Organisaatiosi käsittelee aina jonkun ihmisen henkilötietoja. Tämä henkilö on rekisteröity. Hän voi olla oman organisaatiosi työntekijä, yhteistyökumppanin edustaja tai asiakas. Rekisteröidyllä on rekisteröidyn oikeudet, jotka tulee huomioida osana henkilötietojen käsittelyä.
Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvät tiedot, kuten nimi, sähköpostiosoite jne. Henkilötietojen käsittelyä ovat kaikki henkilötietoihin kohdistetut toimet, kuten tietojen kerääminen, tallentaminen, siirtäminen ja poistaminen.
Rekisterinpitäjä on se, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Eli miksi tietoja käsitellään ja millä tavalla. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta. Rekisterinpitäjä kertoo, miten tietoja tulee käsitellä ja millaisia turvallisuusvaatimuksia tulee noudattaa. Tämä kirjataan henkilötietojen käsittelysopimukseen. Organisaation rooli henkilötietojen käsittelyssä on tiedettävä, jotta voidaan tunnistaa omaan organisaatioon liittyvät vaatimukset.
Henkilötietojen käsittelyssä on noudatettava aina ns. tietosuojaperiaatteita, jotka ovat:
- Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- Käyttötarkoitussidonnaisuus
- Tietojen minimointi
- Tietojen täsmällisyys
- Säilytyksen rajoittaminen
- Eheys ja luottamuksellisuus
- Osoitusvelvollisuus
Periaatteista eheys ja luottamuksellisuus, eli käytännössä tietoturvallisuus, ovat tietysti tietoturvatyön näkökulmasta se olennaisin osio. Tutustuessasi periaatteiden sisältöön tarkemmin huomaat kuitenkin, että tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen ja osoitusvelvollisuus liittyvät myös tietoturvallisuuteen. Löydät lisätietoa esimerkiksi Tietosuojavaltuutetun toimiston nettisivuilta.
Tietosuojatyöhön liittyy keskeisesti riskien arviointi. Kuten tietoturvatyöhönkin. Näkökulma vain on eri. Tietosuojassa riskejä on arvioitava rekisteröidyn oikeuksien ja vapauksien näkökulmasta. Tietosuojan vaikutustenarviointi on yksi tapa toteuttaa kattava riskiarvio. Vaikutustenarviointi on pakollinen tietyissä tilanteissa. Kts. miten vaikutustenarviointi tehdään.
Organisaatiossasi voi työskennellä myös tietosuojavastaava. Hän on henkilötietojen käsittelyyn ja tietosuojalainsäädäntöön perehtynyt asiantuntija. Kts. myös blogi aiheesta voiko tietoturvapäällikkö olla tietosuojavastaava?
Henkilötiedot ovat suojeltavia kohteita, kuten muutkin tiedot ja tietojärjestelmät. Henkilötietojen suojaamisen merkitys on niin suuri, että organisaatioosi kohdistuu tietosuojavaatimuksia lainsäädännöstä, yhteistyökumppaneilta ja asiakkailta. Vaatimusten noudattaminen edellyttää suunnitelmallista ja riskilähtöistä toimintamallia.
Tämä blogipostaus on yksi osa Tietoturvapäällikön tietosuojaopasta. Lataa opas ja saat selville, mitä kaikkea tietoturvapäällikön tulee tietää tietosuojasta.
Lähteet: GDPR lakiteksti
Vastaa