Asianajaja Lauri Mäki Asianajotoimisto AKG Oy:stä korosti, että yrityksen on pystyttävä näyttämään, että se on pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Yrityksen on myös toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet täyttääkseen lain vaatimukset. Käytännössä tämä tarkoittaa, että yritysten tulee:
- huomioida tietosuojaan liittyvät periaatteet omassa toiminnassaan etenkin käyttötarkoitussidonnaisuutta korostaen
- suunnitella ja dokumentoida niin omat käsittelytoimet kuin prosessi mahdollisen tietoturvaloukkauksen kohdatessa sekä
- perehdyttää henkilöstö toimimaan täsmällisesti suunnitellun mukaisesti.
Entisen kaltaista rekisterikohtaista tietosuojaselostetta ei laki enää edellytä, sen sijaan yritysten tulee laatia seloste käsittelytoimista omaan, sisäiseen käyttöön sekä toisaalta informoida henkilötietojen käsittelystä ymmärrettävässä muodossa.
Tiedonhallinta- ja teknologia-arkkitehti Juha Sallinen GDPR Tech Oy:stä muistutti myös fyysisestä ja sähköisestä suojauksesta, jota tarvitaan esimerkiksi toimistolle murtautumisen tai tietokoneen kadottamisen tai tietokoneviruksen varalta. Riskit täytyy siis tunnistaa ja lieventää käytännön toimien kautta. Tällaisia käytännön toimia ovat muun muassa:
- tilojen ja tietokoneiden lukitukset ja hälytysjärjestelmät
- tietokoneen salaus ja ajantasaiset päivitykset, mukaan lukien tietoturvasuojaus sekä
- testattu varmuuskopiointi ja turvallisten salasanojen käyttö
- huomioitava, että GDPR koskee myös paperidokumentteja ja videokuvaa
- ymmärrettävä, että tietopyyntöihin täytyy valmistautua riittävästi
Kun yrittäjä hoitaa nämä velvoitteensa tunnollisesti, ei tietoturvauhkien vuoksi tarvitse menettää yöuniaan, totesi Lauri Mäki. Ja Juha Sallinen tiivisti esityksensä loppuun osuvasti: ”Normaali liiketoiminta on sallittua, samoin järjen käyttö”.
Lisätietoa esimerkiksi: https://tietosuoja.fi/organisaatiot
