Usein kysytyt kysymykset

Mitä EU:n yleinen tietosuoja-asetus (GDPR) tarkoittaa yritysten ja yhteisöjen kannalta? Minkälaisia toimia asetus edellyttää organisaatiolta?

K1:

Eikö ole näin, että asetus on jo astunut voimaan, ja sitä aletaan soveltaa siirtymäajan jälkeen vuonna 2018?

V1:

Kyllä. Uusi pakottava laki hyväksyttiin keväällä 2016, ja sitä ryhdytään soveltamaan täysimääräisesti kahden vuoden siirtymäajan jälkeen 25.5.2018. Silloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.

K2:

Tarkoittaako rekisterinpitäjä käytännössä kaikkia yrityksiä joilla on henkilökuntaa?

V2:

Käytännössä kyllä, melkein kaikki yritykset käsittelevät henkilötietoja. Rekisterinpitäjä on yritys, viranomainen, yhdistys tai muu yhteisö, ei tietty osasto, työntekijä tai rekisteriä teknisesti ylläpitävä palveluntarjoaja. Käytännössä lähes kaikki yritykset ovat siis rekisterinpitäjiä jo pelkästään sillä perusteella, että heillä on omaa henkilökuntaa.

Rekisteri tarkoittaa käytännössä luetteloa oikeudellisista taikka luonnollisista henkilöistä, joilla on yksilöiviä henkilötietoja. Henkilötietoja, jotka muodostavat rekisterin osan, voi olla esim. henkilötiedot, joita tarvitaan palkanmaksua varten. Jos organisaatiolla on tällainen rekisteri olemassa, on se silloin rekisterin pitäjä.

K3:

”Ilmoitusvelvollisuus henkilötietojen loukkaamisesta.” Kuka on valvontaviranomainen?

V3:

Joka maalla on oma valvontaviranomainen, jonka jäsenvaltio nimittää. Oikeusministeriön asettaman työryhmän tehtäviin kuuluu valmistella ehdotus tarvittavaksi lainsäädännöksi kansallisesta tietosuojaviranomaisesta, sen organisaatiosta, tehtävistä ja toimivaltuuksista.

Asetuksen mukaan valvontaviranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja. Sen lisäksi on EU-tasoinen johtava valvontaviranomainen, joka määrittelee sellaisten rekisterinpitäjien toimintaa, joilla on toimintaa useammissa maissa. Euroopan tietosuojaneuvosto voi lisäksi antaa sitovia tulkintoja asetuksen soveltamisesta.

K4:

Eikö lähes kaikissa yrityksissä ole henkilötietojärjestelmä, jossa on tiedossa vaikka ammattiliiton jäsenyys?

V4:

Usein näin on. Kyseessä on silloin erityinen tietoryhmä, eli puhutaan arkaluontoisista tiedoista. Jos organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin, silloin tietosuojavastaava tulisi nimittää. Kannattaa huomioida, että vain välttämättömät tiedot kannattaa rekistereissä säilyttää. 

K5:

Onko henkilöstömäärällä myös merkitystä siihen pitääkö tietosuojavastaava nimittää?

V5:

Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy rekisteröityjen henkilöiden säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia.

Asetuksen mukaan velvollisuus tietosuojavastaavan nimittämiseen tulee kyseeseen, kun yksi ehto näistä täyttyy:

  • on kyse julkisen sektorin toimijasta, joka ei ole tuomioistuin.
  • organisaation ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.
  • organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.

K6:

Vastuusta suhteessa ulkoisiin palveluntarjoajiin; onko todella niin, että sen voi täysin ulkoistaa palveluntarjoajalle?

V6:

Vastuuta ei voi koskaan ulkoistaa, vastuu on aina organisaatiolla itsellään. Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, kannattaa näiden sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.

Asetuksen mukaan ulkoistaessa henkilötietojen käsittelyä rekisterinpitäjän (=se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan) ja käsittelijän (= se todellinen tietoja tallentava, kokoava ja säilyttävä jne.) on jatkossa sovittava kirjallisesti.

Sopimuksessa on oltava ainakin seuraavat seikat käsiteltyinä:

  • käsittelyn kohde ja kesto,
  • käsittelyn luonne ja tarkoitus,
  • henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja
  • rekisterinpitäjän velvollisuudet ja oikeudet.

 

K7:

Rekisterin pitäjän määritelmästä vielä – entä kun kyse on b2b-asiakkaiden tiedoista, jotka tarvitaan palvelun tuottamista varten? Tiedoissa on esim. nimi, sähköposti, titteli ja yritys…

V7:

Ei ole merkitystä, onko rekisteri b2b- vai b2c-käytössä. Oleellista on, että kun henkilötiedoista pidetään rekisteriä, jonka voi yhdistää luonnollisin henkilöihin, kyseessä on henkilötietorekisteri.

K8:

Käytössäni on Microsoftin Azure-palvelu, onko Microsoft rekisterinpitäjä? Koskevatko asetuksen velvoitteet myös Microsoftia ja muita amerikkalaisia firmoja.

V8:

Asetuksessa on säädetty henkilötietojen siirtämisestä EU:n ulkopuoliselle toimijalle jonka tarkoituksena on varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään – myös EU:n ulkopuolella, kuten internetissä usein on asian laita. Asetusta sovelletaan tietyissä määritellyissä tilanteissa myös EU:n ulkopuolelle sijoittautuneisiin organisaatioihin. Tietoja ei saa myöskään luovuttaa EU-alueen ulkopuolelle ilman henkilön lupaa.

K9:

Miten määritellään henkilötieto? Ovatko esimerkiksi laskutusjärjestelmässä olevat yksityisasiakkaan osoitetiedot tämän asetuksen piirissä?

V9:

Henkilötieto on kaikkeen tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto).

K10:

Olemme konserniin kuuluva osakeyhtiö. Riittääkö, että tietosuojavastaava on nimitetty emoyhtiöön, eikä meillä sitä erikseen tarvitse olla, vaikka meillä on laajamittaista henkilöjen tietojen säilömistä?

V10:

Tietosuojavastaava voi olla organisaation henkilöstön jäsen tai ulkoistettu resurssi joka voi toimia myös useamman eri organisaation tietosuojavastaavana. Konserni, samoin kuin useampi viranomainen tai julkishallinnon elin, voi tietyin edellytyksin nimittää vain yhden tietosuojavastaavan.

K11:

Uusiin sopimuksiin kannattaa varmaan yrittää saada jo nyt mukaan viittaus siihen, että 05/2018 tulee noudattaa GDPR:ää. Miten nykyiset voimassa olevat sopimukset?

V11:

Tietosuojalain tärkeimpiä uudistuksia onkin ennakkosuunnittelun merkityksen kasvaminen. On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseksi. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta. Yrityksen kannattaa tarkistaa ja tarpeen vaatiessa päivittää sopimuksensa vastaamaan uusia vaatimuksia.

K12:

Tilivelvollisuus tarkoittaa, että yrityksessä on tehty tarvittavat organisaatio- ja tekniset toimenpiteet. Onko olemassa listaa mitä nämä toimenpiteet ovat?

V12:

Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa.

Osoitusvelvollisuuden (”accountability”) avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:

  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • säilytyksen rajoittaminen ja
  • eheys ja luottamuksellisuus.

Eräs keino osoittaa tämä on toteuttaa edellisten tietojen perusteella laadittava tietotilinpäätös.

K13:

Muodostaako kameravalvonnan tallennin henkilörekisterin (julkisessa tilassa olevat kamerat, esim. rautatieasemalla)?

V13:

Tallennettu kuva ja ääni ovat henkilötietoja, jos yksityishenkilö on niistä tunnistettavissa. Jos kameranvalvontajärjestelmä tallentaa tunnistettavaa kuvaa tai ääntä, kyse on henkilötietojen automaattisesta käsittelystä. Tallenteiden säilytysajalla ei ole vaikutusta henkilötietolain soveltamiseen. Kameravalvonnan harjoittaja on henkilötietolaissa tarkoitettu rekisterinpitäjä, vaikka tallenteet säilytettäisiin esimerkiksi vain tunnin ajan.

K14:

Mitä EU:n tietosuoja-asetus koskee?

V14:

EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Koska kyseessä on kaikissa jäsenvaltioissa suoraan sovellettava asetus, tulee se yhdenmukaistamaan eurooppalaista tietosuojasääntelyä, joka tällä hetkellä muodostuu jäsenvaltioiden epäyhtenäisestä sääntelystä.

K15:

Myymme järjestelmää asiakkaillemme, jossa säilytetään arkaluontoista henkilötietoa. Palvelut kuitenkin sijaitsevat kumppanimme konesalissa. Mikä on vastuunjako korvausvelvollisuudessa?

V15:

Jos kumppani tarjoaa vain kapasiteettipalveluita ja palvelut ovat asiakkaan eivätkä kumppanin, silloin vastuu on asiakkaalla. Jos yrityksesi tarjoaa vaikkapa palkkahallinnon palveluja yrityksille tai yrityksesi pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja, yrityksesi on asetuksen mukaan henkilötietojen käsittelijä.

Rekisterinpitäjä ja käsittelijä ovat puolestaan voineet vaikkapa palvelusopimuksessa sopia keskinäiset vastuunsa henkilötietojen käsittelystä.

Käytännössä tämä tarkoittaa sitä, että edustitpa sitten rekisterinpitäjää tai henkilötietojen käsittelijää, kaikki yrityksienne väliset henkilötietojen käsittelyä koskevat sopimukset täytyy päivittää, mikäli ne ovat voimassa asetuksen voimaantulon jälkeen. 

K16:

Julkisissa pilvipalveluissa, Google/O365, tarjoaja pitää itsellä oikeuden muuttaa sääntöjään, miten haluaa. Esim. siirtää data EU:n ulkopuolelle. Miten tällaiseen pitäisi reagoida?

V16:

Uuden tietosuoja-asetuksen mukaan rekisterinpitäjien sekä henkilötietojen käsittelijöiden tulee tietää, missä paikassa henkilötietoja käsitellään ja säilytetään. Mahdollisuutta siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle rajoitetaan uudessa asetuksessa ankarasti.

Pilvipalvelut saattavat mahdollisesti käyttää ETA:n ulkopuolella sijaitsevia palvelimia. Myös pilvipalvelun tietojenkäsittelylaitteisto voi olla EU:n ulkopuolisen palveluntarjoajan hallinnassa. Tällöin henkilötietojen siirron tulee tapahtua tietosuoja-asetuksen tiedonsiirtosääntöjen mukaisesti.

K17:

Onko lopullinen vastuu tietosuojavastaavalla vai firmalla? Eli jos firma ei toteuta tietosuojavastaavan ehdotuksia tilanteen parantamiseksi, niin kumpaa mahdollisesti sakotetaan? Onko tietosuojavastaavalla juridista vastuuta henkilönä?

V17:

Vastuu on yrityksellä. Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Tietosuojavastaava ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle. Tietosuojavastaavan on oltava riippumaton eikä hän saa ottaa vastaan ohjeita tehtäviensä hoitamisen yhteydessä. 

K18:

Miten tietosuoja-asetusta sovelletaan Suomessa?

V18:

EU:n tietosuoja-asetus tulee olemaan suoraan sovellettavaa lainsäädäntöä Suomessa.

K19:

Miten US-EU Safe Harbor vaikuttaa tähän asetukseen?

V19:

Ei mitenkään, koska se ei ole enää voimassa. EU-tuomioistuin linjasi lokakuussa 2015, että komission päätös Yhdysvaltojen niin sanotusta Safe Harbor -järjestelystä on pätemätön.

K20:

Jos käytössä on Microsoftin Azure-AD, onko Microsoft silloin henkilörekisterin pitäjä?

V20:

Henkilötietolain (523/99 § 10) mukaan aktiivihakemistoa koskee velvollisuus rekisteriselosteesta, eli rekisterin ylläpitäjän pitää laatia seloste siitä, mitä henkilötietoja rekisterissä on, mihin niitä käytetään ja minne tietoja säännönmukaisesti luovutetaan sekä tietojen suojauksen periaatteet. Aktiivihakemistossa henkilötietojen käsittelyn tarkoitus on tietojärjestelmän käyttäjätunnusten ylläpito ja rekisterin tietosisältö voi olla esim. etu- ja sukunimi, puhelinnumero, tulosalue/yksikkö, sähköpostiosoite, käyttäjätunnus, salasana, työntekijänumero ja ammattinimike.

Azure AD on Microsoftin pilvestä tarjoama aktiivihakemisto, jota Microsoft ylläpitää, data on kuitenkin asiakkaan, joten Microsoft ei ole tilivelvollinen hakemiston sisältämien henkilötietojen ja niiden käsittelyn vaatimustenmukaisuudesta tietosuoja-asetukseen nähden.

K21:

Jos henkilötiedot on suojattu riittävällä tasolla mutta syystä tai toisesta tapahtuu tietomurto. Realisoituuko tämä korvausvelvollisuus aina myös tässä tapauksessa?

V21:

Korvausvelvollisuus on voimassa silloin, jos tietoturvaa ei ole ylläpidetty tai sitä on pidetty yllä huolimattomasti tai piittaamattomasti. Valvontaviranomainen voi esimerkiksi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja hallinnollisia sakkoja jotka ovat merkittäviä.

Ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa sekä rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle.

K22:

Asetusta ei liene sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn, jos se on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa ammatilliseen tai kaupalliseen toimintaan?

V22:

Juuri näin, asetuksen soveltamisalan ulkopuolelle jää henkilön henkilökohtaisen tai kotitalouttaan koskevan toiminnan yhteydessä suorittama henkilötietojen käsittely. Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.

Asetusta sovelletaan kuitenkin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, jotka mahdollistavat ym. tietojen keräämisen tarjoamassaan palvelussa.

K23:

Mitä tarkoitetaan käyttäjän profiloinnin rajoituksella?

V23:

Yritykset eivät saisi käyttää keräämiään tietojaan tai myydä niitä ilman käyttäjän lupaa. Jokaisella luonnollisella henkilöllä olisi oltava oikeus olla joutumatta tietojen automaattisen käsittelyn avulla tapahtuvaan profilointiin perustuvien toimenpiteiden kohteeksi. Tällaiset toimenpiteet olisi kuitenkin sallittava, jos ne on nimenomaan hyväksytty laissa tai toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun rekisteröity on antanut niihin suostumuksensa.

K24:

Jos yritys noudattaa ISO27001-2 standardia tai KATAKRI kriteeristön perustasoa ja rekisteriselosteet ovat tehty sekä noudattaa nykyistä henkilötietolakia ja tietoturvan kehitystyöstä on näyttöä, niin onko yritys jo yhteensopiva uuden tietosuoja-asetuksen kanssa?

V24:

ISO27001-standardin tai Katakri-kriteeristön noudattaminen antaa hyvän lähtökohdan EU:n tietosuoja-asetuksen soveltamiselle. EU:n tietosuoja-asetus tuo kuitenkin rekisterinpitäjälle uusia vaatimuksia, jotka täytyy ottaa huomioon. Tietosuojavaltuutettu suosittelee, että rekisterinpitäjät ja käsittelijät laatisivat säännöllisesti ns. tietotilinpäätöksen. Siinä kuvattaisiin tietojen käsittelyn nykytila sekä arvioitaisiin tietosuojan ja tietoturvan toteutuminen.

K25:

Kun pidetään henkilörekisteriä jotain tiettyä asiaa varten, niin pitääkö jokaiselle ’tietue kentälle’ pyytää suostumus? Eli siis kun rekisteröidystä voidaan kirjata lisää tietoja tarpeen mukaan, vaikkapa lisätään kenttä kaupunginosa, mikä lisätään henkilörekisteriin jälkikäteen jota ei ollut silloin kun suostumus oli annettu.

V25:

Tietosuoja-asetuksessa todetaan; ”suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten.” Asetuksessa ei ole vaatimusta, että jokaista tietokenttää varten tulisi olla erillinen suostumus.

Asetuksen periaatteissa että; ”henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään ns. tietojen minimointi.”

Olennaista on arvioida pysyykö käsittelytarkoitus samana ja onko uusi tieto tarpeellinen suhteessa alkuperäiseen käsittelytarkoitukseen.

K26:

Kuka tietää toimialalla vaadittavan tason tämän asetuksen suhteen eli onko tämän viranomainen määrittänyt jo kaikissa EU maissa?

V26:

Vahti 1/2016 raportissa todetaan että: ”Kansallinen valvontaviranomainen voi julkistaa ohjeistusta esimerkiksi siitä, missä tilanteissa tietosuojan vaikutustenarviointi tulee tehdä”. Asetuksessa pyritään huomioimaan myös yritysten kokoluokka siltä osin että yritysten on toteutettava vaatimukset kohtuullisin toimenpitein. On suositeltavaa seurata aikanaan tulevaa EU-tason ja kansallisen tason oikeuskäytäntöä, esimerkiksi ennakkopäätöksiä.

K27:

Näin jossain esityksessä määritelmän asetuksen sitovuuden ”raja arvoista” jossa rekisterinpitäjää sitoi vaatimukset jos yksilöiviä rekisteri tietueita oli yli 5000kpl. Onko tällainen kohtuullisuus pykälä olemassa? Esim. jos parturilla on asiakasrekisterissä 200 henkilöä, ovat asetuksen vaatimukset todella kuormittavia.

V27:

Asetuksessa on määritelty poikkeus, joka koskee alle 250 työntekijän yrityksiä. Poikkeus koskee velvoitetta ylläpitää selostetta käsittelytoimista. Poikkeus ei kuitenkaan ole voimassa, jos käsittely ”todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu erityisiin tietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.”

Lisäksi toimenpiteitä toteutettaessa otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski. Yksiselitteistä raja-arvoa asetus ei määritä, mutta edellä olevan perusteella suojausvaatimukset ovat parturilla kevyemmät kuin vaikkapa terveydenhuollon potilasrekistereissä.

K28:

Jos kunnassa on 100 henkilörekisteriä ja vain muutamassa sovelluksessa on sisään rakennettu lokivalvontatyökalu. Onko hyvissä ajoin vaadittava kaikilta sovellustoimittajilta EU:n tietosuoja-asetuksen vaatimia edellytyksiä? Mikä on käsitys sovellustoimittajien kyvystä toimittaa lokityökalut järjestelmiin, joissa käsitellään henkilötietoja.

V28:

Lokitietojen keruun toteuttamisen työmäärä vanhoihin sovelluksiin voi vaihdella hyvin paljon eri sovelluksissa. Asian ei kuitenkaan pitäisi tulla sovellustoimittajille yllätyksenä ja monilla aloilla on jo aiemmin ollut lakisääteinen velvollisuus tallentaa lokitiedot. Eli ilman muuta asia kannattaa nostaa esille sovellustoimittajien kanssa hyvin pian.

Niissä tapauksissa, joissa valvottavia rekistereitä on paljon, voi valvonnan työmäärä kasvaa huomattavasti. Tällöin kannattaa harkita keskitetyn tietoturvatietojen ja tapahtumien hallintapalvelun, eli ns. SIEM-ratkaisun hankkimista.

K29:

Miten asetuksen suhteen tulisi edetä?

V29:

Koska tietosuoja-asetus luo yrityksille useita velvoitteita ja hallinnollinen työ lisääntyy, asetuksen noudattamisen suunnittelu ja toteutus tulisi aloittaa mahdollisimman pian. Siirtymäaika asetuksen soveltamiseen on lyhyt. Tietoturvan ja tietosuojan nykytila-analyysi on hyvä lähtökohta johon kannattaa käyttää ulkopuolisen asiantuntijan apua.

Tietosuojavaltuuten toimisto suosittelee tekemään tietotilinpäätöksen. Tietotilinpäätös on organisaation laatima vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Tietotilinpäätöstä voidaan käyttää yhtenä keinona tietosuoja-asetuksen osoitusvelvollisuuden (”accountability”) toteuttamisessa.

30:

Hyvin toteutettu ja mitoitettu tietoturva ja tietosuoja ovat yrityksen menestystekijöitä ja todellinen kilpailuetu.

Haluatko lisätietoja? Soita tai ole meihin yhteydessä täältä. Tulemme mielellämme kertomaan lisää.
© 2015 Fordione. All Rights Reserved.
Y-tunnus: 2635372-8, kotipaikka Helsinki