Tietosuoja-asetus: Oletko valmis GDPR:n vaatimuksiin?

Julkaistu 4.12.2017 klo 14.39

EU:n tietosuoja-asetus tulee sovellettavaksi siirtymäajan jälkeen 25.5.2018. Aikaa valmistautua on enää 6 kuukautta. Tiedätkö, koska olet rekisterinpitäjä, henkilötietojen käsittelijä, vastaanottaja tai kolmas osapuoli?

”Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjällä on oikeus määrätä henkilörekisterin käytöstä”, kertoo Valtorin tieto- ja kyberturvallisuus yksikön päällikkö, tietoturvapäällikkö Olli Joronen.

Henkilötietojen käsittelijällä taas tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Kaikilla rooleilla on vastuunsa, mutta rekisterinpitäjällä vastuu on kaikkein suurin. 

”Esimerkiksi Valtorin kohdalla asiakkaiden toiminnasta syntyvistä henkilötiedoista puhuttaessa, on Valtorin rooli yleensä henkilötietojen käsittelijä, vaikka henkilötiedot olisivat tallennettuna Valtorin ylläpitämään järjestelmään. Oleellista on se, kuka määrittelee käsittelyn tarkoitukset ja määrää henkilörekisterin käytöstä”, Joronen kertoo.

Osoitus- ja ilmoitusvelvollisuus sekä oikeus tulla unohdetuksi

Merkittävä vaatimus on osoitusvelvollisuus. Organisaation tulee osoittaa, että se noudattaa asetusta. Lisäksi, mikäli organisaatio joutuu tietosuojaloukkauksen kohteeksi, on loukkauksista ilmoitettava 72 tunnin kuluessa viranomaiselle. Muita keskeisimpiä vaatimuksia tiivistettynä ovat mm. rekisteröidyn oikeus tulla unohdetuksi. Henkilötietojen keräämiseen tulee olla suostumus, rekisteröidyllä on oikeus nähdä hänestä kerätyt tiedot ja organisaation tulee vastuuttaa tietosuojan hallinta.

Valtori on suunnitellut ja rakentanut asiakasorganisaatioidensa avuksi menetelmän, jolla käydään systemaattisesti ja strukturoidusti tietosuojaa läpi.