GDPR (General Data Protection Regulation) eli toukokuussa 2018 voimaan astuva EU:n uusi tietosuoja-asetus tuo mukanaan muutoksia henkilötietojen käsittelyyn. Rekisterinpitäjien eli henkilötietorekisteristä vastaavien tahojen kannalta yksi keskeisimmistä uudistuksista on osoitusvelvollisuus. Mutta mitä se sitten käytännössä tarkoittaa?

Henkilötietojen käsittelyn periaatteet

Uuden tietosuoja-asetuksen myötä rekisterinpitäjille asetetaan seuraavat henkilötietojen käsittelyä koskevat vaatimukset:

  1. Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
  2. Ne on kerättävä nimenomaista ja laillista käyttötarkoitusta varten eikä niiden myöhempi käsittely saa olla alkuperäisten käyttötarkoitusten vastaista.
  3. Tietojen käsittelyssä on noudatettava tietojen minimoinnin periaatetta eli tietojen on oltava asianmukaisia ja rajoitettu niihin tarkoituksiin, joihin niitä kerätään.
  4. Tietojen on oltava täsmällisiä eli käsittelyn tarkoituksen kannalta epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan.
  5. Tiedot säilytetään vain niin kauan kuin on tarpeen käyttötarkoituksen kannalta tarpeen.
  6. Henkilötietojen eheys ja luottamuksellisuus on taattava riittävillä tietoturvatoimenpiteillä.

Läpinäkyvyyttä osoitusvelvollisuudella

Osoitusvelvollisuus tarkoittaa, että rekisterinpitäjien on pystyttävä osoittamaan, että he noudattavat edellä mainittuja henkilötietojen käsittelyn periaatteita. Jatkossa rekisterinpitäjillä on siis oltava mustaa valkoisella siitä, millä tavalla he huolehtivat henkilötietojen käsittelyn eri osa-alueista, mikä puolestaan tarkoittaa aiempaa tarkempaa suunnittelua ja dokumentaatiota.

Tapoja osoittaa periaatteiden noudattaminen ovat muuan muassa tietosuojaseloste sekä tietotilinpäätös.

Tietosuojaseloste

Rekisterinpitäjien on laadittava seloste, joka pidetään nähtävillä rekisterinpitäjän verkkosivuilla.

Tietosuojaselosteesta käyvät ilmi seuraavat tiedot:

  1. Rekisterinpitäjä
  2. Yhteyshenkilö rekisteriasioissa
  3. Rekisterin nimi
  4. Henkilötietojen käsittelyn tarkoitus
  5. Rekisterin tietosisältö
  6. Säännönmukaiset tietolähteet
  7. Tietojen säännönmukaiset luovutukset
  8. Tietojen siirto EU:n tai ETA:n ulkopuolelle
  9. Rekisterin suojauksen periaatteet
  10. Tarkastusoikeus
  11. Oikeus vaatia tiedon korjaamista
  12. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Tutustu Kanavan tietosuojaselosteeseen.

Tietotilinpäätös

Tietotilinpäätös on organisaation laatima raportti, jossa tarkastellaan muun muassa organisaation sisäisen tietojenkäsittelyn nykytilaa. Sen tarkoituksena on toimia dynaamisena työkaluna ja lisätä sidosryhmien ja asiakkaiden luottamusta organisaatiota menettelytapoja kohtaan.

Tietotilinpäätös voi sisältää esimerkiksi seuraavat tiedot:

  • Organisaation tietovarannot
  • Tietoarkkitehtuuri
  • Organisaation hallussa olevien tietojen laatu ja käytettävyys
  • Tietojen käsittelyn ja suojauksen periaatteet
  • Tietojen käytön valvonta
  • Rekisteröityjen oikeudet

Vaikka tietotilinpäätöksen laatiminen vie aikaa, sen tuomat edut palvelevat sekä organisaation sisäistä että ulkoista viestintää.

Lue myös: GDPR – EU:n tietosuoja-asetus