TIETOSUOJAOPAS 10 Sertifiointi Tietosuoja-asetus tuo mukanaan uusia sertifiointitapoja, joita ovat sertifikaatti, tietosuojasinetti ja -merkki. Tarkoituksena on lisätä läpinäkyvyyttä ja tehostaa lainsäädännön noudattamista, jotta rekisteröidyt voisivat nopeasti arvioida tarjotun tuotteen tai palvelun tietosuojan tason. Eri sertifiointitapojen avulla rekisterinpitäjä ja henkilötietojen käsittelijä voivat puolestaan osoittaa noudattavansa vaadittua tietosuojaa ja hyvää tietojenkäsittelytapaa. Monet isot palvelutarjoajat ovat osoittaneet vaatimustenmukaisuutensa kansainvälisillä standardeilla. Tällaisia ovat esimerkiksi ISO27018 (yksityisyyden suoja pilvipalveluissa) tai ISO27001 (tietoturvallisuuden hallintajärjestelmä). Tätä kirjoitettaessa erillistä tietosuoja-asetuksen vaatimusten mukaisuuden osoittavaa standardia ei ole vielä olemassa. Sertifioituja palveluntarjoajia käyttämällä organisaatiot voivat varmistua siitä, että heidän käyttämänsä palvelut ovat myös käsittelijälle asetettujen tietosuoja-asetuksen vaatimusten mukaisia. Suostumus Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Suostumuksen antamista koskeva pyyntö tulee esittää selvästi erillään muista asioista ja helposti ymmärrettävässä muodossa. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa, mistä rekisterinpitäjän tulee ilmoittaa ennen suostumuksen antamista. Tietosuoja-asetus Yleinen tietosuoja-asetus eli General Data Protection Regulation (Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU) 2016/679, 27.4.2016; yleinen tietosuoja-asetus, GDPR). Tässä oppaassa käytetään luettavuuden helpottamiseksi yleiseen tietosuoja-asetukseen viitattaessa termejä “tietosuoja-asetus” tai “asetus” . Tietosuojavastaava Rekisterinpitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava, kun niiden toiminnan ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka luonteensa, laajuutensa tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Samoin on myös silloin, kun ydintehtävänä on henkilötietojen laajamittainen käsittely, joka kohdistuu arkaluonteisiin henkilötietoihin, rikostuomioihin tai rikoksia koskeviin tietoihin. Viranomaisille ja julkishallinnon elimille, jotka käsittelevät henkilötietoja, tietosuojavastaavan nimittäminen on aina pakollista (ei koske tuomioistuinta). Yritysryhmä voi nimittää yhden yhteisen tietosuojavastaavan ja vastaavasti yksi tietosuojavastaava voidaan määrätä hoitamaan useamman viranomaisen tai julkishallinnon elimen kyseisiä tehtäviä.
RkJQdWJsaXNoZXIy Mjk0MTY=