Uusi tietosuoja-asetus tulee lisäämään rekisterinpitäjien velvoitteita

Uusi tietosuoja-asetus tulee lisäämään rekisterinpitäjien velvoitteita ja luo painetta suojata organisaation käsittelemiä henkilötietoja, isojenkin sanktioiden uhalla. Rekisterinpitäjän tulee pystyä näyttämään, että tarvittavat toimenpiteet henkilötietojen suojaamiseksi on toteutettu. Käytännössä tämä tarkoittaa sitä, että organisaatiossa on oltava niin tekniset kuin hallinnolliset asiat kunnossa sekä esimerkiksi koulutuksiin liittyvät asiat huolehdittuina. Mikäli tehtävää tietosuojan saralla on paljon tai et tiedä, millä tolalla organisaatiosi tietosuojan tila on, parhaiten saat kokonaiskuvan organisaatiosi tilanteesta käyttämällä ulkopuolisen asiantuntijan apua, jonka kanssa tietosuojan tila voidaan selvittää esimerkiksi tietosuoja-arvioinnin (Privacy Impact Assessment, PIA) avulla.

Virallista kriteeristöä tietosuojatoimenpiteille ei ole toistaiseksi olemassa.

Tiedottamiseen, johtamiseen, vastuuttamiseen, kulunvalvontaan ja tietoja käsittelevän henkilöstön kouluttamiseen löytyy suosituksia ja esimerkkejä esimerkiksi Euroopan tietosuojaoikeuden käsikirjasta. Uusi tietosuoja-asetus tulee kuitenkin lisäämään rekisterinpitäjien velvoitteita nykytilanteeseen verrattuna monin tavoin ja antamaan rekisteröidyille lisää oikeuksia henkilötietojensa käsittelystä päättämiseen sekä henkilötietojen saatavuuteen liittyen. Meille yksilöinä tämä antaa entistä laajemman mahdollisuuden vaikuttaa niiden henkilötietojen käsittelyyn, joita meistä kaikista tallennetaan.

Uutta tietosuoja-asetusta aletaan soveltaa 25.5.2018 lähtien.

EU:n tietosuoja-asetus edellyttää, että organisaatiossa toteutetaan sekä teknisiä, että organisatorisia toimenpiteitä tietojen suojaamiseksi. Asetus on EU:n jäsenvaltioissa suoraan sovellettavaa oikeutta, ja se kumoaa voimaan tultuaan jäsenvaltioiden kansalliset henkilötietolait suurilta osin. Tarpeen tälle uudelle asetukselle on luonut nopea ja jatkuva teknologian kehitys. Tietoa käsitellään, kerätään ja siirretään yhä kasvavissa määrin ja kiihtyvään tahtiin. Jatkuva kehitys luo tarpeen uudistaa organisaatioita sekä digitaalisia palveluja, jotta ne tulevat täyttämään asetuksen vaatimukset.

Tulevien tietosuojavaateiden täyttäminen ei tule onnistumaan pelkillä teknisillä ratkaisuilla.

Koulutukset ovat erinomainen tapa kehittää organisaation tiedon suojaamisen lähtökohtia ja niistä saatavat fyysiset kortit toimivat todenteena osaamisesta. Tietosuojakorttikoulutuksessa saadaan yleiskuva tietosuojaan liittyvistä periaatteista sekä uuden asetuksen vaateista organisaatioille. Tietoturvallisuus- ja tietosuojakoulutukset koostuvat verkkokoulutusosioista sekä kolmen tunnin lähiopetuksesta.