5 ajankohtaista kysymystä tietosuojasta – asiantuntija vastaa
Miten tietosuojalainsäädäntö on kehittymässä ja mikä tietosuoja-ammattilaisia puhuttaa juuri nyt? Katso tietosuoja-asiantuntija Tobias Bräutigamin vastaukset ajankohtaisiin kysymyksiin ja tutustu tietosuojakoulutukseemme, josta saat kansainvälisen tietosuojayhteisön IAPP:n tietosuojaosaajan sertifikaatit (CIPP/E + CIPM).
Tobias Bräutigam on toinen Editan CIPP/E + CIPM -tietosuojakoulutuksen kouluttajista. Hän nostaa esiin kolme ajankohtaista aihetta: kansainvälisen tietojen siirron, tietojen läpinäkyvyyden sekä tietosuojaohjelman johtamisen organisaatioissa. Koostimme viisi kysymystä ja vastausta aiheista. Vastauksia ei ole tarkoitettu oikeudellisiksi ohjeiksi, vaan antamaan vinkkejä asiasta kiinnostuneille.
1. Mikä EU:n tietosuojasääntelyn tarkoitus on?
Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) tavoitteena on turvata ja panna täytäntöön perustavanlaatuinen oikeus tietosuojaan ja taata tiedon vapaa liikkuvuus Euroopan talousalueella. Tämä tapahtuu monipuolisilla toimenpiteillä, joita ovat muun muassa vaatimus korkeatasoisista turvatoimista, kansainvälisiä tiedonsiirtoja koskevan sääntelyn käyttöönotto ja tietojen käsittelyn avoimuuden varmistaminen. Asetuksen tarkoituksena on siis turvata tietoa, esimerkiksi kansalaisten henkilötietoja, ja varmistaa, että tietosuojan taso ei laske tietojen siirron yhteydessä.
2. Mitä kansainvälisessä tietojen siirrossa tulee ottaa huomioon?
Lähtökohtaisesti tietojen siirto Euroopan talousalueen ulkopuolelle on kielletty. EU:n tietosuoja-asetuksessa määritellään kuitenkin tietyt periaatteet, joiden perusteella tiedonsiirtoja voi tehdä. Rekisterinpitäjän vastuulla on varmistaa, että siirrolle on perusteet, ja tehdä tarvittavat suojaustoimet.
Euroopan komissio on lisäksi antanut päätöksen maista, joiden tietosuojan katsotaan olevan samalla tasolla kuin Euroopan talousalueen sisällä. Vastaavuuspäätökset koskevat yhtätoista maata. Poikkeustapauksessa tietojen siirrolle on myös mahdollista myöntää erityisperusteet. Euroopan komissio on julkaissut myös uusia vakiosopimuslausekkeita, joita on käytettävä, ellei käytössä ole jokin toinen siirtomekanismi.
3. Miten kansainvälisiä tietojen siirtoja arvioidaan?
Euroopan tietosuojaneuvosto julkaisee runsaasti erilaisia ohjeistuksia. Euroopan tietosuojaneuvosto ohjeistaa rekisterinpitäjää arvioimaan kansainvälisiä tiedonsiirtoja kuuden kohdan avulla. Ensiksi tiedonsiirrot tulisi kirjata ja tunnistaa siirrossa käytettävät työkalut. Tämän jälkeen tulee analysoida siirtotyökalun toimivuus olosuhteisiin nähden ja tehdä täydentävät toimenpiteet. Täydentävät toimenpiteet voivat olla teknisiä, organisatorisia tai sopimusluonteisia. Viimeisinä vaiheina tulee toteuttaa menettelylliset toimenpiteet ja uudelleenarvioida säännöllisesti valitun lähestymistavan toimivuus.
4. Miten yrityksen tietosuojaseloste pitäisi kirjoittaa?
EU:n yleinen tietosuoja-asetus eli GDPR vaatii tietosuojaselosteelta tiettyä läpinäkyvyyttä. Se ei saisi sisältää liian vaikeaa kieltä, kuten liikaa juridista tai teknistä sanastoa, mutta asiat tulisi kuitenkin esittää mahdollisimman tarkasti ja oikein. Käyttäjältä ei saisi kerätä mitään tietoa ennen kuin hänellä on pääsy tietosuojaselosteeseen.
Jos tietosuojaselosteessasi on paljon sanottavaa, kokeile tehdä siitä kaksi eri versiota, joista lyhyempi versio on heti tarjolla, ja siinä on linkki perusteellisempaan selosteeseen. Ikoneita tai symboleita voi käyttää selkiyttämään viestiä ja tekstin rakennetta.
5. Mitä vinkkejä antaisit tietosuojaohjelman läpiviemiseen organisaatiossa?
Tietosuojaohjelman avulla voidaan tuoda tietosuojaosaaminen organisaatioon systemaattisella tavalla ja seurata prosessin etenemistä. Tärkeää on yhteinen visio tietosuojan tilasta sekä resurssien, roolien ja vastuiden määrittely. Olennaista on tarjota valmennusta ja mitata prosessin etenemistä. Se, mitä mitataan, tulee tehdyksi.
Tutustu koulutukseen
Sertifioidu tietosuojan asiantuntijana! – Certify your privacy knowledge! Tietosuojaosaajan sertifikaatit (CIPP/E + CIPM) voit hankkia nyt Editalta tehokkaina ja vuorovaikutteisina webinaarisarjoina.