Tietosuoja-asetus - mistä siinä on kyse? | KPMG | FI

Tietosuoja-asetus - mistä siinä on kyse?

Tietosuoja-asetus - mistä siinä on kyse?

Organisaation on tarvittaessa pystyttävä osoittamaan minkälaisilla toimenpiteillä se on täyttänyt vaatimukset ja millä perusteilla toimenpiteet on valittu.

Aiheeseen liittyvää sisältöä

EU:n yleinen tietosuoja-asetus tuo kaikille asiakastietoja ja henkilöstönsä tietoja käsitteleville organisaatioille uusia, entistä haastavampia vaatimuksia. Uuden lainsäädännön soveltaminen alkaa 25. toukokuuta 2018. 

Uusia velvoitteita – keskiössä rekisterinpitäjän osoitusvelvollisuus

Tietosuoja-asetus tuo rekisterinpitäjille ja tietojenkäsittelijöille uusia velvoitteita. Asetuksen keskiössä on rekisterinpitäjän osoitusvelvollisuus, joka velvoittaa täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä hallinnollisesti että teknisesti.

Organisaation on myös pystyttävä tarvittaessa osoittamaan, että näin on todella toimittu – organisaation on dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset ja millä perusteilla toimenpiteet on valittu.

Tietosuoja-asetus velvoittaa nimittämään tietyissä tapauksissa tietosuojavastaavan, jonka tehtävä on muun muassa arvioida organisaation tietosuojan tilaa ja kehittämistarpeita sekä raportoida niistä suoraan johdolle. Nimittämisvelvollisuus koskee esimerkiksi sellaisia organisaatioita, jotka käsittelevät paljon arkaluonteisia henkilötietoja.

Kehitystyö – mahdollisuus eikä uhka

Organisaation kypsyystaso vaikuttaa siihen, kuinka paljon aikaa menee tarvittaviin muutoksiin ja tietosuojan hallinnoinnin sekä henkilötietojen käsittelyn käytäntöjen päivittämiseen. Kevyimmillään kehitysprojekti tarkoittaa politiikkojen, prosessien ja sopimusten päivittämistä, mutta haastavissa tapauksissa tarvitaan myös investointeja järjestelmäkokonaisuuteen.

Monet organisaatiot ovat jo siirtyneet nykytilan arvioinnista kehitystyön pariin. Arviointiin on tärkeää panostaa, sillä se lisää johdon ja henkilöstön tietämystä henkilötietojen käsittelystä sekä auttaa tunnistamaan henkilötietojen käsittelyyn liittyviä kriittisiä prosesseja ja puutteita. Tietosuoja-asetuksen sanktiot esimerkiksi tietovuototapauksissa voivat nousta jopa neljään prosenttiin organisaation liikevaihdosta.

Tyypillisiä tietosuojan kipu- tai kehityskohteita ovat hallinnointirakenteiden ja politiikkojen kehittäminen, riskianalyysien tekeminen sekä sisäänrakennettu tietosuoja tiedon elinkaaren hallinnassa. Kehittämisen varaa on usein myös rekisteröityjen oikeuksien toteuttamisessa, henkilöstön osaamisessa, sopimusten hallinnassa sekä teknisissä ratkaisuissa.

Riskilähtöisyys auttaa mitoittamaan toimenpiteet

Osa asetuksen vaatimuksista vaatii vielä tarkennusta, ja toisaalta on hyvä huomata, että ”riittävä” taso jää osittain jokaisen organisaation itse arvioitavaksi.

Asetuksen riskilähtöisyyden periaate ohjaa valitsemaan hallinta- ja suojauskeinot muun muassa käsiteltävien henkilötietojen luonteen, niihin kohdistuvien uhkien, teknologian tason sekä käytettävissä olevien resurssien mukaan. Riskilähtöisyys edellyttää siis etukäteistä riskien ja vaikutusten arviointia, mutta tuo myös liikkumavaraa toimintatapojen valintaan.

 

Kirjoitus on ilmestynyt ensimmäisen kerran 8.8.2017 Suomen Tilintarkastajien Talouden asiantuntijat blogissa. 

Lisätietoja

Mika Laaksonen

Tietoturvapalvelujen vetäjä

Puh. 020 760 3337

Sähköposti: etunimi.sukunimi@kpmg.fi

Ota yhteyttä

 

Jätä tarjouspyyntö

 

Lähetä