitovat luovutuspyynnöt tai asiakkaan valtuuttamat luovutuspyynnöt REG08:aan ennen luovutusta tai kahden työpäivän kuluessa, jos ennakkokirjaus ei ole sallittua tai operatiivisesti mahdollista.
Ulkomaisen viranomaisen pyyntöjen osalta yritystason PII13 International PII Transfer Policy, kohta 4.4.3, on täsmällisempi:
[Molemmat] Tietosuojavastaavan / PIMS-päällikön TULEE kirjata ulkomaisten viranomaisten luovutuspyynnöt REG09:ään tai REG12:een ennen luovutusta, jos se on käytännössä mahdollista, tai yhden työpäivän kuluessa, jos ennakkokirjaus ei ole käytännössä mahdollista.
Kohta 4.4.4 lisää katselmointikurin:
[Molemmat] Tietosuojavastaavan / tietosuojaneuvonantajan TULEE katselmoida tietosuojan kannalta merkittävät ulkomaisten viranomaisten luovutuspyynnöt REG09:ssä tai REG12:ssa ennen vastaamista, jos se on käytännössä mahdollista.
Luovutusrekisteri on organisaation yksi totuuden lähde. Sitä ei tule korvata hajanaisilla sähköposteilla, yksityisillä keskusteluketjuilla tai ad hoc -taulukoilla.
| Rekisterikenttä | Mitä se osoittaa |
|---|---|
| Pyyntötunnus | Pyyntöä seurattiin yksilöllisesti |
| Pyynnön lähde | Viranomainen tai pyytäjä tunnistettiin |
| Toimivaltaperusteen lähde | Oikeudellinen asiakirja tai toimivalta arvioitiin |
| PIMS-rooli | Rekisterinpitäjän, henkilötietojen käsittelijän, yhteisrekisterinpitäjän tai alikäsittelijän velvoitteet huomioitiin |
| Pyydetyt henkilötietoryhmät | Alkuperäinen pyynnön soveltamisala kirjattiin |
| Hyväksytyt henkilötietoryhmät | Lopullinen luovutus oli hallittu |
| Pois rajatut henkilötiedot | Tietojen minimointia sovellettiin aktiivisesti |
| Hyväksyntäketju | Lakiasioiden, tietosuojavastaavan, CISO:n ja liiketoiminnan hyväksynnät kirjattiin |
| Siirtotapa | Turvallisen siirron kontrollit olivat käytössä |
| Ilmoittamispäätös | Läpinäkyvyysrajoitukset tai lykkäykset arvioitiin |
| Säilytys ja sulkeminen | Todentava aineisto säilytettiin ja asia suljettiin |
Käytännön esimerkki: valvontaviranomaisen pyyntö REG08:ssa
Kuvitellaan, että säännelty fintech-yhtiö saa kansalliselta finanssivalvojalta kirjallisen pyynnön, joka koskee yhden asiakkaan epäilyttäviin tapahtumiin liittyviä henkilötietoja 90 päivän ajalta. Pyynnössä vaaditaan henkilöllisyyden varmentamistietoja, tapahtumalokeja, laitetunnisteita, tukitikettejä ja sisäisiä riskimuistiinpanoja.
Clarysecin työkalupaketin mukaisesti tietosuojavastaava avaa REG08-luovutuskirjauksen.
| REG08-kenttä | Esimerkkimerkintä |
|---|---|
| Pyyntötunnus | REG08-2026-041 |
| Pyynnön lähde | Kansallinen finanssivalvoja, varmennettu virallisesta valvontayhteystietojen hakemistosta |
| Pyynnön tyyppi | Valvontaviranomaisen henkilötietojen luovutuspyyntö |
| PIMS-rooli | Rekisterinpitäjä |
| Toimivaltaperusteen lähde | Lakisääteinen valvontatietopyyntö, viite FIN-REQ-7781 |
| Tarkoitus | Nimetyn asiakkaan epäilyttävien tapahtumien tutkinta |
| Pyydetyt henkilötietoryhmät | Henkilöllisyyden varmentamistiedot, tapahtumalokit, laitetunnisteet, tukiviestintä, riskimuistiinpanot |
| Hyväksytyt henkilötietoryhmät | Tapahtumalokit, laitetunnisteet, olennaiset henkilöllisyyden varmentamisen kentät, kaksi päivämääräväliin kuuluvaa tukitikettiä |
| Pois rajatut henkilötiedot | Asiaankuulumaton tukihistoria, päivämäärävälin ulkopuoliset sisäiset analyytikkoarviot, viittaukset kolmansien osapuolten asiakkaisiin |
| Minimointiperustelu | Soveltamisala rajattu nimettyyn asiakkaaseen, 90 päivän jaksoon ja pyynnössä yksilöityihin tapahtumiin liittyviin tallenteisiin |
| Tietosuojavastaavan katselmointi | Hyväksytty peittämisohjein |
| Lakiasioiden hyväksyntä | Hyväksytty, vastauksen sanamuoto katselmoitu |
| CISO:n katselmointi | Turvallinen vienti ja siirtotapa hyväksytty |
| Siirtotapa | Salattu arkisto valvontaviranomaisen turvallisen portaalin kautta |
| Rekisteröidylle ilmoittaminen | Lykkätty pyynnössä olevan oikeudellisen rajoituksen vuoksi, katselmointipäivä asetettu |
| Säilytys | Pyyntökirjaus ja luovutuspaketti säilytetään oikeudellisen säilytysvelvoitteen aikataulun mukaisesti |
| Sulkemista koskeva todentava aineisto | Portaalin lähetyskuittaus, luovutuspaketin tiiviste, hyväksyntäketju |
Tämä on ero väitteen ”noudatimme pyyntöä” ja väitteen ”voimme osoittaa noudattaneemme sitä lainmukaisesti ja oikeasuhtaisesti” välillä. Jos asiakas myöhemmin valittaa, viranomainen esittää jatkokysymyksiä tai auditoija ottaa luovutuksen otantaan, kirjaus osoittaa hallintalogiikan.
Todentavan aineiston säilyttäminen: älä vahingoita tosiseikkoja yrittäessäsi auttaa
Kun lainvalvontaviranomaisen tai valvontaviranomaisen pyyntö liittyy tutkintaan, tietosuojan hallinta kohtaa forensiikan ja oikeudellisen säilytysvelvoitteen. Luovutettavat tiedot ovat usein todistusaineistoa, ja niiden keräämisen tulee säilyttää eheys.
Legal and Regulatory Compliance Policy - SME, kohta 6.4.1, asettaa kontekstin:
Riita-asian, tutkinnan tai oikeudellisen pyynnön yhteydessä:
Kohta 6.4.1.2 antaa selkeän ohjeen:
Työntekijät eivät saa poistaa tai muuttaa aineistoa, joka voi muodostaa osan tutkintaa.
P31S Evidence Collection and Forensics Policy - SME, kohta 2.2.5, sisältää nimenomaisesti:
Sääntelyviranomaisten tai lainvalvontaviranomaisten tiedustelut
Kohta 5.2.1 vahvistaa lokituskäytännön:
Jokainen digitaalisen todistusaineiston kohde on kirjattava seuraavin tiedoin:
Operatiivisesti todistusaineistolokin tulee sisältää yksilöllinen tunniste, keräyksen päivämäärä ja kellonaika, kerääjän nimi, lähdesijainti ja tarvittaessa kryptografinen tiiviste. Tarkoituksena on jäljitettävyys. Jos lokit viedään manuaalisesti, tiedostonimiä muutetaan, aikaleimat ovat epäselviä tai tiivistettä ei säilytetä, organisaation voi myöhemmin olla vaikea osoittaa eheyttä.
Vahva todentavan aineiston työnkulku rajoittaa myös pääsyä. Luovutuspaketit tulee säilyttää rajoitetuissa sijainneissa, salata siirron aikana, seurata siirtolokeilla ja säilyttää oikeudellisen säilytysvelvoitteen ja säilytysvaatimusten mukaisesti. Jos luovutuspyyntö osuu päällekkäin tietoturvapoikkeamiin reagoinnin kanssa, tiimin on tiedettävä, milloin siirrytään korjaustilasta tutkinnalliseen toimintatapaan.
Vaatimustenmukaisuuksien välinen kartoitus: yksi työnkulku, monta velvoitetta
Hyvin suunniteltu henkilötietojen luovutuspyyntöjen työnkulku voi täyttää useiden viitekehysten vaatimuksia ilman työn päällekkäisyyttä. Zenith Controls auttaa organisaatioita kartoittamaan saman operatiivisen todentavan aineiston tietosuojan, kyberturvallisuuden, toiminnallisen häiriönsietokyvyn ja hallinnon odotuksiin.
| Viitekehys | Mitä auditoija tai valvontaviranomainen odottaa | Miten Clarysecin työnkulku tukee sitä |
|---|---|---|
| ISO 27701:2025 | PIMS-roolit, lainmukaisen luovutuksen hallinta, henkilötietojen käsittelijän ohjeet, henkilötietojen luovutusta koskevat tallenteet, tietosuojariskien käsittely | Roolin määrittäminen, REG08, REG09, REG12, tietosuojavastaavan katselmointi, minimointiperustelu |
| GDPR | Oikeusperuste, osoitusvelvollisuus, tietojen minimointi, turvallisuus, läpinäkyvyyspäätökset, henkilötietojen käsittelijöiden ja siirtojen hallinta | Toimivaltaperusteen arviointi, hyväksyntäketju, rajattu luovutuspaketti, turvallista siirtoa koskeva todentava aineisto |
| ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 | Yhteydet viranomaisiin, todentavan aineiston kerääminen, henkilötietojen suojaaminen, pääsynhallinta, lokitus, kryptografia, poistaminen | Viranomaisyhteyksien matriisi, todistusaineistoloki, turvallinen vienti, tiivistekirjaus, säilytyspäätös |
| NIS2 | Poikkeamien raportointikuri, yhteistyö toimivaltaisten viranomaisten kanssa, hallintoon liittyvä osoitusvelvollisuus, toimitusketjun tietoisuus | Lakiasioiden ja CISO:n koordinointi, vastausmääräajat, viranomaisyhteysrekisteri, poikkeamayhteys |
| DORA | Finanssialan toimijoiden TVT-poikkeamien hallinta, vuorovaikutus valvontaviranomaisten kanssa, valmius todentavan aineiston tuottamiseen, kolmansien osapuolten TVT-riski | Valvontaviranomaisen pyynnön reititys, turvalliset luovutuskirjaukset, poikkeaman todentavan aineiston säilyttäminen, toimittajarajapinta |
| NIST Cybersecurity Framework | Kyberturvallisuustapahtumien hallintaan, tunnistamiseen, suojaamiseen, havaitsemiseen, reagointiin ja palautumiseen liittyvät tulokset | Politiikan omistajuus, tietoaineistorekisteri, pääsynhallinnan kontrollit, lokitus, reagoinnin työnkulku, vastauksen jälkeinen katselmointi |
| COBIT 2019 | Vaatimustenmukaisuuden, riskien, tietoturvan, tiedonhallinnan ja varmentamisen hallintatavoitteet | Päätösoikeudet, prosessiomistajuus, auditointitallenteet, johdon valvonta, jatkuva parantaminen |
Myös tukevat ISO-standardit ovat olennaisia. ISO/IEC 27035 auttaa jäsentämään poikkeamien hallintaa, kun pyyntö liittyy poikkeamaan. ISO/IEC 27037 tukee digitaalisen todistusaineiston tunnistamista, keräämistä, hankintaa ja säilyttämistä. ISO/IEC 27018 on hyödyllinen, kun julkisen pilven henkilötietojen käsittelijät käsittelevät henkilötietoja. ISO/IEC 27017 tukee pilvitietoturvan vastuita. ISO 22301 tulee merkitykselliseksi, jos viranomaisyhteyksien ja luovutusvelvoitteiden on jatkuttava kriisiolosuhteissa. ISO/IEC 27006-1:2024 on välillisesti merkityksellinen, koska sertifiointiauditoijat odottavat hallintajärjestelmän soveltamisalaan kuuluvien hallintakeinojen johdonmukaista ja auditoitavissa olevaa toteutusta.
Tarkoituksena ei ole rakentaa erillistä vaatimustenmukaisuusprosessia jokaista viitekehystä varten. Tarkoituksena on suunnitella yksi puolustettava työnkulku, joka tuottaa uudelleenkäytettävää todentavaa aineistoa.
Miten eri auditoijat testaavat työnkulkua
ISO/IEC 27001:2022 -auditoija aloittaa tyypillisesti hallintajärjestelmäintegraatiosta. Hän kysyy, onko organisaatio määrittänyt sidosryhmät, laki- ja sääntelyvaatimukset, riskit, kontrollitavoitteet, dokumentoidut menettelyt, osoitetut vastuut ja säilytetyn todentavan aineiston. Luovutuspyyntöjen osalta hän voi ottaa otantaan poikkeamia, valvontaviranomaiskirjeenvaihtoa, viranomaisyhteystietoluetteloita, todistusaineistolokeja ja tietosuojatallenteita. Hän todennäköisesti testaa liite A:n hallintakeinoja A.5.5 Contact with authorities, A.5.28 Collection of evidence ja A.5.34 Privacy and protection of PII.
ISO 27701:2025 -arvioija keskittyy PIMS-roolien selkeyteen. Toimitteko rekisterinpitäjänä, henkilötietojen käsittelijänä, yhteisrekisterinpitäjänä vai alikäsittelijänä? Jos toimitte rekisterinpitäjänä, missä ovat oikeusperuste ja luovutuskirjaus? Jos toimitte henkilötietojen käsittelijänä, toimitteko rekisterinpitäjän ohjeiden mukaisesti, ellei laki edellyttänyt muuta? Ilmoitettiinko asiakkaalle, kun se oli vaadittua tai sopimuksen perusteella odotettua? Kirjattiinko ja katselmoitiinko ulkomaisten viranomaisten luovutuspyynnöt?
GDPR-valvontaviranomainen keskittyy osoitusvelvollisuuteen. Kysymys ei ole pelkästään ”oliko teillä lakisääteinen velvoite?” vaan ”miksi juuri tämä määrä tietoa luovutettiin, kuka hyväksyi sen, miten pyytäjä varmennettiin, mikä turvallisuus suojasi siirtoa, miten arvioitte läpinäkyvyyden ja missä kirjaus on?”
NIST-painotteinen arvioija tarkastelee hallintoa ja reagointituloksia. Hän kysyy, oliko roolit määritelty, säilytettiinkö lokit, rajoitettiinko pääsyä luovutuspaketteihin, dokumentoitiinko reagointitoimet ja paransivatko opit ohjelmaa.
COBIT 2019- tai ISACA-auditoija testaa päätösoikeuksien hallintaa. Hän voi kysyä, määrittikö johto prosessin omistajan, onko lakiasioiden, tietosuojan, tietoturvan ja liiketoiminnan vastuut eriytetty, hyväksytäänkö poikkeukset, raportoidaanko mittarit ja voiko varmennus tukeutua todentavaan aineistoon.
Valvontaviranomainen, auditoija, CISO ja tietosuojavastaava voivat tarkastella samaa kirjausta eri näkökulmista. Tietosuoja-ammattilainen näkee lainmukaisen luovutuskirjauksen. Tietoturva-auditoija näkee todentavan aineiston säilyttämisen ja turvallisen siirron. Hallinnon auditoija näkee osoitusvelvollisuuden ja päätösoikeudet. Organisaation tulee pystyä vastaamaan kaikille samaan kontrollinäyttöön perustuen.
Yleiset epäonnistumismallit
Clarysec näkee samat ehkäistävissä olevat epäonnistumiset toistuvasti.
Ensimmäinen on epämuodollinen viranomaisyhteys. Poliisi soittaa tukeen, tuki haluaa olla avuksi ja työntekijä vahvistaa tilitietoja suullisesti. Ei varmentamista, ei hyväksyntää, ei kirjausta.
Toinen on liiallinen luovutus. Organisaatio lähettää koko asiakastiedoston sen sijaan, että luovuttaisi vain vaaditut yksilöidyt tallenteet ja päivämäärävälin. Tämä luo vältettävissä olevan GDPR-riskin ja heikentää luottamusta.
Kolmas on henkilötietojen käsittelijän ylilyönti. SaaS-palveluntarjoaja saa lainvalvontaviranomaisen pyynnön asiakkaan hallitsemista henkilötiedoista ja vastaa ilmoittamatta asiakkaalle tai ottamatta tätä mukaan, vaikka sopimus ja PIMS-rooli edellyttävät reititystä, ellei laki sitä kiellä.
Neljäs on ulkomaisen viranomaisen arvioinnin puuttuminen. Muulta kuin kotimaiselta viranomaiselta tullut pyyntö käsitellään tavallisena luovutuksena ilman siirron arviointia, tietosuojavastaavan katselmointia tai REG09- tai REG12-kirjausta.
Viides on heikko todentavan aineiston käsittely. Lokit viedään manuaalisesti, aikaleimat ovat epäselviä, tiedostonimiä muutetaan eikä tiivistettä tai hallussapitoketjukirjausta ole.
Kuudes on hallitsematon luottamuksellisuus. Liian moni työntekijä kopioidaan pyyntöön, mukaan lukien henkilöt, joilla ei ole tarvetta tietää. Arkaluonteiset tutkinnan yksityiskohdat leviävät keskustelukanaviin.
Seitsemäs on määräaikojen epäselvyys. Organisaatio ohittaa oikeudellisesti merkittävän vastauspäivän, koska pyyntö elää sähköpostilaatikossa eikä seurattavassa työnkulussa.
Jokainen epäonnistuminen on ehkäistävissä ennalta määritetyillä kanavilla, rekistereillä, hyväksynnöillä ja todentavaa aineistoa koskevilla standardeilla.
Roolit ja päätösoikeudet
Käytännöllinen hallintamalli määrittää päätösoikeudet ennen ensimmäisen pyynnön saapumista.
| Rooli | Vastuu luovutustyönkulussa |
|---|---|
| Asiakasrajapinnan työntekijä | Välittää pyynnön hyväksyttyyn vastaanottokanavaan, ei vastaa sisällöllisesti, ei luovuta henkilötietoja |
| Lakitiimi | Varmistaa oikeudellisen asiakirjan, lainkäyttöalueen, toimivallan, luottamuksellisuusrajoituksen ja vastauksen sanamuodon |
| Tietosuojavastaava tai tietosuojaneuvonantaja | Arvioi GDPR:n ja ISO 27701:2025:n vaikutukset, minimoinnin, läpinäkyvyyden, PIMS-roolin ja siirtokysymykset |
| CISO | Hyväksyy todentavan aineiston turvallisen keräämisen, turvallisen viennin, siirtotavan ja poikkeamayhteyden |
| Prosessin omistaja | Tunnistaa olennaiset järjestelmät ja tietoryhmät, vahvistaa liiketoimintakontekstin |
| PIMS-päällikkö | Ylläpitää REG08:aa, REG09:ää tai REG12:ta, seuraa katselmoinnin tulosta, säilyttää auditointinäytön |
| Ylin hyväksyjä | Hyväksyy korkean riskin, ulkomaiset, strategiset tai maineen kannalta arkaluonteiset luovutukset |
| Toimittaja- tai hankintaomistaja | Koordinoi kolmansia osapuolia tai henkilötietojen käsittelijöitä koskevien pyyntöjen kirjaukset ja sopimusvelvoitteet |
Tämä malli tulee sisällyttää tietoisuuskoulutukseen. Työntekijöiden ei tarvitse tuntea jokaista oikeudellista nyanssia, mutta heidän tulee tietää sääntö: viralliset pyynnöt ohjataan määriteltyyn kanavaan eikä henkilötietoja luovuteta ilman valtuutusta.
Valmiuden tarkistuslista seuraavaa pöytäharjoitusta varten
Käytä tätä tarkistuslistaa tietosuojan hallintatyöpajassa, sisäisessä tarkastuksessa tai pöytäharjoituksessa.
- Onko meillä yksi vastaanottokanava lainvalvonta- ja valvontaviranomaisten henkilötietojen luovutuspyynnöille?
- Tietävätkö työntekijät, etteivät he saa vastata epämuodollisesti?
- Varmennammeko pyytäjän henkilöllisyyden riippumattomien yhteystietolähteiden avulla?
- Erotammeko toisistaan valvontaviranomaisen pyynnöt, tuomioistuimen määräykset, lainvalvontaviranomaisten pyynnöt, asiakkaan valtuuttamat pyynnöt ja ulkomaisten viranomaisten pyynnöt?
- Määritämmekö ennen vastaamista, olemmeko rekisterinpitäjä, henkilötietojen käsittelijä, yhteisrekisterinpitäjä vai alikäsittelijä?
- Dokumentoimmeko oikeusperusteen, toimivaltaperusteen, lainkäyttöalueen ja luottamuksellisuusrajoitukset?
- Sovellammeko tietojen minimointia ja peitämmekö asiaankuulumattomat henkilötiedot?
- Edellytämmekö tietosuojavastaavan tai tietosuojaneuvonantajan katselmointia tietosuojan kannalta merkittäville pyynnöille?
- Edellytämmekö lakiasioiden ja CISO:n koordinointia, kun asiaan liittyy lainvalvonta- tai forensiikkakysymyksiä?
- Kirjaammeko rekisterinpitäjän luovutukset REG08:aan?
- Kirjaammeko ulkomaisten viranomaisten pyynnöt REG09:ään tai REG12:een?
- Seuraammeko vastausmääräaikoja ja ylläpidämmekö todistusaineistolokeja?
- Säilytämmekö mahdollisesti olennaisen aineiston ja estämmekö sen poistamisen tai muuttamisen?
- Suojaammeko luovutuspaketit salauksella, pääsynhallinnalla ja siirtolokituksella?
- Teemmekö vastauksen jälkeisen katselmoinnin korkean riskin pyynnöille?
- Raportoimmeko mittarit ja opit johdolle?
Jos vastaus johonkin näistä on ”hoidamme sen yleensä sähköpostilla”, prosessi ei ole vielä auditointivalmis.
Tuo työnkulku osaksi ISMS:ää ja PIMS:ää
Paras hallintamalli ei elä vain lakiasioissa. Se on osa ISMS:ää ja PIMS:ää.
Zenith Blueprint suosittelee ISMS Foundation & Leadership -vaiheen vaiheessa 5 ulkoisen viestinnän suunnittelua ja sen tunnistamista, kuka viestii valvontaviranomaisten, asiakkaiden, kumppaneiden ja yleisön kanssa. Siinä todetaan, että oikeudellinen neuvonantaja voi osallistua valvontaviranomaisille suunnattavan viestinnän sanamuotoihin. Sama periaate soveltuu suoraan virallisiin henkilötietojen luovutuspyyntöihin.
Controls in Action -vaihe operationalisoi työnkulun viranomaisyhteyksien, henkilötietojen suojaamisen ja todentavan aineiston keräämisen kautta. Siksi Clarysecin 30-Step Guide ei käsittele tietosuojaa, tietoturvaa ja vaatimustenmukaisuutta toisistaan irrallisina työvirtoina. Todellinen pyyntö ylittää kaikki kolme.
Liiketoimintavastaaville hyöty on vähäisempi kaaos. CISOille se selkeyttää, milloin tietoturvanäyttöä voidaan kerätä, luovuttaa tai säilyttää. Tietosuojavastaaville se luo todennettavan GDPR:n ja ISO 27701:2025:n mukaisen osoitusvelvollisuuden. Vaatimustenmukaisuuspäälliköille se tuottaa rekistereitä ja auditointijälkiä. Auditoijille se luo selkeän polun politiikkavaatimuksesta operatiiviseen näyttöön.
Seuraavat vaiheet Clarysecin kanssa
Valvonta- tai lainvalvontaviranomaisen pyyntö ei ole hetki keksiä tietosuojan hallintaprosessia. Se on hetki, jolloin prosessianne testataan.
Aloita pöytäharjoituksella. Käytä realistista kyberrikokseen, valvontaviranomaiseen tai ulkomaiseen viranomaiseen liittyvää pyyntöä. Pyydä lakiasioita, tietosuojavastaavaa, CISOa, tukea ja asianomaista prosessin omistajaa käymään läpi vastaanotto, varmentaminen, roolin määrittäminen, minimointi, hyväksyntä, turvallinen siirto, rekisterikirjaus, todentavan aineiston säilyttäminen ja sulkemiskatselmointi.
Vertaa sitten vastauksianne Clarysecin toimintamalliin:
- Käytä Zenith Blueprint: An Auditor’s 30-Step Roadmap -opasta viranomaisyhteyksien, ulkoisen viestinnän, henkilötietojen suojaamisen ja todentavan aineiston keräämisen sijoittamiseen ISMS- ja PIMS-toteutussuunnitelmaanne.
- Käytä Zenith Controls: The Cross-Compliance Guide -opasta ISO 27701:2025:n, GDPR:n, ISO/IEC 27001:2022:n, ISO/IEC 27002:2022:n, NIS2:n, DORA:n, NIST:n ja COBIT 2019:n odotusten kartoittamiseen yhdeksi auditointivalmiiksi kontrollikertomukseksi.
- Käytä Clarysecin tietosuoja- ja yksityisyydensuoja-, tietoturvapoikkeamien hallinta-, laki- ja sääntelyvaatimusten noudattaminen-, todistusaineiston kerääminen ja forensiikka-, henkilötietojen luovutus-, henkilötietojen käsittelijöiden hallinta- sekä kansainvälisten siirtojen politiikkoja työnkulun sääntöjen, rekisterien, hyväksyntöjen ja todentavaa aineistoa koskevien vaatimusten määrittämiseen.
Clarysec auttaa tiimejä siirtymään reaktiivisesta paniikista hallittuun toteutukseen. Lataa asiaankuuluvat Clarysecin työkalupaketit, toteuta pöytäharjoitus ja varaa luovutusten hallintaa koskeva arviointi varmistaaksesi, että seuraava vastauksesi on lainmukainen, minimoitu, hyväksytty, kirjattu, turvallinen ja auditoitavissa.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council