GDPR:n seitsemän periaatetta muodostavat kehyksen, jonka avulla varmistetaan, että tietosuojaa kunnioitetaan ja ylläpidetään ja että se täyttää GDPR:n vaatimukset. Yleinen tietosuoja-asetus eli GDPR tuli liiketoiminnan sanastoon ryminällä vuonna 2016. Siitä lähtien GDPR on häirinnyt sitä, miten yritykset maailmanlaajuisesti käsittelevät kuluttajien yksityisyyttä. GDPR:n noudattamisen ymmärtäminen on usein tuntunut raskaalta. Kuluttajien tietoisuus yksityisyyden suojasta tarkoittaa kuitenkin sitä, että yritysten on suhtauduttava yksityisyyden suojaan vakavasti.
Ciscon 2023 Data Privacy Benchmark -tutkimuksessa todetaan, että 94 prosenttia kuluttajista ostaa yritykseltä vain, jos heidän tietonsa on suojattu asianmukaisesti.
MetaCompliance selittää GDPR:n seitsemän pääperiaatetta ja kertoo, mitkä parhaat käytännöt auttavat yritystä noudattamaan tätä tärkeää tietosuojakehystä.
Mitkä ovat GDPR:n 7 tietosuojaperiaatetta?
Yleinen tietosuoja-asetus liitetään yleensä EU:hun. Yhdistyneen kuningaskunnan tietosuoja-asetus noudattaa kuitenkin samankaltaisia periaatteita, ja siinä esitetään seitsemän tietosuojaperiaatetta, jotka näkyvät asetuksen 5 artiklassa. Periaatteet muodostavat puitteet hyvälle tietosuojasuunnittelulle ja varmistavat, että tietosuoja on saavutettavissa ja että sitä ylläpidetään yleisen edun mukaisesti. GDPR:n seitsemän tietosuojaperiaatetta ovat seuraavat:
Laillisuus, oikeudenmukaisuus ja avoimuus
Yleisessä tietosuoja-asetuksessa määritellään lailliset perusteet henkilötietojen keräämiselle ja käsittelylle, mukaan lukien tietosuoja. Tietojen käsittelyn laillisiin perusteisiin kuuluvat seuraavat:
- Selkeä suostumus
- Sopimukseen perustuva tarve
- Lakisääteinen velvollisuus suojella yksilöä
- Yleistä etua palveleva julkinen tehtävä
- Oikeutettu etu
Laillisuus, oikeudenmukaisuus ja avoimuus -periaatteella varmistetaan, että tietojenkäsittely tapahtuu avoimesti ja laillista tietojenkäsittelyä koskevan sääntelykehyksen mukaisesti. Näin ollen oikeudenmukaisuus ja laillisuus ovat saman kolikon kaksi puolta, kun kyse on yleisen tietosuoja-asetuksen täytäntöönpanosta.
Tarkoitus Rajoitus
Tämä on olennainen osa sisäänrakennettua ja oletusarvoista tietosuojaa, joka on yleisen tietosuoja-asetuksen taustalla oleva kehys. Siinä täsmennetään, että organisaation, jota asia koskee, on kerättävä vain ne tiedot, joita se tarvitsee tehtävän suorittamiseksi. Yleisen tietosuoja-asetuksen 5 artiklassa selitetään, että tiedot olisi "kerättävä määriteltyjä, nimenomaisia ja laillisia tarkoituksia varten".
Jotta tarkoituksen rajoittaminen olisi mahdollista, yrityksen olisi pystyttävä perustelemaan tietojen keräämisen syyt. Asiakkaille on ilmoitettava tietojen keräämisen syyt tietosuojakäytäntöjen avulla. Jos yrityksesi käyttää kerättyjä tietoja muihin kuin kuvattuihin tarkoituksiin, et noudata tietosuoja-asetuksen periaatteita.
Tietojen minimointi
Tietojen minimointi liittyy käyttötarkoituksen rajoittamiseen, mutta siinä tarkastellaan tietoja erityisesti. Tietojen minimointi tarkoittaa, että kerätään vain ne tiedot, joita tarvitaan tehtävän suorittamiseen. Jos esimerkiksi tarvitset nimen ja osoitteen, mutta syntymäaikaa ei tarvita tapahtuman käsittelyyn, varmista, että otat vain nimen ja osoitteen. Tietojen minimointi on tärkeä turvallisuustoimenpide, koska se vähentää yksilöön kohdistuvaa riskiä, jos tiedot paljastuvat.
Tarkkuus
Tietojen tarkkuus voi olla yksi monimutkaisimmista periaatteista, joita on noudatettava. Yleisessä tietosuoja-asetuksessa edellytetään kuitenkin, että teet "kaikki kohtuulliset toimenpiteet ... varmistaaksesi, että henkilötiedot, jotka ovat virheellisiä ottaen huomioon tarkoitukset, joita varten niitä käsitellään, poistetaan tai oikaistaan viipymättä".
Varastointirajoitus
Tietojen säilytysaika on toinen GDPR:n 7 tietosuojaperiaatteeseen sisältyvä keskeinen ohje. Jos päätät säilyttää tietoja, sinulla on oltava siihen vankka syy. Ihanteellinen lähtökohta on olla tallentamatta tietoja, jos ei ole tarpeen. Jos sinun on kuitenkin säilytettävä kopioita tiedoista, laadi tietojen säilyttämistä koskeva politiikka ja pane se täytäntöön. Lisäksi on tärkeää varmistaa, että tiedot suojataan asianmukaisilla teknisillä ja organisatorisilla turvatoimilla.
Eheys ja luottamuksellisuus
Henkilötietojen eheys ja luottamuksellisuus ovat ratkaisevan tärkeitä näiden tietojen yksityisyyden suojaamiseksi. Yleisessä tietosuoja-asetuksessa mainitaan asianmukaisten turvatoimien käyttäminen tietojen suojaamiseksi vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Käytä parhaita saatavilla olevia tietoturvatyökaluja tietojen suojaamiseksi kuljetuksen ja varastoinnin aikana, mutta tue tätä myös tietoturvatietoisuuskoulutuksen ja phishing-simulaatioiden avulla, jotta tietojen paljastumisen riskiä voidaan vähentää.
Vastuullisuus
Vastuullisuus on olennainen osa nykyaikaista yksityisyyden kunnioittamista ja suojelua. Yleisen tietosuoja-asetuksen yhteydessä vastuullisuudella tarkoitetaan sitä, että organisaatio käyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä ja pystyy pyydettäessä osoittamaan nämä toimenpiteet.
Kuusi parasta käytäntöä GDPR:n 7 periaatteen saavuttamiseksi
Organisaatiot voivat toteuttaa erityistoimia noudattaakseen GDPR:n seitsemää periaatetta. Kuusi parasta käytäntöä, joilla varmistetaan, että tietosuojaa kunnioitetaan ja ylläpidetään ja että se täyttää GDPR:n vaatimukset, ovat seuraavat:
- Tietosuojan elinkaaren hallinta: GDPR:n noudattaminen voi olla monimutkainen alue, joka kattaa omaisuuden, kolmansien osapuolten ja tietosuojatoimenpiteiden hallinnan. Tietosuojan elinkaaren hallintajärjestelmä (Privacy Lifecycle Management System, PLMS) on keskitetty portaali, joka tarjoaa keinon automatisoida tietojenkäsittelyyn liittyviä prosesseja. PLMS:n avulla organisaatio voi myös luoda raportteja vaatimustenmukaisuuden osoittamiseksi.
- Tietosuoja- ja sääntelytietoisuus: kun järjestät tietoturvatietoisuuskoulutusta, varmista, että siihen sisältyy moduuleja, jotka koskevat henkilöstön roolia GDPR:n noudattamisen ylläpitämisessä. Näissä moduuleissa koulutetaan työntekijöitä tietosuojasta, laittomasta käsittelystä, sähköposti- ja salasanahygieniasta sekä yleisestä tietoturvatietoisuudesta, kuten vankkojen kirjautumistietojen käytöstä.
- Sisäänrakennettu ja oletusarvoinen tietosuoja: Suunnittele palvelusi ja järjestelmäsi siten, että ne keräävät mahdollisimman vähän tietoja, joita tarvitaan tapahtuman käsittelyyn. Luo tiedonkeruuseen liittyviä käyttäjäkokemuksia, jotka sisältävät helposti saatavilla olevat ja luettavat tietosuojakäytännöt ja intuitiiviset suostumusmallit.
- Tietosuojakäytäntö: kerro, mitä tietoja keräät ja miksi keräät niitä; jaa yksityiskohtaiset tiedot tietojenkäsittelytoimista ja tietojen säilyttämiskäytännöistäsi.
- Suunnittele tarkkuutta silmällä pitäen: käytä järjestelmiä, jotka voivat tarkistaa tarvitsemiesi tietojen tarkkuuden; käytä esimerkiksi tarkistuspalveluja osoitteiden ajantasaisuuden tarkistamiseen. Suunnittele, miten käsittelet rekisteröityjen pyyntöjä tietojen muuttamiseksi, poistamiseksi, arkistoimiseksi tai tietojen muuttamiseksi, jos he uskovat, että tietoja on päivitettävä tai täydennettävä.
- Turvatoimenpiteet: käytä vankkaa salausta ja todennusta tietojen suojaamiseksi siirron aikana ja levossa (tallennuksessa). Tietojen anonymisointi tai pseudonymisointi on hyödyllistä tietyissä olosuhteissa.