Tietosuoja käytännönläheisesti
Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) julkaisi hiljattain oppaan, joka on suunnattu erityisesti pienille ja keskisuurille yrityksille. Oppaan tavoitteena on auttaa yrityksiä ymmärtämään ja täyttämään tietosuoja-asetuksen (GDPR) vaatimukset käytännönläheisesti ja simppelisti. Ohjeet tarjoavat konkreettisia esimerkkejä, jotka auttavat tietosuojavelvollisuuksien ja -periaatteiden ymmärtämisessä ja noudattamisessa.
Bongaa ainakin nämä tärkeät nostot, jotka vastaavat usein kysyttyihin kysymyksiin ja helpottavat yrityksesi tietosuoja-asioiden hoitamista!
Täytyykö meidän nimittää tietosuojavastaava?
Monet yritykset miettivät, onko heidän pakko nimetä tietosuojavastaava. Euroopan tietosuojaneuvoston oppaasta löytyy lyhyt kysely, jonka avulla voit arvioida virallisen tietosuojavastaavan nimeämisen pakollisuutta.
Vaikka kysely ei anna ehdotonta vastausta, se auttaa hahmottamaan, mihin suuntaan organisaation tulisi kallistua. Käytännössä tietosuojavastaava tarvitaan erityisesti silloin, kun organisaatio käsittelee henkilötietoja laajamittaisesti, säännöllisesti tai järjestelmällisesti, tai käsitellään arkaluontoisia tietoja.
Kuka voi olla tietosuojavastaava?
Tietosuojavastaavan rooli on tärkeä, ja tietosuojaneuvoston opas selventää, kuka kyseiseen rooliin soveltuu. Oppaassa tuodaan esille, että vaikka tietosuojavastaavalla voi olla muitakin tehtäviä organisaatiossa, on tärkeä varmistaa, ettei näistä tehtävistä synny ristiriitaa.
Erityisesti johtavassa asemassa olevat henkilöt, kuten toimitusjohtajat, talousjohtajat, IT-päälliköt tai henkilöstöpäälliköt, saattavat olla rooleissa, joissa he päättävät henkilötietojen käsittelystä. Tämä tarkoittaa, että heillä on suora vaikutus siihen, miten ja miksi tietoja käsitellään, mikä taas vaarantaa lain edellyttämän riippumattomuuden.
Miten rekisteröidyn oikeuksiin liittyvä pyyntö käsitellään?
Moni yritys on tietoinen siitä, että tietosuoja-asetuksen mukaan rekisteröidyillä on useita oikeuksia. Silti kun ensimmäinen rekisteröidyn pyyntö ilmestyy sähköpostiin, saattaa yrityksessä helposti jäädä sormi suuhun: miten tällainen pyyntö oikeastaan pitäisi hoitaa, ja mitä tietoja pyyntöön tulisi sisällyttää?
Euroopan tietosuojaneuvoston oppaassa korostetaan, että rekisteröidyn pyyntöön on vastattava selkeästi, ymmärrettävästi ja kirjallisesti. Lisäksi on tärkeää, että vastaus toimitetaan tietosuoja-asetuksen mukaisessa määräajassa, joka on yksi kuukausi. Ohjeet sisältävät myös selkeät linjaukset siitä, mitä tietoja pyynnön esittäjälle on toimitettava. Näistä saa käytännössä erinomaiset muistilistat etenkin sellaisille yrityksille, jotka eivät ole aikaisemmin joutuneet vastaamaan tämän tyyppisiin pyyntöihin.
Mitä ihmettä tarkoittaa sisäänrakennettu ja oletusarvoinen tietosuoja?
”Sisäänrakennettu ja oletusarvoinen tietosuoja” on todellinen sanahirviö, joka voi aiheuttaa päänvaivaa monessa organisaatiossa. Tietosuojaneuvoston ohjeet kuitenkin selittävät tämän periaatteen käytännön tasolla: idea on siinä, että tietosuojaperiaatteet huomioidaan jo järjestelmien ja prosessien suunnitteluvaiheessa – ei vasta jälkikäteen.
Käytännössä tämä tarkoittaa esimerkiksi sitä, että kun verkkokauppa-alustaa rakennetaan, pohditaan tarkkaan, mitä tietoja asiakkaalta todella tarvitaan tilauksen yhteydessä, eikä kerätä mitään ylimääräistä. Näin varmistetaan, että henkilötietoja käsitellään vain tarpeellisella tavalla ja että suojaus on kunnossa jo heti alusta lähtien.
Mitä ne tekniset ja organisatoriset toimenpiteet oikeasti ovat?
Tietosuoja-asetus asettaa vaatimuksia siitä, että organisaatioiden on toteutettava sekä teknisiä että organisatorisia toimenpiteitä henkilötietojen suojaamiseksi. Tekniset toimenpiteet voivat olla yrityksille helpommin ymmärrettäviä, ja niihin lukeutuvat laitteiden salaus, käyttöoikeuksien rajaaminen ja varmuuskopioiden ylläpitäminen.
Organisatoriset toimenpiteet saattavat kuitenkin olla vieraampia. Euroopan tietosuojaneuvoston oppaassa tuodaan esille käytännön esimerkkejä siitä, mitä nämä toimenpiteet voivat olla: esimerkiksi työntekijöiden salassapitosopimukset ja toimitettavien asiakirjojen salassapitoluokitukset ovat tärkeitä tietosuojan toteuttamisessa. Organisatorisiin toimenpiteisiin kuuluu lisäksi henkilöstön koulutus tietosuoja-asioissa, jotta he ymmärtävät, miten tietoja tulee käsitellä turvallisesti ja mitä riskejä vääränlainen tietojen käsittely voi aiheuttaa.
Asiantuntijat apuna
Jos kaipaat apua tietosuojakäytäntöjen toteuttamisessa yrityksessäsi tai kaipaat tietosuojaan liittyvää koulutusta, me olemme täällä auttamassa. Lawderin virtuaalisessa aulassa vastaamme yritysten ja yhteisöjen kysymyksiin mm. tietosuojaan liittyen. Astu aulaan – neuvonta on maksuton (ark. 9-15)
Aino Kosunen
Data Protection Lawyer
Lawder Oy