⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Henkilötietojen luovutuspyynnöt GDPR:n ja ISO 27701:n mukaisesti

Igor Petreski

Pyyntö saapuu perjantaina klo 16.47

Asiakkuuksien onnistumisesta vastaava päällikkö välittää lakiasioista vastaavalle yksikölle sähköpostin, jonka otsikko on: ”KIIREELLINEN POLIISIPYYNTÖ.” Liitteenä on skannattu kirje, jossa pyydetään nimetyn henkilön tilitietoja, kirjautumishistoriaa, IP-osoitteita, maksutietoja ja ”kaikkea muuta olennaista tietoa”. Lähettäjä väittää edustavansa kyberrikosyksikköä. Sähköpostissa pyydetään luovutusta 24 tunnin kuluessa ja vaaditaan, ettei organisaatio ”ilmoita rekisteröidylle”.

Samaan aikaan tietoturvaoperaatioiden tiimi tutkii epätavallista toimintaa samalla asiakastilillä. Tietosuojavastaava on toisella aikavyöhykkeellä. CISO kysyy, onko kyse poikkeamasta, oikeudellisesta pyynnöstä, GDPR-luovutuksesta vai kaikista näistä. Myynti haluaa ”tehdä täyttä yhteistyötä”. Tuki haluaa tietää, voiko se viedä asiakasprofiilin. Joku ehdottaa koko CRM-tietueen lähettämistä, koska ”viranomaiset pyysivät kaikkea”.

Tämä on hallinta-aukko.

Useimmilla organisaatioilla on tietosuojapolitiikka, tietoturvapoikkeamiin reagointisuunnitelma ja prosessi rekisteröidyn tarkastuspyyntöjä varten. Monet pystyvät hallitsemaan toimittajien due diligence -arviointeja, viranomaiskirjeenvaihtoa ja tietoturvaloukkauksista ilmoittamista. Huomattavasti harvemmilla on toistettava työnkulku lainvalvontaviranomaisten, valvontaviranomaisten, tuomioistuinten, veroviranomaisten, finanssivalvojien, telealan valvontaviranomaisten, kyberrikosyksiköiden tai ulkomaisten viranomaisten pakottaviin tai virallisiin henkilötietojen luovutuspyyntöihin.

Tämä aukko on vaarallinen. Vilpillisen pyynnön noudattaminen voi muodostaa henkilötietojen tietoturvaloukkauksen. Perustellusta pyynnöstä kieltäytyminen voi aiheuttaa oikeudellista altistumista. Vastaaminen ilman hallittua prosessia voi johtaa liialliseen luovutukseen, katkenneeseen hallussapitoketjuun, määräaikojen laiminlyöntiin, lainvastaisiin kansainvälisiin siirtoihin ja auditoinnin epäonnistumiseen.

GDPR:n, ISO 27701:2025:n ja ISO/IEC 27001:2022:n mukaan virallinen henkilötietojen luovutuspyyntö ei ole pelkkä lakiasioiden sähköpostilaatikkoon kuuluva asia. Se koskee oikeusperustetta, osoitusvelvollisuutta, käyttötarkoitussidonnaisuutta, tietojen minimointia, luottamuksellisuutta, roolipohjaista hyväksyntää, kansainvälisten siirtojen hallintaa, henkilötietojen käsittelijän ohjeita, todentavan aineiston säilyttämistä, turvallista siirtoa ja auditointijälkiä.

Käytännön testi on yksinkertainen: pystyykö organisaatio pyynnön saapuessa osoittamaan, että se varmisti pyytäjän, arvioi toimivaltaperusteen, minimoi luovutuksen, hankki oikeat hyväksynnät, suojasi todentavan aineiston, kirjasi päätöksen ja säilytti auditointivalmiin jäljen?

Clarysecin kanta on selkeä. Lainvalvonta- ja valvontaviranomaisten henkilötietojen luovutuspyyntöjä tulee käsitellä hallittuna tietosuojan ja tietoturvan työnkulkuna, ei improvisoituna sähköpostivastauksena.

Miksi viralliset henkilötietojen luovutuspyynnöt ovat erilaisia

Tavanomainen ulkoinen tietojen jakamista koskeva järjestely alkaa yleensä liiketoimintatarkoituksesta. Toimittaja tarvitsee työntekijöiden henkilötietoja palkanlaskentaa varten. SaaS-palveluntarjoaja käsittelee asiakkaiden tunnisteita. Kumppani saa tapahtumatietoja sopimuksen perusteella. Hallintamalli on tuttu: due diligence, tietojenkäsittelysopimus, tietoturvavaatimukset, siirron arviointi, säilytysehdot ja jatkuva seuranta.

Lainvalvonta- ja valvontaviranomaisten henkilötietojen luovutuspyynnöt ovat erilaisia. Ne ovat tapahtumaperusteisia, aikakriittisiä, usein luottamuksellisia ja joskus oikeudellisesti sitovia. Ne voivat saapua hankintakanavien ulkopuolelta. Ne voivat koskea laajoja henkilötietoryhmiä. Ne voivat kieltää ilmoittamisen. Ne voivat liittyä ulkomaisiin viranomaisiin. Ne voivat saapua poikkeaman, petostutkinnan, oikeudellisen säilytysvelvoitteen, valvontatarkastuksen tai kyberrikostutkinnan aikana.

Tästä syntyy kolme välitöntä hallintavaatimusta.

Ensinnäkin organisaation tulee tietää, kuka saa vastata. Asiakasrajapinnan työntekijän ei pidä päättää, onko poliisipyyntö pätevä, onko valvontaviranomaisen sanamuoto sitova tai onko asiakkaalle ilmoittaminen kielletty.

Toiseksi yhteistyö tulee erottaa liiallisesta luovutuksesta. GDPR ei estä lainmukaista yhteistyötä viranomaisten kanssa, mutta se edellyttää edelleen pätevää oikeusperustetta, kohtuullisuutta, läpinäkyvyyttä soveltuvin osin, käyttötarkoitussidonnaisuutta, tietojen minimointia, eheyttä, luottamuksellisuutta ja osoitusvelvollisuutta.

Kolmanneksi todentava aineisto on säilytettävä. Jos pyyntö liittyy poikkeamaan, petostapahtumaan, oikeudenkäyntiasiaan tai valvontaviranomaisen tiedusteluun, lokien poistaminen, tallenteiden muuttaminen tai tietojen vienti ilman jäljitettävyyttä voi heikentää sekä vaatimustenmukaisuutta että oikeudellista puolustettavuutta.

Vahvin toimintamalli yhdistää tietosuojan hallinnan, oikeudellisen hyväksynnän, todistusaineiston käsittelyn, tietoturvapoikkeamiin reagoinnin, turvallisen siirron ja viranomaisyhteydet yhdeksi työnkuluksi.

Clarysecin kontrollikokonaisuus: viranomaiset, tietosuoja ja todentava aineisto

Teoksessa Zenith Controls: The Cross-Compliance Guide Clarysec käsittelee lainvalvonta- ja valvontaviranomaisten luovutuspyyntöjen hallintaa toisiinsa kytkeytyvänä kontrollikokonaisuutena, ei erillisenä tietosuojatehtävänä. Keskeiset ISO/IEC 27002:2022 -hallintakeinot ovat 5.5 Contact with authorities, 5.28 Collection of evidence ja 5.34 Privacy and protection of PII. Tukevia kontrollisuhteita ovat luokittelu ja merkinnät, pääsynhallinta, toimittajasuhteet, poikkeamien hallinta, lokitus, kellon synkronointi, kryptografia, peittäminen, poistaminen ja tiedonsiirto.

Tällä on merkitystä, koska viralliset luovutuspyynnöt voivat epäonnistua useassa kohdassa. Tietosuojatiimi voi varmistaa oikeusperusteen mutta laiminlyödä todentavan aineiston säilyttämisen. SOC voi säilyttää lokit mutta luovuttaa liikaa henkilötietoja. Lakiasiat voivat hyväksyä vastauksen mutta unohtaa päivittää luovutusrekisterin. Henkilötietojen käsittelijä voi vastata suoraan viranomaiselle, vaikka pyyntö olisi pitänyt ohjata rekisterinpitäjälle.

Zenith Blueprint: An Auditor’s 30-Step Roadmap vahvistaa tämän operatiivisen yhteyden Controls in Action -vaiheen vaiheessa 22 kohdassa Contact with Authorities:

Hallintakeino 5.5 varmistaa, että organisaatio on valmis toimimaan tarvittaessa ulkoisten viranomaisten kanssa ennalta määriteltyjen, rakenteistettujen ja hyvin ymmärrettyjen kanavien kautta – ei reaktiivisesti tai paniikissa.

Sama kohta jäsentää kysymykset, joihin on vastattava ennen todellisen pyynnön saapumista:

Periaate on yksinkertainen: jos organisaationne joutuisi kyberhyökkäyksen kohteeksi, osalliseksi henkilötietojen tietoturvaloukkaukseen tai tutkinnan kohteeksi, kuka ottaisi yhteyttä viranomaisiin? Mistä hän tietäisi, mitä sanoa? Millä edellytyksillä tällainen yhteydenotto käynnistettäisiin? Näihin kysymyksiin on vastattava etukäteen, ei jälkikäteen.

Henkilötietojen suojaamisen osalta Zenith Blueprint kuvaa Controls in Action -vaiheen vaiheessa 23 tietosuojan elinkaaren kattavana velvoitteena:

Hallintakeino 5.34 edellyttää, että organisaatiot suojaavat yksilöiden tietosuojaa toteuttamalla asianmukaiset toimenpiteet henkilötietojen käsittelyyn koko niiden elinkaaren ajan.

Todentavan aineiston osalta sama vaihe ja askel selittää, miksi epämuodollinen käsittely on riskialtista:

Hallintakeino 5.28 tunnistaa, että poikkeaman jälkitilanteessa se, mitä pystyt osoittamaan, on yhtä tärkeää kuin se, mitä tosiasiallisesti tapahtui.

Yhdessä nämä kolme periaatetta määrittävät hallintamallin: tiedä, kuka kommunikoi viranomaisten kanssa, suojaa henkilötiedot koko luovutuksen elinkaaren ajan ja säilytä todentava aineisto puolustettavalla tavalla.

GDPR:n ja ISO 27701:2025:n näkökulma pakottavaan luovutukseen

ISO 27701:2025 vahvistaa henkilötietojen hallintajärjestelmän kurinalaisuuden tarvetta. PIMS:n tulee määrittää, miten rekisterinpitäjät ja henkilötietojen käsittelijät käsittelevät virallisia luovutuspyyntöjä, mukaan lukien vastaanotto, varmentaminen, oikeudellinen katselmointi, valtuutus, kirjaaminen, minimointi, turvallinen siirto, säilytys ja vastauksen jälkeinen katselmointi.

Rekisterinpitäjän osalta ydinkysymys on, määrittääkö organisaatio käsittelyn tarkoitukset ja keinot ja onko sen siksi päätettävä, onko luovutus lainmukainen ja miten se toteutetaan. Henkilötietojen käsittelijän osalta kysymys on, saako se ylipäätään luovuttaa tietoja ilman rekisterinpitäjän ohjetta, ellei laki sitä edellytä. Alikäsittelijän kohdalla reititys ja ketjutettavat velvoitteet korostuvat entisestään.

GDPR vahvistaa samat toimintavaatimukset. Luovutus viranomaiselle on edelleen käsittelyä. Organisaatio tarvitsee Article 6:n mukaisen oikeusperusteen, dokumentoidun tarkoituksen, asianmukaisen turvallisuuden, Article 5(1)(c):n mukaisen tietojen minimoinnin ja Article 5(2):n mukaisen osoitusvelvollisuutta koskevan näytön. Monissa tapauksissa oikeusperuste on Article 6(1)(c), eli käsittely, joka on tarpeen lakisääteisen velvoitteen noudattamiseksi, mutta vasta sen jälkeen, kun lakiasiat ovat varmistaneet pyynnön ja lainkäyttöalueen.

Kun pyyntö tulee ulkomaiselta viranomaiselta, siirtojen hallinta ja tietosuojavastaavan katselmointi ovat olennaisia. Kun pyyntö koskee henkilötietojen käsittelijää, sopimusperusteiset ilmoitus- ja ohjeistusvelvoitteet on tarkistettava. Kun pyyntö liittyy kyberturvallisuuspoikkeamaan, vastauksen on oltava yhdenmukainen poikkeamien käsittelyn ja todentavan aineiston keräämistä koskevien vaatimusten kanssa.

Clarysecin politiikkakokonaisuus muuntaa nämä vaatimukset operatiivisiksi säännöiksi.

Yritystason P17 Tietosuoja- ja yksityisyydensuojapolitiikka, kohta 6.1.1, toteaa:

Kaiken käsittelyn tulee perustua pätevään oikeusperusteeseen (esim. suostumus, sopimus, lakisääteinen velvoite).

Sama politiikka, kohta 6.2.1, lisää minimointia koskevan perustan:

Vain tiettyyn, oikeutettuun liiketoimintatarkoitukseen tarvittavia tietoja saa kerätä ja käsitellä.

Pk-yrityksille P17S Tietosuoja- ja yksityisyydensuojapolitiikka - SME, kohta 6.2.1, toteaa:

Vain välttämättömät henkilötiedot tulee kerätä ja säilyttää

Näillä kohdilla on merkitystä, kun pyynnössä vaaditaan ”kaikki tiedot”, ”täydellinen historia” tai ”kaikki asiaan liittyvät tallenteet”. Oikea vastaus ei ole kaikkien kenttien vienti. Oikea vastaus on pyynnön varmentaminen, oikeudellisesti edellytetyn soveltamisalan tunnistaminen, vain tarpeellisten henkilötietojen luovuttaminen, päätöksen dokumentointi ja todentavan aineiston säilyttäminen.

Sähköpostipaniikista hallittuun luovutukseen

Kypsän työnkulun tulee olla riittävän yksinkertainen asiakasrajapinnan työntekijöille ja riittävän kurinalainen auditoijille, valvontaviranomaisille ja tuomioistuimille. Clarysec suosittelee seitsemän vaiheen mallia.

VaiheKontrollitavoiteEnsisijainen omistajaSyntyvä todentava aineisto
1. Vastaanotto ja karanteeniEstetään epämuodollinen vastaus tai vahingossa tapahtuva luovutusPalvelupiste, lakiasioiden vastaanotto, tietosuojavastaavaPyyntötiketti, alkuperäinen viesti, liitteet, aikaleima
2. Aitouden varmentaminenVarmistetaan pyytäjän henkilöllisyys, toimivalta, lainkäyttöalue ja oikeudellinen asiakirjaLakiasiat, tietosuojavastaava, vaatimustenmukaisuustoimintoVarmentamismuistiinpanot, viranomaisyhteyden varmistus, oikeusperusteen arviointi
3. Roolin määrittäminenPäätetään, toimiiko organisaatio rekisterinpitäjänä, henkilötietojen käsittelijänä, yhteisrekisterinpitäjänä vai alikäsittelijänäTietosuojavastaava, sopimusomistajaPIMS-roolin arviointi, asiakkaan ohjeen kirjaus käsittelijätilanteessa
4. Soveltamisalan minimointiMuunnetaan pyyntö täsmällisiksi henkilötietoryhmiksi ja päivämääräväleiksiProsessin omistaja, tietoturva, lakiasiatTietokartoitteen ote, minimointipäätös, peittämistä koskevat muistiinpanot
5. HyväksyntäVarmistetaan valtuutettu päätös ennen luovutustaTietosuojavastaava, lakiasiat, CISO, liiketoimintavastaavaHyväksyntäkirjaus, kiireellisessä tilanteessa poikkeuskirjaus
6. Turvallinen luovutusSiirretään vain hyväksytyt tiedot hallittujen kanavien kauttaTietoturva, lakiasiatSiirtoloki, salausta koskeva todentava aineisto, vastaanottajan vahvistus
7. Rekisteröinti ja katselmointiSäilytetään osoitusvelvollisuutta koskeva näyttö ja opitPIMS-päällikkö, vaatimustenmukaisuustoimintoREG08-, REG09- tai REG12-kirjaus, auditointijälki, sulkemiskatselmointi

Ensimmäinen sääntö on reititys. Jokaisen työntekijän tulee tietää, että viralliset henkilötietopyynnöt ohjataan määriteltyyn vastaanottopolkuun. Kenenkään ei tule vastata henkilökohtaisesta sähköpostilaatikosta. Kenenkään ei tule soittaa pyytäjälle käyttäen varmentamattomassa kirjeessä ilmoitettua puhelinnumeroa. Kenenkään ei tule viedä asiakastietoja ennen kuin lakiasiat ja tietosuojatoiminto ovat katselmoineet pyynnön.

Yritystason P30 Tietoturvapoikkeamien hallintapolitiikka, kohta 6.5.5, tukee tätä reitityskuria:

Kaikki yhteydenpito lainvalvontaviranomaisiin tai forensisiin palveluntarjoajiin on koordinoitava lakitiimin ja CISO:n kautta.

Tämä kohta on erityisen tärkeä, kun luovutuspyyntö liittyy petokseen, kyberrikokseen, käyttäjätilin vaarantumiseen, kiristyshaittaohjelmiin, sisäpiiriuhkaan tai tietoturvaloukkauksen tutkintaan. Lakiasioiden ja tietoturvan tulee koordinoida toimintansa, ei toimia rinnakkain.

Yritystason P37 Laki- ja sääntelyvaatimusten noudattamisen politiikka, kohta 7.3.1.2, ohjaa ulkoisia lausumia:

Kaikki suulliset tai kirjalliset lausumat sääntelyviranomaisille on hyväksyttävä etukäteen

Kohta 7.3.1.3 lisää määräaikoja ja todentavaa aineistoa koskevan kurin:

Vastausmääräaikoja on seurattava ja todistusaineistolokeja ylläpidettävä

Nämä säännöt eivät ole byrokraattista kitkaa. Ne estävät tahattomia myönnytyksiä, hallitsemattomia luovutuksia, määräaikojen laiminlyöntejä ja heikkoa todentavaa aineistoa.

Hyväksyntä- ja rekisterikuri: auditointinäyttö, joka monelta tiimiltä puuttuu

Monet organisaatiot pystyvät näyttämään alkuperäisen pyyntösähköpostin. Harvemmat pystyvät osoittamaan, kuka hyväksyi luovutuksen, mitä oikeusperustetta käytettiin, miksi tietyt kentät sisällytettiin tai jätettiin pois, miten pyytäjä varmennettiin, ilmoitettiinko rekisteröidylle tai jätettiinkö ilmoittamatta lainmukaisesti ja mihin vastaus kirjattiin.

Tässä Clarysecin PIMS-rekistereistä tulee keskeisiä.

Rekisterinpitäjien osalta yritystason PII09 PII Collection, Use, Disclosure and Sharing Policy, kohta 4.4.1, edellyttää:

[Rekisterinpitäjä] Prosessin omistajan / liiketoimintavastaavan TULEE kirjata tietosuojavastaavan / PIMS-päällikön katselmoinnin tulos REG08:aan ennen uuden ulkoisen luovutuksen tai tietojen jakamista koskevan järjestelyn aloittamista.

Kohta 4.4.2 täsmentää, mitä toistuvasta jakamisesta on kirjattava:

[Rekisterinpitäjä] Toimittaja- / hankintaomistajan TULEE kirjata vastaanottajan henkilöllisyys, vastaanottajan rooli, luovutuksen tarkoitus, henkilötietoryhmät, jakamisen tiheys, käsittelyn sijainti ja toimivallan lähde REG08:aan ennen toistuvan ulkoisen jakamisen aloittamista.

Henkilötietojen käsittelijöiden osalta yritystason PII12 Processor, Subprocessor and Third-Party Privacy Management Policy, kohta 4.5.3, antaa erityissäännön oikeudellisesti sitoville ja asiakkaan valtuuttamille pyynnöille:

[Henkilötietojen käsittelijä] Toimittaja- / hankintaomistajan TULEE kirjata kolmannen osapuolen luovutuspyynnöt, oikeudellisesti sitovat luovutuspyynnöt tai asiakkaan valtuuttamat luovutuspyynnöt REG08:aan ennen luovutusta tai kahden työpäivän kuluessa, jos ennakkokirjaus ei ole sallittua tai operatiivisesti mahdollista.

Ulkomaisen viranomaisen pyyntöjen osalta yritystason PII13 International PII Transfer Policy, kohta 4.4.3, on täsmällisempi:

[Molemmat] Tietosuojavastaavan / PIMS-päällikön TULEE kirjata ulkomaisten viranomaisten luovutuspyynnöt REG09:ään tai REG12:een ennen luovutusta, jos se on käytännössä mahdollista, tai yhden työpäivän kuluessa, jos ennakkokirjaus ei ole käytännössä mahdollista.

Kohta 4.4.4 lisää katselmointikurin:

[Molemmat] Tietosuojavastaavan / tietosuojaneuvonantajan TULEE katselmoida tietosuojan kannalta merkittävät ulkomaisten viranomaisten luovutuspyynnöt REG09:ssä tai REG12:ssa ennen vastaamista, jos se on käytännössä mahdollista.

Luovutusrekisteri on organisaation yksi totuuden lähde. Sitä ei tule korvata hajanaisilla sähköposteilla, yksityisillä keskusteluketjuilla tai ad hoc -taulukoilla.

RekisterikenttäMitä se osoittaa
PyyntötunnusPyyntöä seurattiin yksilöllisesti
Pyynnön lähdeViranomainen tai pyytäjä tunnistettiin
Toimivaltaperusteen lähdeOikeudellinen asiakirja tai toimivalta arvioitiin
PIMS-rooliRekisterinpitäjän, henkilötietojen käsittelijän, yhteisrekisterinpitäjän tai alikäsittelijän velvoitteet huomioitiin
Pyydetyt henkilötietoryhmätAlkuperäinen pyynnön soveltamisala kirjattiin
Hyväksytyt henkilötietoryhmätLopullinen luovutus oli hallittu
Pois rajatut henkilötiedotTietojen minimointia sovellettiin aktiivisesti
HyväksyntäketjuLakiasioiden, tietosuojavastaavan, CISO:n ja liiketoiminnan hyväksynnät kirjattiin
SiirtotapaTurvallisen siirron kontrollit olivat käytössä
IlmoittamispäätösLäpinäkyvyysrajoitukset tai lykkäykset arvioitiin
Säilytys ja sulkeminenTodentava aineisto säilytettiin ja asia suljettiin

Käytännön esimerkki: valvontaviranomaisen pyyntö REG08:ssa

Kuvitellaan, että säännelty fintech-yhtiö saa kansalliselta finanssivalvojalta kirjallisen pyynnön, joka koskee yhden asiakkaan epäilyttäviin tapahtumiin liittyviä henkilötietoja 90 päivän ajalta. Pyynnössä vaaditaan henkilöllisyyden varmentamistietoja, tapahtumalokeja, laitetunnisteita, tukitikettejä ja sisäisiä riskimuistiinpanoja.

Clarysecin työkalupaketin mukaisesti tietosuojavastaava avaa REG08-luovutuskirjauksen.

REG08-kenttäEsimerkkimerkintä
PyyntötunnusREG08-2026-041
Pyynnön lähdeKansallinen finanssivalvoja, varmennettu virallisesta valvontayhteystietojen hakemistosta
Pyynnön tyyppiValvontaviranomaisen henkilötietojen luovutuspyyntö
PIMS-rooliRekisterinpitäjä
Toimivaltaperusteen lähdeLakisääteinen valvontatietopyyntö, viite FIN-REQ-7781
TarkoitusNimetyn asiakkaan epäilyttävien tapahtumien tutkinta
Pyydetyt henkilötietoryhmätHenkilöllisyyden varmentamistiedot, tapahtumalokit, laitetunnisteet, tukiviestintä, riskimuistiinpanot
Hyväksytyt henkilötietoryhmätTapahtumalokit, laitetunnisteet, olennaiset henkilöllisyyden varmentamisen kentät, kaksi päivämääräväliin kuuluvaa tukitikettiä
Pois rajatut henkilötiedotAsiaankuulumaton tukihistoria, päivämäärävälin ulkopuoliset sisäiset analyytikkoarviot, viittaukset kolmansien osapuolten asiakkaisiin
MinimointiperusteluSoveltamisala rajattu nimettyyn asiakkaaseen, 90 päivän jaksoon ja pyynnössä yksilöityihin tapahtumiin liittyviin tallenteisiin
Tietosuojavastaavan katselmointiHyväksytty peittämisohjein
Lakiasioiden hyväksyntäHyväksytty, vastauksen sanamuoto katselmoitu
CISO:n katselmointiTurvallinen vienti ja siirtotapa hyväksytty
SiirtotapaSalattu arkisto valvontaviranomaisen turvallisen portaalin kautta
Rekisteröidylle ilmoittaminenLykkätty pyynnössä olevan oikeudellisen rajoituksen vuoksi, katselmointipäivä asetettu
SäilytysPyyntökirjaus ja luovutuspaketti säilytetään oikeudellisen säilytysvelvoitteen aikataulun mukaisesti
Sulkemista koskeva todentava aineistoPortaalin lähetyskuittaus, luovutuspaketin tiiviste, hyväksyntäketju

Tämä on ero väitteen ”noudatimme pyyntöä” ja väitteen ”voimme osoittaa noudattaneemme sitä lainmukaisesti ja oikeasuhtaisesti” välillä. Jos asiakas myöhemmin valittaa, viranomainen esittää jatkokysymyksiä tai auditoija ottaa luovutuksen otantaan, kirjaus osoittaa hallintalogiikan.

Todentavan aineiston säilyttäminen: älä vahingoita tosiseikkoja yrittäessäsi auttaa

Kun lainvalvontaviranomaisen tai valvontaviranomaisen pyyntö liittyy tutkintaan, tietosuojan hallinta kohtaa forensiikan ja oikeudellisen säilytysvelvoitteen. Luovutettavat tiedot ovat usein todistusaineistoa, ja niiden keräämisen tulee säilyttää eheys.

Legal and Regulatory Compliance Policy - SME, kohta 6.4.1, asettaa kontekstin:

Riita-asian, tutkinnan tai oikeudellisen pyynnön yhteydessä:

Kohta 6.4.1.2 antaa selkeän ohjeen:

Työntekijät eivät saa poistaa tai muuttaa aineistoa, joka voi muodostaa osan tutkintaa.

P31S Evidence Collection and Forensics Policy - SME, kohta 2.2.5, sisältää nimenomaisesti:

Sääntelyviranomaisten tai lainvalvontaviranomaisten tiedustelut

Kohta 5.2.1 vahvistaa lokituskäytännön:

Jokainen digitaalisen todistusaineiston kohde on kirjattava seuraavin tiedoin:

Operatiivisesti todistusaineistolokin tulee sisältää yksilöllinen tunniste, keräyksen päivämäärä ja kellonaika, kerääjän nimi, lähdesijainti ja tarvittaessa kryptografinen tiiviste. Tarkoituksena on jäljitettävyys. Jos lokit viedään manuaalisesti, tiedostonimiä muutetaan, aikaleimat ovat epäselviä tai tiivistettä ei säilytetä, organisaation voi myöhemmin olla vaikea osoittaa eheyttä.

Vahva todentavan aineiston työnkulku rajoittaa myös pääsyä. Luovutuspaketit tulee säilyttää rajoitetuissa sijainneissa, salata siirron aikana, seurata siirtolokeilla ja säilyttää oikeudellisen säilytysvelvoitteen ja säilytysvaatimusten mukaisesti. Jos luovutuspyyntö osuu päällekkäin tietoturvapoikkeamiin reagoinnin kanssa, tiimin on tiedettävä, milloin siirrytään korjaustilasta tutkinnalliseen toimintatapaan.

Vaatimustenmukaisuuksien välinen kartoitus: yksi työnkulku, monta velvoitetta

Hyvin suunniteltu henkilötietojen luovutuspyyntöjen työnkulku voi täyttää useiden viitekehysten vaatimuksia ilman työn päällekkäisyyttä. Zenith Controls auttaa organisaatioita kartoittamaan saman operatiivisen todentavan aineiston tietosuojan, kyberturvallisuuden, toiminnallisen häiriönsietokyvyn ja hallinnon odotuksiin.

ViitekehysMitä auditoija tai valvontaviranomainen odottaaMiten Clarysecin työnkulku tukee sitä
ISO 27701:2025PIMS-roolit, lainmukaisen luovutuksen hallinta, henkilötietojen käsittelijän ohjeet, henkilötietojen luovutusta koskevat tallenteet, tietosuojariskien käsittelyRoolin määrittäminen, REG08, REG09, REG12, tietosuojavastaavan katselmointi, minimointiperustelu
GDPROikeusperuste, osoitusvelvollisuus, tietojen minimointi, turvallisuus, läpinäkyvyyspäätökset, henkilötietojen käsittelijöiden ja siirtojen hallintaToimivaltaperusteen arviointi, hyväksyntäketju, rajattu luovutuspaketti, turvallista siirtoa koskeva todentava aineisto
ISO/IEC 27001:2022 ja ISO/IEC 27002:2022Yhteydet viranomaisiin, todentavan aineiston kerääminen, henkilötietojen suojaaminen, pääsynhallinta, lokitus, kryptografia, poistaminenViranomaisyhteyksien matriisi, todistusaineistoloki, turvallinen vienti, tiivistekirjaus, säilytyspäätös
NIS2Poikkeamien raportointikuri, yhteistyö toimivaltaisten viranomaisten kanssa, hallintoon liittyvä osoitusvelvollisuus, toimitusketjun tietoisuusLakiasioiden ja CISO:n koordinointi, vastausmääräajat, viranomaisyhteysrekisteri, poikkeamayhteys
DORAFinanssialan toimijoiden TVT-poikkeamien hallinta, vuorovaikutus valvontaviranomaisten kanssa, valmius todentavan aineiston tuottamiseen, kolmansien osapuolten TVT-riskiValvontaviranomaisen pyynnön reititys, turvalliset luovutuskirjaukset, poikkeaman todentavan aineiston säilyttäminen, toimittajarajapinta
NIST Cybersecurity FrameworkKyberturvallisuustapahtumien hallintaan, tunnistamiseen, suojaamiseen, havaitsemiseen, reagointiin ja palautumiseen liittyvät tuloksetPolitiikan omistajuus, tietoaineistorekisteri, pääsynhallinnan kontrollit, lokitus, reagoinnin työnkulku, vastauksen jälkeinen katselmointi
COBIT 2019Vaatimustenmukaisuuden, riskien, tietoturvan, tiedonhallinnan ja varmentamisen hallintatavoitteetPäätösoikeudet, prosessiomistajuus, auditointitallenteet, johdon valvonta, jatkuva parantaminen

Myös tukevat ISO-standardit ovat olennaisia. ISO/IEC 27035 auttaa jäsentämään poikkeamien hallintaa, kun pyyntö liittyy poikkeamaan. ISO/IEC 27037 tukee digitaalisen todistusaineiston tunnistamista, keräämistä, hankintaa ja säilyttämistä. ISO/IEC 27018 on hyödyllinen, kun julkisen pilven henkilötietojen käsittelijät käsittelevät henkilötietoja. ISO/IEC 27017 tukee pilvitietoturvan vastuita. ISO 22301 tulee merkitykselliseksi, jos viranomaisyhteyksien ja luovutusvelvoitteiden on jatkuttava kriisiolosuhteissa. ISO/IEC 27006-1:2024 on välillisesti merkityksellinen, koska sertifiointiauditoijat odottavat hallintajärjestelmän soveltamisalaan kuuluvien hallintakeinojen johdonmukaista ja auditoitavissa olevaa toteutusta.

Tarkoituksena ei ole rakentaa erillistä vaatimustenmukaisuusprosessia jokaista viitekehystä varten. Tarkoituksena on suunnitella yksi puolustettava työnkulku, joka tuottaa uudelleenkäytettävää todentavaa aineistoa.

Miten eri auditoijat testaavat työnkulkua

ISO/IEC 27001:2022 -auditoija aloittaa tyypillisesti hallintajärjestelmäintegraatiosta. Hän kysyy, onko organisaatio määrittänyt sidosryhmät, laki- ja sääntelyvaatimukset, riskit, kontrollitavoitteet, dokumentoidut menettelyt, osoitetut vastuut ja säilytetyn todentavan aineiston. Luovutuspyyntöjen osalta hän voi ottaa otantaan poikkeamia, valvontaviranomaiskirjeenvaihtoa, viranomaisyhteystietoluetteloita, todistusaineistolokeja ja tietosuojatallenteita. Hän todennäköisesti testaa liite A:n hallintakeinoja A.5.5 Contact with authorities, A.5.28 Collection of evidence ja A.5.34 Privacy and protection of PII.

ISO 27701:2025 -arvioija keskittyy PIMS-roolien selkeyteen. Toimitteko rekisterinpitäjänä, henkilötietojen käsittelijänä, yhteisrekisterinpitäjänä vai alikäsittelijänä? Jos toimitte rekisterinpitäjänä, missä ovat oikeusperuste ja luovutuskirjaus? Jos toimitte henkilötietojen käsittelijänä, toimitteko rekisterinpitäjän ohjeiden mukaisesti, ellei laki edellyttänyt muuta? Ilmoitettiinko asiakkaalle, kun se oli vaadittua tai sopimuksen perusteella odotettua? Kirjattiinko ja katselmoitiinko ulkomaisten viranomaisten luovutuspyynnöt?

GDPR-valvontaviranomainen keskittyy osoitusvelvollisuuteen. Kysymys ei ole pelkästään ”oliko teillä lakisääteinen velvoite?” vaan ”miksi juuri tämä määrä tietoa luovutettiin, kuka hyväksyi sen, miten pyytäjä varmennettiin, mikä turvallisuus suojasi siirtoa, miten arvioitte läpinäkyvyyden ja missä kirjaus on?”

NIST-painotteinen arvioija tarkastelee hallintoa ja reagointituloksia. Hän kysyy, oliko roolit määritelty, säilytettiinkö lokit, rajoitettiinko pääsyä luovutuspaketteihin, dokumentoitiinko reagointitoimet ja paransivatko opit ohjelmaa.

COBIT 2019- tai ISACA-auditoija testaa päätösoikeuksien hallintaa. Hän voi kysyä, määrittikö johto prosessin omistajan, onko lakiasioiden, tietosuojan, tietoturvan ja liiketoiminnan vastuut eriytetty, hyväksytäänkö poikkeukset, raportoidaanko mittarit ja voiko varmennus tukeutua todentavaan aineistoon.

Valvontaviranomainen, auditoija, CISO ja tietosuojavastaava voivat tarkastella samaa kirjausta eri näkökulmista. Tietosuoja-ammattilainen näkee lainmukaisen luovutuskirjauksen. Tietoturva-auditoija näkee todentavan aineiston säilyttämisen ja turvallisen siirron. Hallinnon auditoija näkee osoitusvelvollisuuden ja päätösoikeudet. Organisaation tulee pystyä vastaamaan kaikille samaan kontrollinäyttöön perustuen.

Yleiset epäonnistumismallit

Clarysec näkee samat ehkäistävissä olevat epäonnistumiset toistuvasti.

Ensimmäinen on epämuodollinen viranomaisyhteys. Poliisi soittaa tukeen, tuki haluaa olla avuksi ja työntekijä vahvistaa tilitietoja suullisesti. Ei varmentamista, ei hyväksyntää, ei kirjausta.

Toinen on liiallinen luovutus. Organisaatio lähettää koko asiakastiedoston sen sijaan, että luovuttaisi vain vaaditut yksilöidyt tallenteet ja päivämäärävälin. Tämä luo vältettävissä olevan GDPR-riskin ja heikentää luottamusta.

Kolmas on henkilötietojen käsittelijän ylilyönti. SaaS-palveluntarjoaja saa lainvalvontaviranomaisen pyynnön asiakkaan hallitsemista henkilötiedoista ja vastaa ilmoittamatta asiakkaalle tai ottamatta tätä mukaan, vaikka sopimus ja PIMS-rooli edellyttävät reititystä, ellei laki sitä kiellä.

Neljäs on ulkomaisen viranomaisen arvioinnin puuttuminen. Muulta kuin kotimaiselta viranomaiselta tullut pyyntö käsitellään tavallisena luovutuksena ilman siirron arviointia, tietosuojavastaavan katselmointia tai REG09- tai REG12-kirjausta.

Viides on heikko todentavan aineiston käsittely. Lokit viedään manuaalisesti, aikaleimat ovat epäselviä, tiedostonimiä muutetaan eikä tiivistettä tai hallussapitoketjukirjausta ole.

Kuudes on hallitsematon luottamuksellisuus. Liian moni työntekijä kopioidaan pyyntöön, mukaan lukien henkilöt, joilla ei ole tarvetta tietää. Arkaluonteiset tutkinnan yksityiskohdat leviävät keskustelukanaviin.

Seitsemäs on määräaikojen epäselvyys. Organisaatio ohittaa oikeudellisesti merkittävän vastauspäivän, koska pyyntö elää sähköpostilaatikossa eikä seurattavassa työnkulussa.

Jokainen epäonnistuminen on ehkäistävissä ennalta määritetyillä kanavilla, rekistereillä, hyväksynnöillä ja todentavaa aineistoa koskevilla standardeilla.

Roolit ja päätösoikeudet

Käytännöllinen hallintamalli määrittää päätösoikeudet ennen ensimmäisen pyynnön saapumista.

RooliVastuu luovutustyönkulussa
Asiakasrajapinnan työntekijäVälittää pyynnön hyväksyttyyn vastaanottokanavaan, ei vastaa sisällöllisesti, ei luovuta henkilötietoja
LakitiimiVarmistaa oikeudellisen asiakirjan, lainkäyttöalueen, toimivallan, luottamuksellisuusrajoituksen ja vastauksen sanamuodon
Tietosuojavastaava tai tietosuojaneuvonantajaArvioi GDPR:n ja ISO 27701:2025:n vaikutukset, minimoinnin, läpinäkyvyyden, PIMS-roolin ja siirtokysymykset
CISOHyväksyy todentavan aineiston turvallisen keräämisen, turvallisen viennin, siirtotavan ja poikkeamayhteyden
Prosessin omistajaTunnistaa olennaiset järjestelmät ja tietoryhmät, vahvistaa liiketoimintakontekstin
PIMS-päällikköYlläpitää REG08:aa, REG09:ää tai REG12:ta, seuraa katselmoinnin tulosta, säilyttää auditointinäytön
Ylin hyväksyjäHyväksyy korkean riskin, ulkomaiset, strategiset tai maineen kannalta arkaluonteiset luovutukset
Toimittaja- tai hankintaomistajaKoordinoi kolmansia osapuolia tai henkilötietojen käsittelijöitä koskevien pyyntöjen kirjaukset ja sopimusvelvoitteet

Tämä malli tulee sisällyttää tietoisuuskoulutukseen. Työntekijöiden ei tarvitse tuntea jokaista oikeudellista nyanssia, mutta heidän tulee tietää sääntö: viralliset pyynnöt ohjataan määriteltyyn kanavaan eikä henkilötietoja luovuteta ilman valtuutusta.

Valmiuden tarkistuslista seuraavaa pöytäharjoitusta varten

Käytä tätä tarkistuslistaa tietosuojan hallintatyöpajassa, sisäisessä tarkastuksessa tai pöytäharjoituksessa.

  • Onko meillä yksi vastaanottokanava lainvalvonta- ja valvontaviranomaisten henkilötietojen luovutuspyynnöille?
  • Tietävätkö työntekijät, etteivät he saa vastata epämuodollisesti?
  • Varmennammeko pyytäjän henkilöllisyyden riippumattomien yhteystietolähteiden avulla?
  • Erotammeko toisistaan valvontaviranomaisen pyynnöt, tuomioistuimen määräykset, lainvalvontaviranomaisten pyynnöt, asiakkaan valtuuttamat pyynnöt ja ulkomaisten viranomaisten pyynnöt?
  • Määritämmekö ennen vastaamista, olemmeko rekisterinpitäjä, henkilötietojen käsittelijä, yhteisrekisterinpitäjä vai alikäsittelijä?
  • Dokumentoimmeko oikeusperusteen, toimivaltaperusteen, lainkäyttöalueen ja luottamuksellisuusrajoitukset?
  • Sovellammeko tietojen minimointia ja peitämmekö asiaankuulumattomat henkilötiedot?
  • Edellytämmekö tietosuojavastaavan tai tietosuojaneuvonantajan katselmointia tietosuojan kannalta merkittäville pyynnöille?
  • Edellytämmekö lakiasioiden ja CISO:n koordinointia, kun asiaan liittyy lainvalvonta- tai forensiikkakysymyksiä?
  • Kirjaammeko rekisterinpitäjän luovutukset REG08:aan?
  • Kirjaammeko ulkomaisten viranomaisten pyynnöt REG09:ään tai REG12:een?
  • Seuraammeko vastausmääräaikoja ja ylläpidämmekö todistusaineistolokeja?
  • Säilytämmekö mahdollisesti olennaisen aineiston ja estämmekö sen poistamisen tai muuttamisen?
  • Suojaammeko luovutuspaketit salauksella, pääsynhallinnalla ja siirtolokituksella?
  • Teemmekö vastauksen jälkeisen katselmoinnin korkean riskin pyynnöille?
  • Raportoimmeko mittarit ja opit johdolle?

Jos vastaus johonkin näistä on ”hoidamme sen yleensä sähköpostilla”, prosessi ei ole vielä auditointivalmis.

Tuo työnkulku osaksi ISMS:ää ja PIMS:ää

Paras hallintamalli ei elä vain lakiasioissa. Se on osa ISMS:ää ja PIMS:ää.

Zenith Blueprint suosittelee ISMS Foundation & Leadership -vaiheen vaiheessa 5 ulkoisen viestinnän suunnittelua ja sen tunnistamista, kuka viestii valvontaviranomaisten, asiakkaiden, kumppaneiden ja yleisön kanssa. Siinä todetaan, että oikeudellinen neuvonantaja voi osallistua valvontaviranomaisille suunnattavan viestinnän sanamuotoihin. Sama periaate soveltuu suoraan virallisiin henkilötietojen luovutuspyyntöihin.

Controls in Action -vaihe operationalisoi työnkulun viranomaisyhteyksien, henkilötietojen suojaamisen ja todentavan aineiston keräämisen kautta. Siksi Clarysecin 30-Step Guide ei käsittele tietosuojaa, tietoturvaa ja vaatimustenmukaisuutta toisistaan irrallisina työvirtoina. Todellinen pyyntö ylittää kaikki kolme.

Liiketoimintavastaaville hyöty on vähäisempi kaaos. CISOille se selkeyttää, milloin tietoturvanäyttöä voidaan kerätä, luovuttaa tai säilyttää. Tietosuojavastaaville se luo todennettavan GDPR:n ja ISO 27701:2025:n mukaisen osoitusvelvollisuuden. Vaatimustenmukaisuuspäälliköille se tuottaa rekistereitä ja auditointijälkiä. Auditoijille se luo selkeän polun politiikkavaatimuksesta operatiiviseen näyttöön.

Seuraavat vaiheet Clarysecin kanssa

Valvonta- tai lainvalvontaviranomaisen pyyntö ei ole hetki keksiä tietosuojan hallintaprosessia. Se on hetki, jolloin prosessianne testataan.

Aloita pöytäharjoituksella. Käytä realistista kyberrikokseen, valvontaviranomaiseen tai ulkomaiseen viranomaiseen liittyvää pyyntöä. Pyydä lakiasioita, tietosuojavastaavaa, CISOa, tukea ja asianomaista prosessin omistajaa käymään läpi vastaanotto, varmentaminen, roolin määrittäminen, minimointi, hyväksyntä, turvallinen siirto, rekisterikirjaus, todentavan aineiston säilyttäminen ja sulkemiskatselmointi.

Vertaa sitten vastauksianne Clarysecin toimintamalliin:

  • Käytä Zenith Blueprint: An Auditor’s 30-Step Roadmap -opasta viranomaisyhteyksien, ulkoisen viestinnän, henkilötietojen suojaamisen ja todentavan aineiston keräämisen sijoittamiseen ISMS- ja PIMS-toteutussuunnitelmaanne.
  • Käytä Zenith Controls: The Cross-Compliance Guide -opasta ISO 27701:2025:n, GDPR:n, ISO/IEC 27001:2022:n, ISO/IEC 27002:2022:n, NIS2:n, DORA:n, NIST:n ja COBIT 2019:n odotusten kartoittamiseen yhdeksi auditointivalmiiksi kontrollikertomukseksi.
  • Käytä Clarysecin tietosuoja- ja yksityisyydensuoja-, tietoturvapoikkeamien hallinta-, laki- ja sääntelyvaatimusten noudattaminen-, todistusaineiston kerääminen ja forensiikka-, henkilötietojen luovutus-, henkilötietojen käsittelijöiden hallinta- sekä kansainvälisten siirtojen politiikkoja työnkulun sääntöjen, rekisterien, hyväksyntöjen ja todentavaa aineistoa koskevien vaatimusten määrittämiseen.

Clarysec auttaa tiimejä siirtymään reaktiivisesta paniikista hallittuun toteutukseen. Lataa asiaankuuluvat Clarysecin työkalupaketit, toteuta pöytäharjoitus ja varaa luovutusten hallintaa koskeva arviointi varmistaaksesi, että seuraava vastauksesi on lainmukainen, minimoitu, hyväksytty, kirjattu, turvallinen ja auditoitavissa.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article