Menu
Asiakasportaali 24h

Uutiset

08.01.2018 | Uutiset

Tietosuojan asiantuntemusta LapIT:n asiakkaille

LapIT tarjoaa asiakkailleen marraskuusta 2017 alkaen tietosuojavastaavan asiantuntijapalveluita. Tämä mahdollistaa kustannustehokkaan lähestymistavan tietosuoja-asetuksen haasteisiin, ja antaa asiakkaillemme mahdollisuuden hyödyntää yhteistä asiantuntijaresurssia.

LapIT:n tietosuojapäällikkönä on aloittanut OTM Siru Siivola, jolla on vahva kokemus henkilötietojen käsittelystä sekä tietosuojanäkökohtien huomioimisesta jokapäiväisessä työskentelyssä. Sirun pitkä työkokemus julkisella sektorilla auttaa hahmottamaan lainsäädännön soveltamista käytännön työtehtävissä. Mikäli organisaatiossanne kaivataan kättä pidempää tietosuojatilanteen kartoittamisessa tai tietosuojavastaavan tehtävien määrittämisessä, olemme mielellämme avuksi!

EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation eli GDPR) soveltaminen alkaa toukokuussa 2018. Asetuksen myötä rekisterinpitäjän on kyettävä osoittamaan olevansa luotettava kumppani (accountability), joka toimii ennakkosuunnittelun ja tietoturvavelvoitteiden mukaisesti (Privacy by Design ja Privacy by Default). Organisaatiossa tulee asetuksen mukaan olla tietosuojavastaava, mutta sen ei välttämättä tarvitse olla organisaation oma työntekijä.

Tietosuojavastaavan tehtäviin kuuluu esimerkiksi vaatimusten täytäntöönpano ja soveltaminen organisaatiossa, neuvonta ja ohjaus kaikissa tietosuojakysymyksissä sekä tietosuojavelvotteiden todentamisen varmentavien dokumenttien laadinnassa. Asetuksen täytäntöönpanossa on hyvä huomioida muutamia avainasioita:

Riskiperusteinen lähestymistapa edellyttää, että asetuksen velvoitteet ja suojatoimet suhteutetaan henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.

Oikeus tulla unohdetuksi rekisteröidyn oikeutena tarkoittaa sitä, että organisaation tulee esittää selvitys, miten kansalaisen tietojen poisto rekisteristä on mahdollista niiltä osin, kun se nähdään tarpeelliseksi.

Privacy by design &default  eli sisäänrakennetun tietosuojan periaate edellyttää, että tietosuoja-asetuksesta ilmenevät tietosuojaperiaatteet otetaan tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa. Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Vaikutusten arviointi (DPIA, data protection impact assessment) on tehtävä muun ohella silloin, kun, henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin henkilön oikeuksien ja vapauksien kannalta, taikka jos organisaatiossa henkilötietojen käsittely on laajamittaista ja kohdistuu erityisiin henkilötietoryhmiin.

Ilmoitusvelvollisuus tietoturvaloukkauksista viranomaiselle on tehtävä 72 tunnin kuluessa, mikäli tapahtuu joku seuraavista: henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Tietoturvaloukkauksesta ja sen vaikutuksista on ilmoitettava myös rekisteröidylle itselleen, mikäli loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

Osoitusvelvollisuus koskee kaikkia organisaatioita. Tietosuoja-asetuksen asettamien velvoitteiden toteutuminen todennetaan esimerkiksi tietosuojadokumentaatiolla, kuten vaikkapa tietovirtojen kuvauksilla, prosessikuvauksilla tai tietotilinpäätöksellä.

Ota yhteyttä, kerromme mielellämme lisää!

siru.siivola(at)lapit.fi, puh. 040 836 2729 ​​​​

X