Osoita noudattavasi tietosuojasäännöksiä

Henkilötietojen käsittelyssä on noudatettava tietosuoja-asetuksen säännöksiä. Osoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on myös pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä.

Osoitusvelvollisuus on keskeinen periaate tietosuoja-asetuksessa. Jos rekisterinpitäjä havaitsee esimerkiksi tietoturvaloukkauksen, rekisterinpitäjä voi osoitusvelvollisuuden avulla näyttää, että se on aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita, se voi aiheuttaa maineriskin lisäksi hallinnollisia seuraamuksia. 

Osoitusvelvollisuuden tarkoituksena on myös näyttää, miten rekisterinpitäjä kunnioittaa rekisteröityjen eli henkilötietojen käsittelyn kohteena olevien tietosuojaa. Osoitusvelvollisuuden toteuttaminen lisää luottamusta rekisterinpitäjän toimintaan.

Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet täyttääkseen osoitusvelvollisuuden vaatimukset. Osoitusvelvollisuus tarkoittaa myös dokumentointivelvollisuutta, käytännössä tiettyjen toimenpiteiden tekemistä ja kirjaamista.

Tietosuoja-asetuksessa on osoitusvelvollisuutta koskevia vaatimuksia, joiden velvoittavuus on arvioitava tapauskohtaisesti. Osoitusvelvollisuuden laajuus riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on huomioitava osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa.

Toimenpiteet ja dokumentit osoitusvelvollisuuden toteuttamiseksi

  • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (tietosuoja-asetuksen artikla 30)
    • Koskee myös henkilötietojen käsittelijää
  • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. ja 25 art.)
  • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.)
  • Informointikäytännöt (12‒14 art.)
  • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.)
    • Jos käsitellään suostumuksen perusteella, suostumukseen liittyvä dokumentaatio (7 art. ja 8 art.)
    • Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tätä koskeva tasapainotesti (6.1.f art.)
  • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.)
    • Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet
    • Sisäiset ja ulkoiset ohjeet rekisteröidyn oikeuksien toteuttamiseksi
    • Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille
    • Sisäiset tarkastukset ja auditoinnit
  • Vaikutustenarviointeja (35 art.) ja ennakkokuulemista (36 art.) koskeva dokumentaatio
  • Henkilötietojen tietoturvaloukkausten dokumentointi (33 ja 34 art.) ja tätä koskeva prosessi
  • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37‒39 art.)
    • On suositeltavaa aina dokumentoida perusteet sille, jos organisaatio päätyy henkilötietojen käsittelyä koskevassa asiassa eri ratkaisuun, kuin tietosuojavastaava on suositellut.
  • Henkilötietojen käsittelyyn liittyvät sopimukset (28 art.)
  • Yhteisrekisterinpitäjien vastuualueet (26 art.)
  • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.)
  • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku)

Jotkut tietosuoja-asetuksen velvoitteet kohdistuvat vain osaan organisaatioista tai henkilötietojen käsittelytoimista. Esimerkkejä tällaisista velvollisuuksista ovat tietosuojavastaavan nimittäminen, tietosuojaa koskevan vaikutustenarvioinnin laatiminen, ennakkokuuleminen ja velvollisuus laatia seloste käsittelytoimista. On suositeltavaa dokumentoida myös, millä tavalla on päädytty ratkaisuun näiden velvoitteiden noudattamisesta tai noudattamatta jättämisestä.

Osoitusvelvollisuuden toteuttamisessa voidaan käyttää tukena sertifikaattien ja käytännesääntöjen käyttöön ottamista.

Dokumentaation ja toimenpiteiden riittävyyttä on arvioitava säännöllisesti.

Lue lisää: Tietosuoja-asetus EUR-Lexin verkkosivuilla