6. Osoitusvelvollisuus, dokumentointi ja sanktiot – Miten osoitat noudattavasi tietosuojasäädöksiä?

Tällä sivulla opit miten osoitat noudattavasi tietosuojasäädöksiä. Rekisterinpitäjän täytyy pystyä osoittamaan, että on huomioinut lainsäädännön velvoitteet toiminnassaan.

Saat myös tietoa mahdollisista sanktioista, sekä siitä, mitä tietoja asiakirjojen kannattasi sisältää, jotta osoitusvelvollisuus olisi kunnossa.

Osoitusvelvollisuus ja dokumentointi

Osoitusvelvollisuus on yksi GDPR-asetuksen olennaisimmista muutoksista verrattuna aikaisempaan tietosuojalakiin. Terminä osoitusvelvollisuus tarkoittaa sitä, että jokin taho on tilivelvollinen jonkin asian suhteen, ja että ulkopuolinen taho voi määrätä velvoitteen noudattamatta jättämisestä sanktion.

Rekisteripitäjällä täytyy olla näyttöä siitä, että:
  • Se on aktiivisesti pyrkinyt tunnistamaan olemassa olevat tietosuoja- ja tietoturvariskit
  • Se toteuttaa tarpeellisia ja riittäviä teknisiä toimenpiteitä riskien minimoimiseksi.
  • Se on tehnyt riittävät konkreettiset ja inhimilliset järjestelyt organisaation sisällä.
  • Se kunnioittaa henkilötietojen kohteena olevien tietosuojaa.

Osoitusvelvollisuuden laajuuteen vaikuttaa organisaation koko, henkilötietojen määrä ja käsiteltävien henkilötietojen tyyppi (arkaluontoisuus).

Tietosuojaseloste ja seloste käsittelytoimista -asiakirjat sisältävät vain osan osoitusvelvollisuuden vaatimista tiedoista. Näiden lisäksi kannattaakin tehdä asiakirjat, joissa kuvataan muut vaadittavat tiedot. 

Muiden dokumenttien muodosta ei ole mitään varsinaisia määräyksiä, eli pääasia on, että niistä löytyy tarvittavat ja ajantasaiset tiedot.

Osoitusvelvollisuus on syytä olla kunnossa, erityisesti mahdollisessa tietovuoto- tai tietomurtotapauksessa.

GDPR - sakko ja sanktiot

Asianmukainen dokumentointi on osa tietosuoja-asetusta, ja sen noudattamista valvoo kansallinen valvontaviranomainen. Tietosuoja-asioissa valvova viranomainen on Tietosuojavaltuutetun toimisto. 

Tietosuojaviranomaisella on valtuudet:

  • Antaa varoitus
  • Antaa huomautus
  • Määrätä vastaamaan rekisteröidyn pyyntöön.
  • Määrätä henkilötietojen oikaisusta tai poistosta.
  • Määrätä rekisterinpitäjä ilmoittamaan tietoturvaloukkauksesta rekisteröidylle.
  • Määrätä korjaavia toimenpiteitä
  • Peruttaa sertifiointi 
  • Rajoittaa käsittelyä
  • Asettaa keskeytysmääräys.
  • Määrätä kielto henkilötietojen siirtämiselle kolmansiin maihin, EU:n alueen ulkopuolle.

Valvontaviranomaisella on myös oikeus määrätä hallinnollisia sakkoja. 

Sakko voi olla enintään 20 miljoonaa euroa tai 4% liikevaihdosta.

Hallinnollinen sakko ei ole valvontaviranomaisen ensisijainen keino.

Miten osoitat noudattavasi tietosuojasäädöksiä?

Osoitusvelvollisuutta noudatetaan käytännössä laatimalla yksilölliset asiakirjat tietosuojan tasosta, seurannasta ja käytännöistä. Niiden avulla pystytään todistamaan, että tietosuojalakia ja tietosuoja-asetusta on noudatettu.

Mitä tietosuoja-asiakirjoja tarvitset?

Käytännössä kannattaa laatia kattava tietoturvan ja tietosuojan omavalvontasuunnitelma, jotta lähes kaikki tieto  on yhdessä asiakirjassa. Pohjana voi käyttää esimerkiksi Sote-alan mallipohjaa, joka löytyy täältä

Lue tästä: Tietosuojaviranomaisen ohjeistus – Toimenpiteet ja dokumentit osoitusvelvollisuuden toteuttamiseksi

Voit myös käyttää GDPR-asioihin erikoistuneen yrityksen pilvipalvelujärjestelmää, jonne syötät itse omat tietosi. Jos päädyt tähän ratkaisuun, varmista kuitenkin, että kaikki vaadittavat tiedot tulevat kirjatuiksi. 

Markkinoilla on myös yrityksiä, joilta voi ostaa tietoturvaan- ja tietosuojaan liittyvän palvelun kokonaisuudessaan. Tavanomaisesti ulkopuolinen yritys toimii tällöin myös yrityksen tietosuojavastaavana. Huomioithan kuitenkin, että tietosuojavastaava ei ole vastuussa tietosuojasta, vaan lopullinen vastuu on aina rekisterinpitäjällä.

Ilmainen tarve-kartoitus

Haluatko selvittää, miten kannattaisi toimia, jotta saat osoitusvelvollisuuden kuntoon kokonaisuudessaan?

GDPR helposti tarjoaa valmiita ratkaisuja tietosuojaan liittyvien velvoitteiden, kuten dokumentoinnin hoitamiseksi. Meidän kauttamme saat kaikki tarvitsemasi asiakirjat helposti!

Tilaa ilmainen tarvekartoitus. Kartoitus tehdään puhelinhaastatteluna.

Muistilista asioista, joita tietosuojadokumenttien kannattaisi sisältää:

  • käyttötarkoitukset
  • arkaluonteiset tiedot ja niiden vaikutustenarvioinnit
  • keräämisen käsittelyperusteet
  • oikeutetun edun perusteet / tasapainotestit
  • suostumusten dokumentointi
  • kuvaus siitä, miten varmistetaan oikeellisuus, tarpeellisuus ja ajantasaisuus
  • mitä teknisiä rajoituksia on käytössä
  • miten käyttöä valvotaan
  • kenelle ja millä perusteella käyttöoikeudet myönnetään ja kenen toimesta
  • toimintaperiaatteet
  • tietojen siirrot: mihin, mitä, kenelle ja miten. Miten varmistetaan turvallisuus?
  • miten varmistetaan ohjelmistojen luotettavuus ja turvallisuus ja kuka vastaa
  • asennukset ja päivitykset ja niiden käytännöt
  • verkon turvallisuus
  • etäyhteydet
  • Kuka vastaa? kenellä käyttöoikeudet? Miten raportoidaan ja toimitaan poikkeamatilanteessa?
  • Mikä on tietoturvan taso ja miten se varmistetaan?
  • perustelut käsittelyn tarpeellisuudesta
  • vastuu, velvollisuudet ja rooli
  • mitkä ovat käsittelijän oikeudet?
  • kirjalliset ohjeet
  • käsittelijän henkilöstö ja valtuudet
  • mahdolliset tietojen siirrot: mihin, mitä, kenelle ja miten. Miten varmistetaan turvallisuus?
  • tietojen luovutukset
  • sijainti
  • toiminta tietoturva­loukkaus­­tapauksessa: velvollisuudet, käytännöt

Muistathan, että henkilötietojen käsittelystä on tehtävä kirjallinen sopimus, joka sisältää ainakin yllä mainitut tiedot. Tämä sopimus on myös osa osoitusvelvollisuuttasi. Tämä asiakirjasta käytetään tavanomaisesti nimitystä ”sopimus henkilötietojen käsittelystä” tai ”henkilötietojen käsittelysopimus”.

  • riskit ja niihin varautuminen
  • kehittämiskohteet
  • suunnitellut toimenpiteet
  • tehdyt toimenpiteet
  • verkko- ja tietoliikenne­ongelmat
  • järjestelmä­ongelmat
  • tietoturva- tai tietosuojauhka
  • tietoturva­loukkaus
  • henkilökunnan virheet
  • tietojen kalastelu
  • kuvaus informointi­käytännöistä: tietosuojaselosteet ja materiaali, toimitustavat, käytännöt
  • tarkastus­pyynnöt: toimintaohjeet, pyyntöjen dokumentointi
  • poistamis­pyynnöt: toimintaohjeet, pyyntöjen dokumentointi
  • kiellot ja suostumukset: dokumentointi

Käytännöt, vastuut, ohjeet, päivitykset, seuranta:

  • salasanat
  • käyttäjä­tunnukset
  • käyttö&oikeudet
  • salassa­pito
  • käytön seuranta
  • lokitiedot
  • vastuu­henkilö
  • perehdytys
  • ohjeistus­käytännöt
  • osaamisen seuranta
  • kokemus
  • ajan­tasaisuus
  • koulutus
  • kehittäminen
  • lukitsemisen käytännöt
  • miten kulunvalvonta on järjestetty?
  • miten paperitulosteiden säilytys on järjestetty?
  • miten näyttöpäätteiden sijoittuminen on huomioitu?
  • miten ulkopuolisten pääsy on estetty?
  • käytännöt ja mobiililaitteiden käytössä
  • muut turvatoimet
%d bloggaajaa tykkää tästä: