Tietosuoja

GDPR – mitä tietosuoja-asetus tarkoittaa käytännössä?

Euroopan unionin yleinen henkilötietoja koskeva tietosuoja-asetus tuli voimaan toukokuussa 2016. Kaksi vuotta kestänyt siirtymäaika umpeutui 25.5.2018, ja sen jälkeen sitä ryhdyttiin soveltamaan täysimääräisesti.

Kaikissa henkilötietoja käsittelevissä organisaatioissa asioiden pitää olla asetuksen edellyttämässä kunnossa. Asetuksesta käytetään yleisesti lyhennettä GDPR (General Data Protection Regulation).

GDPR koskee kaikkia rekisterinpitäjiä, joilla on henkilödataa, myös yrityksen omasta henkilöstöstä kerättyjä tietoja. Viimekädessä tämän henkilödatan asetuksen mukaisesta käsittelystä vastaa organisaation johto. Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät henkilötietoja koskevat päätökset – siis käyttävät rekisterinpitäjälle kuuluvaa valtaa.

Asetus vaatii reagoimista myös kunnilta, seurakunnilta, säätiöiltä sekä eri järjestöiltä, esimerkiksi urheiluseuroilta, poliittisilta järjestöiltä ja aatteellisilta yhdistyksiltä.

Tietosuoja-asetus koskee lähes kaikkia yrityksiä, eikä se rajaa pois pienintäkään rekisterinpitäjää, joten niin henkilötietoja käsittelevien mikroyritysten kuin yhden miehen tai naisen palveluyrittäjienkin (esimerkiksi kirjanpitäjien, kampaajien, isännöitsijöiden, terapeuttien, kiinteistövälittäjien) on sitä noudatettava. Yli 90 prosenttia Suomen noin 300 000 yrityksestä on 1–9 henkilöä työllistäviä mikroyrityksiä.

EU:n yleinen tietosuoja-asetus vaatii, että rekisterinpitäjä ja käsittelijä huolehtii hyvin hallussaan olevista rekisteröidyn henkilötiedoista. Rekisteröidyn henkilötiedot on suojattava niin, että

  • henkilötiedot ovat oikeita, luotettavia ja ajantasaisia
  • henkilötiedot ovat vain oikeutettujen henkilöiden saatavilla
  • henkilötiedot eivät joudu ulkopuolisten tietoon/haltuun

Esimerkki projektin kattavuudesta

  1. Riskikartoitus, kirjataan kaikki organisaation tunnistetut tietosuojariskit
  2. Riskianalyysi, jokaiselle riskille määritellään toteutumisen todennäköisyys ja toteutumisen vaikuttavuus sekä vakavuuden mukainen toimenpide-ehdotus
  3. Riskienhallinta, valituille toimenpide-ehdotuksille, jotka vaativat toimia määritellään vastuutaho/-henkilö ja alustava aikataulu tekemiselle.
  4. Riskienhallinnan seuranta, käydään sovittujen tehtävien tilanne läpi
  5. Työkalu, jolla pystyt täyttämään tietosuoja-asetuksen asettamat vaatimukset

Muutamia vaatimuksia, joilla varmistetaan tietoturvariskien arvioinnin onnistuminen:

  1.  Johdon tuki tietoturvariskien arvioinnille
  2. Organisaation tietojen luokittelu (Julkinen – sisäinen – luottamuksellinen – salainen)
  3. Organisaation sisäinen projektiryhmä on nimetty ja annettu riittävä resurssit käyttöön jokaisesta organisaation toiminnosta

Ota yhteyttä!