Loading...

Yrityksen tietosuoja – mitkä ovat keskeisiä velvollisuuksiasi rekisterinpitäjänä?

Yrityksen tietosuoja nousee entistä tärkeämpään asemaan, kun uusi tietosuoja-asetus GDPR tulee sovellettavaksi 25.5.2018 alkaen. Kirjoitin jo aikaisemmin GDPR:n mukanaan tuomista muutoksista ja millaisia toimenpiteitä se yrityksiltä vaatii. Nyt kerron laajemmin, mitä yrityksen on huomioitava tietosuoja-asioissaan, ja mitkä ovat sen velvollisuuksia rekisterinpitäjänä.

Osoitusvelvollisuus

Yrityksen on kyettävä osoittamaan, että asetuksen mukaista henkilötietojen käsittelyä noudatetaan. Asian todistamiseksi tietojen käsittelyn tulee olla suunnitelmallista ja dokumentoitua ja yrityksen tulee todentaa, miten tietosuoja-asetuksen periaatteiden noudattaminen sekä rekisteröityjen oikeuksien ja heidän tiedottamisensa toteutuminen varmistetaan.

Käsittelyyn liittyvien riskien arviointi

Henkilötietoihin kohdistuvat toimenpiteet ja suojatoimet riippuvat siitä, kuinka paljon käsittelystä arvioidaan aiheutuvan riskiä rekisteröidyn oikeuksille ja vapauksille. Esimerkiksi käsittelyn riskinä voi olla, että rekisteröity joutuu identiteettivarkauden kohteeksi tai kärsii taloudellisia menetyksiä tietosuojaloukkauksen johdosta. Riskin todennäköisyys ja vakavuus riippuvat muuan muassa käsittelyn luonteesta ja laajuudesta, ja toimenpiteet on suhteutettava sen mukaan.

Seloste käsittelytoimista

Yrityksen on ylläpidettävä selostetta henkilötietojen käsittelystään, mikäli sen palveluksessa on vähintään 250 henkilöä, tai sen toteuttamaan henkilötietojen käsittelyyn liittyy todennäköisiä riskejä rekisteröityjen oikeuksien ja vapauksien kannalta, käsittely ei ole satunnaista tai käsittely kohdistuu arkaluonteisiin tai rikosoikeudellisiin seuraamuksiin liittyviin henkilötietoihin. Selosteesta on selvittävä muun muassa rekisterinpitäjän tiedot ja kenelle henkilötietoja on luovutettu tai luovutetaan, sekä mitä tarkoitusta tai tarkoituksia varten tietoja kerätään ja käsitellään. Seloste on pätevä keino osoittaa henkilötietojen käsittelyn asianmukaisuus.

Tietosuojaa koskeva vaikutuksenarviointi ja ennakkokuuleminen

Jos käsittelystä aiheutuva riski rekisteröityjen oikeuksille ja vapauksille arvioidaan suureksi, täytyy tietosuojalle tehdä vaikutuksenarviointi. Vaikutusten arvioinnissa on tarkasteltava erityisesti sellaisia toimenpiteitä, joilla voidaan pienentää käsittelystä aiheutuvaa riskiä ja varmistaa asianmukainen tietojen käsittely rekisterinpitäjän toiminnassa. Jos riski arvioidaan korkeaksi, eikä rekisterinpitäjä pysty sitä pienentämään, ei käsittelyä saa aloittaa ennen valvontaviranomaisen ennakkokuulemista.

Käsittelyn turvallisuus

Yrityksen tietosuoja on oltava asetuksen mukaista kaikissa käsittelyn vaiheissa, aina tietojen keräämisestä niiden tuhoamiseen. Yrityksen on pidettävä huolta, että yrityksen tietoturva on vahva ja suojaa tietomurroilta.  Rekisterinpitäjän on pidettävä huoli, että kaikki, joilla on pääsy henkilötietoihin, käsittelevät niitä ohjeistuksen mukaisesti: niin oma henkilöstö kuin henkilötietojen käsittelijöinä toimivat yhteistyökumppanitkin. Yrityksellä on myös oltava suunnitelma siltä varalta, että tietoturvaloukkaus tapahtuu. On hyvä varmistaa, että palveluntarjoaja on myös sitoutunut tietosuoja ja tietoturvaprosesseihin.

Tietoturvaloukkauksista ilmoittaminen

Tietoturvaloukkauksesta on ilmoitettava sekä valvontaviranomaisille että loukkauksen kohteiksi joutuneille. Ilmoitus viranomaisille on tehtävä 72 tunnin kuluessa loukkauksen selviämisestä sekä rekisteröidyille ilman aiheetonta viivytystä, jos loukkaus saattaa aiheuttaa rekisteröityjen oikeuksiin ja vapauksiin kohdistuvan riskin. Yrityksen on syytä varautua mahdollisiin loukkauksiin muun muassa laatimalla asianmukainen viestintäsuunnitelma loukkauksen varalle sekä prosessiohjeistus tietoturvaloukkauksien havaitsemiseksi, eskaloimiseksi sekä tietoturvaloukkauksesta ilmoittamista varten.

Tietosuojavastaavan nimeäminen

Yrityksen on nimettävä tietosuojavastaava, mikäli sen ydintehtävät edellyttävät laajaa ja järjestelmällistä henkilötietojen, erityisten henkilötietoryhmien tai rikosseuraamuksia koskevien tietojen käsittelyä. Tietosuojavastaavaa nimettäessä on otettava huomioon tämän ammattipätevyys ja asiantuntemus tietosuojalainsäädännöstä. Ulkoisen tietosuojavastaavan nimeäminen voi olla yrityksen kannalta edullisin ratkaisu, sillä tällöin vältetään mahdolliset yrityksen sisäiset eturistiriitatilanteet ja varmistetaan muun muassa, että yrityksen käytössä on jatkuvasti tuorein ja asianmukaisin tieto tietosuojasääntelystä. Lisäksi käyttämällä ulkopuolista asiantuntijaa tietosuojavastaavana voidaan muun ohella vapauttaa yrityksen sisäistä potentiaalia, kun yhtiön sisäisen tietosuojavastaava voi käyttää aikansa muihin tehtäviin. Tietosuojavastaavan nimeämisestä voit lukea lisää aikaisemmasta kirjoituksestani.

Henkilötietojen käsittelyn ulkoistaminen

Yrityksen tietosuoja on huomioitava myös henkilötietojen käsittelyn ulkoistamisessa. Ulkoistamista on, jos ostaa toiselta yritykseltä esimerkiksi palkkahallinnon palveluita. Rekisterinpitäjän on saatava ulkoiselta taholta riittävät takeet siitä, että henkilötietojen käsittely tapahtuu asetuksen mukaisesti. Ulkoistettavasta käsittelystä on laadittava kirjallinen ja yksityiskohtainen sopimus henkilötietojen käsittelyä koskien sekä asianmukainen ohjeistus näissä tilanteissa henkilötietojen käsittelijänä toimivalle.

Velvollisuuksia siis riittää rekisterinpitäjällä ja niiden noudattaminen vaatii työtä ja tarkkaa suunnittelua. Tuntuuko monimutkaiselta? Concludentian Tietosuojavastaavasi™ -palvelu on apunasi kaikissa tietosuojaan liittyvissä asioissa, ja sen avulla saat selkeän kuvan GDPR:n vaatimuksista ja yrityksesi valmiudesta toteuttaa GDPR:n mukaiset velvollisuudet asianmukaisesti. Ota yhteyttä – esiselvitämme tilanteesi ja tarpeesi veloituksetta!

2018-03-06T09:31:12+00:00 06.03.2018|GDPR|