Tietosuoja-asetuksen taustalla on useita tietosuojaperiaatteita, jotka ohjaavat noudattamista. Näissä periaatteissa esitetään velvoitteet, joita organisaatioiden on noudatettava, kun ne keräävät, käsittelevät ja tallentavat yksilön henkilötietoja.
Vaikka tietosuojaperiaatteet ovat samankaltaisia kuin edellisessä tietosuojadirektiivissä (DPD), ne ovat yksityiskohtaisempia, jotta voidaan varmistaa vaatimustenmukaisuuden korkeampi taso ja ottaa huomioon tekniikan kehittyminen.
Yleisen tietosuoja-asetuksen seitsemän periaatetta tarjoavat organisaatioille ohjeen siitä, miten ne voivat parhaiten hallita henkilötietojaan ja saavuttaa yleisen tietosuoja-asetuksen noudattamisen.
Periaatteiden noudattamatta jättäminen voi johtaa huomattaviin sakkoihin. Tietosuoja-asetuksen mukaan henkilötietojen käsittelyn perusperiaatteiden rikkomisesta määrätään korkeimmat sakot. Tämä voi tarkoittaa sakkoa, joka voi olla jopa 4 prosenttia vuotuisesta liikevaihdostasi tai 20 miljoonaa euroa sen mukaan, kumpi on suurempi.
Seitsemän tietosuojaperiaatetta, joita sinun on noudatettava henkilötietoja käsitellessäsi, ovat seuraavat:
1. Laillisuus, oikeudenmukaisuus ja avoimuus
Ensimmäinen periaate on ehkä tärkein, ja siinä korostetaan täydellistä avoimuutta kaikkien EU:n rekisteröityjen kannalta. Kun tietoja kerätään, organisaatioiden on tehtävä selväksi, miksi niitä kerätään ja miten niitä käytetään. Jos rekisteröity pyytää lisätietoja tietojensa käsittelystä, organisaatioilla on velvollisuus antaa ne ajoissa. Tietojen keräämisen, käsittelyn ja luovuttamisen on tapahduttava lain mukaisesti.
2. Käyttötarkoituksen rajoittaminen
Organisaatioilla on oltava erityinen ja oikeutettu syy henkilötietojen keräämiseen ja käsittelyyn. Tietoja voidaan käyttää vain mainittuun tarkoitukseen, eikä niitä saa käsitellä muuhun tarkoitukseen, ellei rekisteröity ole antanut siihen nimenomaista suostumustaan. Hieman joustavampaa on käsittely, joka suoritetaan yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä, historiallisia tai tilastollisia tarkoituksia varten.
3. Tietojen minimointi
Yleisen tietosuoja-asetuksen mukaan tietojen on oltava "asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeen niiden tarkoitusten kannalta, joita varten niitä käsitellään". Tämä tarkoittaa sitä, että organisaatioiden tulisi tallentaa vain vähimmäismäärä tietoja, jotka ovat välttämättömiä niiden tarkoituksen kannalta. Organisaatiot eivät voi kerätä henkilötietoja vain siltä varalta, että niistä voisi olla hyötyä tulevaisuudessa. Jos ne säilyttävät tietoja enemmän kuin on tarpeen, se on todennäköisesti lainvastaista.
4. Tarkkuus
Henkilötietojen on oltava täsmällisiä, tarkoituksenmukaisia ja ajantasaisia. Tämä tarkoittaa sitä, että organisaatioiden olisi säännöllisesti tarkistettava henkilöistä hallussaan olevat tiedot ja poistettava tai muutettava epätarkat tiedot vastaavasti. Henkilöillä on oikeus pyytää, että virheelliset tai puutteelliset tiedot poistetaan tai oikaistaan 30 päivän kuluessa. Tämä tietojen virtaviivaistaminen auttaa parantamaan sääntöjen noudattamista ja varmistamaan, että yritysten tietokannat ovat tarkkoja ja ajantasaisia.
5. Varastointirajoitus
Kun henkilötietoja ei enää tarvita siihen tarkoitukseen, jota varten ne on kerätty, ne on poistettava tai tuhottava, ellei niiden säilyttämiselle ole muita perusteita. Tietosuoja-asetuksessa ei mainita, kuinka kauan henkilötietoja tulisi säilyttää. Organisaatiosi on määriteltävä tämä käsittelytarkoitusten perusteella. Vaatimustenmukaisuuden varmistamiseksi organisaatioilla olisi oltava käytössä tarkistusprosessi tietokantojen puhdistamista varten. Vaikka pääsääntö on, että henkilötietoja ei saa säilyttää tulevaa käyttöä varten, on olemassa poikkeuksia arkistointia, tutkimusta tai tilastollisia tarkoituksia varten.
6. Eheys ja luottamuksellisuus
Tämä periaate koskee yksinomaan turvallisuutta. Organisaatiosi on varmistettava, että kaikki asianmukaiset toimenpiteet ovat käytössä hallussasi olevien henkilötietojen suojaamiseksi. Tämä voi tarkoittaa suojautumista sisäisiltä uhkilta, kuten luvattomalta käytöltä, vahingossa tapahtuvalta häviämiseltä tai vahingoittumiselta, sekä ulkoisilta uhkilta, kuten tietojenkalastelulta, haittaohjelmilta tai varkauksilta. Huono tietoturva voi vaarantaa järjestelmät ja palvelut sekä aiheuttaa harmia yksittäisille henkilöille. Yhtä kaikille sopivaa lähestymistapaa ei ole olemassa, mutta GDPR:n mukaan organisaatioilla olisi oltava käytössään asianmukainen turvallisuustaso, jolla ne voivat vastata tietojenkäsittelyn aiheuttamiin riskeihin.
7. Vastuullisuus
Viimeisessä periaatteessa, joka on uusi periaate tietosuoja-asetuksessa, todetaan, että organisaatioiden on otettava vastuu hallussaan olevista tiedoista ja osoitettava, että ne noudattavat muita periaatteita. Tämä tarkoittaa, että organisaatioiden on pystyttävä osoittamaan, mihin toimiin ne ovat ryhtyneet osoittaakseen vaatimustenmukaisuuden. Tähän voi sisältyä mm:
- Nykyisten käytäntöjen arviointi
- Tietosuojavastaavan nimittäminen
- Henkilötietojen luettelon luominen
- Asianmukaisen suostumuksen hankkiminen
- Tietosuojaa koskevien vaikutustenarviointien tekeminen
Näiden periaatteiden noudattaminen suunnittelussa, toteutuksessa ja toiminnassa auttaa varmistamaan, että organisaatiot noudattavat tietosuoja-asetusta.
MetaPrivacy on suunniteltu tarjoamaan parhaita käytäntöjä yksityisyydensuojan noudattamiseen. Ota meihin yhteyttä, jos haluat lisätietoja siitä, miten voimme auttaa organisaatiotasi parantamaan vaatimustenmukaisuusrakennettaan.
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista eikä mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston käyttämisestä.
