Tietosuoja-asetus – mistä on kyse?

Mikko Viemerö: EU:n yleinen tietosuoja-asetus tuo kaikille asiakastietoja ja henkilöstönsä tietoja käsitteleville organisaatioille uusia, entistä

Mikko Viemerö, Kyberturvallisuuden tietosuojatiimin vetäjä, KPMG Oy Ab

EU:n yleinen tietosuoja-asetus tuo kaikille asiakastietoja ja henkilöstönsä tietoja käsitteleville organisaatioille uusia, entistä haastavampia vaatimuksia. Uuden lainsäädännön soveltaminen alkaa 25. toukokuuta 2018. Organisaatioissa on kuitenkin jo nyt hyvä olla käsitys mahdollisista puutteista tietosuojan hallinnassa ja henkilötietojen käsittelyssä. Näin ne ehtivät käynnistää ajoissa varsinaisen kehitystyön.

Uusia velvoitteita – keskiössä rekisterinpitäjän osoitusvelvollisuus

Tietosuoja-asetus tuo rekisterinpitäjille ja tietojenkäsittelijöille uusia velvoitteita. Asetuksen keskiössä on rekisterinpitäjän osoitusvelvollisuus, joka velvoittaa täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä hallinnollisesti että teknisesti. Organisaation on myös pystyttävä tarvittaessa osoittamaan, että näin on todella toimittu – organisaation on dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset ja millä perusteilla toimenpiteet on valittu.

Tietosuoja-asetus velvoittaa nimittämään tietyissä tapauksissa tietosuojavastaavan, jonka tehtävä on muun muassa arvioida organisaation tietosuojan tilaa ja kehittämistarpeita sekä raportoida niistä suoraan johdolle. Nimittämisvelvollisuus koskee esimerkiksi sellaisia organisaatioita, jotka käsittelevät paljon arkaluonteisia henkilötietoja.

Kehitystyö – mahdollisuus eikä uhka

Organisaation kypsyystaso vaikuttaa siihen, kuinka paljon aikaa menee tarvittaviin muutoksiin ja tietosuojan hallinnoinnin sekä henkilötietojen käsittelyn käytäntöjen päivittämiseen. Kevyimmillään kehitysprojekti tarkoittaa politiikkojen, prosessien ja sopimusten päivittämistä, mutta haastavissa tapauksissa tarvitaan myös investointeja järjestelmäkokonaisuuteen.

“On hyvä huomata, että ”riittävä” taso jää osittain jokaisen organisaation itse arvioitavaksi.”

Monet organisaatiot ovat jo siirtyneet nykytilan arvioinnista kehitystyön pariin. Arviointiin on tärkeää panostaa, sillä se lisää johdon ja henkilöstön tietämystä henkilötietojen käsittelystä sekä auttaa tunnistamaan henkilötietojen käsittelyyn liittyviä kriittisiä prosesseja ja puutteita. Tietosuoja-asetuksen sanktiot esimerkiksi tietovuototapauksissa voivat nousta jopa neljään prosenttiin organisaation liikevaihdosta.

Tyypillisiä tietosuojan kipu- tai kehityskohteita ovat hallinnointirakenteiden ja politiikkojen kehittäminen, riskianalyysien tekeminen sekä sisäänrakennettu tietosuoja tiedon elinkaaren hallinnassa. Kehittämisen varaa on usein myös rekisteröityjen oikeuksien toteuttamisessa, henkilöstön osaamisessa, sopimusten hallinnassa sekä teknisissä ratkaisuissa.

Riskilähtöisyys auttaa mitoittamaan toimenpiteet

Osa asetuksen vaatimuksista vaatii vielä tarkennusta, ja toisaalta on hyvä huomata, että ”riittävä” taso jää osittain jokaisen organisaation itse arvioitavaksi. Asetuksen riskilähtöisyyden periaate ohjaa valitsemaan hallinta- ja suojauskeinot muun muassa käsiteltävien henkilötietojen luonteen, niihin kohdistuvien uhkien, teknologian tason sekä käytettävissä olevien resurssien mukaan.

Riskilähtöisyys edellyttää siis etukäteistä riskien ja vaikutusten arviointia, mutta tuo myös liikkumavaraa toimintatapojen valintaan.

Lisää samasta aiheesta

Blogit

Ennätysmäärä valmistuneita ESG-varmentajia

Kolmatta kertaa järjestetty ESG-valmennusohjelma on jälleen päättynyt menestyksekkäästi. Tänä vuonna valmennusohjelmasta valmistui ennätykselliset 240 henkilöä, […]
Lue lisää
Blogit

Kestävä kehitys strategiassa

Komeileeko kestävä kehitys strategiassa, ja nyt vaaditaan käytännön toimia? Tilanne on varsin yleinen, ja se […]
Lue lisää
Blogit

Kevään 2025 ESG-R yritysvalmennus käynnistyy helmikuussa!

Suosittu ESG-R yritysvalmennus on ainutlaatuinen valmennuskokonaisuus, joka on suunnattu niille henkilöille, jotka vastaavat yrityksessä kestävyysraportin […]
Lue lisää

Lisää samasta aiheesta

Poimintoja ST-Akatemian tuotteista ja palveluista

Shopping Cart
Scroll to Top