Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

Mikä on GDPR? Vaatimusten esittely

ISO 27001
Mikä on GDPR? Vaatimusten esittely
NIS2
Mikä on GDPR? Vaatimusten esittely
Artikkelit
Mikä on GDPR? Vaatimusten esittely
Mikä on GDPR, EU:n yleinen tietosuoja-asetus?

Yleinen tietosuoja-asetus (GDPR) on Euroopan unionin keskeinen tietosuojalaki. Se tuli voimaan toukokuussa 2018 ja koskee kaikkia EU:n jäsenvaltioita sekä organisaatioita, jotka käsittelevät EU:n kansalaisten henkilötietoja, riippumatta siitä, missä ne sijaitsevat.

GDPR:n päätavoitteena on suojella yksilöiden yksityisyyttä antamalla heille kontrolli omiin henkilötietoihinsa ja asettamalla tiukat säännöt siitä, miten organisaatiot voivat kerätä, tallentaa, käsitellä ja jakaa näitä tietoja.

GDPR (General Data Protection Regulation) on EU:n tietosuojalaki, joka määrittää säännöt siitä, miten organisaatioiden on käsiteltävä EU:n asukkaiden henkilötietoja.

Mitä GDPR vaatii?

GDPR asettaa joukon oikeudellisia ja toiminnallisia vaatimuksia kaikille organisaatioille, jotka käsittelevät EU:n kansalaisten henkilötietoja. Nämä vaatimukset voidaan jakaa viiteen pääkategoriaan:

1. Laillinen peruste ja keskeiset periaatteet

Jokaisella käsittelytoimella on oltava laillinen peruste, kuten suostumus, sopimus tai lakisääteinen velvoite (Artikla 6). Samalla organisaatioiden on noudatettava GDPR:n keskeisiä tietosuojaperiaatteita (Artikla 5), kuten:

  • Tietojen minimointi
  • Käyttötarkoituksen rajoittaminen
  • Säilytysajan rajoittaminen
  • Tietojen paikkansapitävyys
  • Tietojen eheys ja luottamuksellisuus
  • Läpinäkyvyys ja vastuullisuus

2. Yksilön oikeudet ja läpinäkyvyys

GDPR myöntää yksilöille selkeät oikeudet (Artiklat 12–22), ja organisaatioiden on:

  • Tarjottava selkeät ja helposti saatavilla olevat tietosuojailmoitukset
  • Mahdollistettava tietojen tarkastelu, oikaisu, poistaminen ja siirrettävyys
  • Vastattava käyttäjien pyyntöihin kuukauden kuluessa
  • Annettava mahdollisuus vastustaa käsittelyä tai peruuttaa suostumus
  • Vältettävä automatisoituja päätöksiä ilman asianmukaisia suojatoimia

3. Riskienhallinta ja tietoturvakontrollit

Organisaatioiden on sovellettava tietoturvan parhaita käytäntöjä (Artikla 32) ja tietosuojan sisäänrakennettuja periaatteita (Artikla 25). Korkean riskin käsittelytoimille (esim. profilointi tai arkaluonteiset tiedot) vaaditaan tietosuojavaikutusten arviointi (DPIA) (Artikla 35).

4. Dokumentointi ja vastuullisuus

Organisaatioiden on pystyttävä osoittamaan noudattavansa asetusta (Artikla 5.2). Tämä sisältää:

  • Käsittelytoimien rekisterin (ROPA) ylläpidon
  • Henkilöstön koulutuksen
  • Tietosuojakäytäntöjen ajan tasalla pitämisen
  • Tietosuojavastaavan (DPO) nimeämisen tarvittaessa (Artiklat 37–39)

5. Alikäsittelijät ja tietojen siirrot

Jos käytetään kolmansia osapuolia tietojen käsittelyyn, on tehtävä kirjalliset sopimukset, joissa määritellään erityiset ehdot (Artikla 28). Kansainväliset tietojen siirrot on suoritettava GDPR:n hyväksymien mekanismien, kuten vakiolausekkeiden (SCC) tai riittävyyspäätösten mukaisesti (Artiklat 44–50).

GDPR:n hallinta Digiturvamallin avulla

GDPR:n hallinta Digiturvamallin ISMS työkalulla

Digiturvamalli jakaa GDPR:n noudattamisen 42 konkreettiseen vaatimukseen, jotka on yhdistetty asetuksen artikloihin. Alusta auttaa aktivoimaan ja suorittamaan tehtäviä, seuraamaan edistymistä visuaalisesti ja dokumentoimaan vaatimustenmukaisuustoimet keskitetysti.

Digiturvamalli luokittelee vaatimukset käytännön alueisiin, kuten periaatteisiin, rekisteröidyn oikeuksiin ja käsittelijän velvoitteisiin. Tämä antaa tiimillesi selkeän yleiskuvan siitä, mitä on tehty, mitä on kesken ja mihin keskittyä seuraavaksi — kaikki suoraan lain tekstin mukaisesti.

GDPR:n hallinnan lisäksi Digiturvamalli mahdollistaa kaikkien olennaisten tietoturvan, laadun ja kyberturvallisuuden vaatimuskehikoiden hallinnan yhdessä paikassa.

Päällekkäiset vaatimukset eri kehysten (kuten GDPR, NIS2 ja ISO 27001) välillä suoritetaan automaattisesti, joten vältät päällekkäisen työn.

Testaa GDPR-vaatimustenmukaisuutesi ilmaisella työkalullamme: GDPR Assessment

Mitkä ovat GDPR:n hyödyt?

GDPR tuo organisaatioille useita toiminnallisia, maineellisia ja strategisia etuja, eikä se ole vain sakkojen välttämistä.

Ensinnäkin GDPR pakottaa sinut selvittämään, mitä henkilötietoja keräät, minne ne menevät ja miten niitä käytetään. Tämä näkyvyys johtaa usein parempiin sisäisiin prosesseihin, vähentyneeseen tietojen hajautumiseen ja pienempiin tietoturvariskeihin.

Toiseksi GDPR:n noudattaminen rakentaa asiakastyytyväisyyttä. Läpinäkyvät ja selkeät tietosuojakäytännöt ja käyttäjien oikeuksien kunnioittaminen osoittavat, että organisaatiosi ottaa yksityisyyden vakavasti.

Kolmanneksi GDPR parantaa yleistä tietoturva-asemaa. Vaatimukset, kuten tietojen minimointi, pääsynhallinta, salaus ja tietomurtojen ilmoittaminen, kannustavat organisaatioita ottamaan käyttöön kehittyneempiä teknisiä ja organisatorisia valvontatoimia.

Lopuksi GDPR:n noudattaminen luo usein perustan muiden säädösten täyttämiselle. Monet sen vaatimuksista ovat päällekkäisiä muiden vaatimuskehikoiden, kuten NIS2, DORA ja ISO 27001 kanssa, joten GDPR:n hallinta voi helpottaa tulevaa vaatimustenmukaisuustyötä.

Jos navigoit useiden EU-tason velvoitteiden välillä, tutustu oppaaseemme EU:n kyberturvallisuuden vaatimuskehikoista ja säädöksistä nähdäksesi, miten ne liittyvät toisiinsa.

GDPR:n roolit ja vastuut

GDPR määrittelee selkeästi eri osapuolten roolit ja vastuut henkilötietojen käsittelyssä. Näiden roolien ymmärtäminen on avain vastuullisuuden määrittämiseen ja asianmukaisen vaatimustenmukaisuuden varmistamiseen.

Pääroolit ovat rekisterinpitäjä, henkilötietojen käsittelijä ja joissakin tapauksissa pakollinen tietosuojavastaava (DPO). Tässä on, miten kukin rooli eroaa:

Rooli Vastuu
Rekisterinpitäjä Määrittää, miten ja miksi henkilötietoja käsitellään.
Henkilötietojen käsittelijä Käsittelee tietoja rekisterinpitäjän puolesta sopimuksen mukaisesti.
Tietosuojavastaava (DPO) Neuvoo GDPR:stä, valvoo vaatimustenmukaisuutta ja toimii yhteyspisteenä viranomaisiin.

Yleiset GDPR-vaatimustenmukaisuuden haasteet

Vaikka GDPR:n vaatimukset ovat selkeästi määriteltyjä, niiden käytännön toteutus voi olla haastavaa.

Yksi suurimmista haasteista on kaikkien tietovirtojen kartoittaminen ja ymmärtäminen siitä, missä henkilötietoja säilytetään, käsitellään ja siirretään. Ilman tätä näkyvyyttä riskien hallinta ja käsittelytoimien rekisterin (ROPA, Records of processing activities) ylläpito on vaikeaa.

Toinen yleinen ongelma on suostumuksen hallinta. GDPR edellyttää, että suostumus on annettu vapaasti, yksilöidysti, tietoisesti ja että sen voi helposti peruuttaa. Monet sivustot käyttävät yhä valmiiksi valittuja valintaruutuja tai epäselvää kieltä, mikä ei täytä vaatimuksia.

Kolmansien osapuolten käsittelijöiden hallinta tuo oman lisäkerroksensa. Jos organisaatiosi käyttää ulkoisia käsittelijöitä (esim. SaaS-työkaluja), olet silti lain mukaan vastuussa siitä, että ne täyttävät GDPR:n vaatimukset. Tämä vaatii huolellista arviointia ja vahvoja sopimuksellisia suojauksia.

Tietojen poistaminen on myös usein ongelmallista. "Oikeus tulla unohdetuksi" kuulostaa yksinkertaiselta, mutta henkilötietojen täysi poistaminen – erityisesti varmuuskopioista tai vanhoista järjestelmistä – voi olla käytännössä vaikeaa.

Lopuksi, GDPR-vaatimustenmukaisuus ei ole kertaluonteinen projekti. Monet organisaatiot kamppailevat pitää dokumentaation, käytännöt ja koulutukset ajan tasalla, kun järjestelmät ja tiedot muuttuvat. Vaatimustenmukaisuus edellyttää jatkuvaa huomiota, ei vain ruutujen ruksimista prosessin alussa.

Monista näistä haasteista selviää helpommin sopivalla työkalulla, kuten Digiturvamallilla, joka auttaa jäsentämään työn, automatisoimaan dokumentaation ja seuraamaan jatkuvia vaatimuksia.

Tee GDPR:n noudattamisesta helpompaa – aloita maksuton kokeilu Digiturvamallissa.

Usein kysyttyä (UKK)

Onko GDPR pakollinen?

Kyllä. GDPR:n noudattaminen on pakollista kaikille organisaatioille, jotka käsittelevät EU:n kansalaisten henkilötietoja.

Miksi GDPR on tärkeä?

GDPR on tärkeä, koska se suojaa yksityisyyttä, vahvistaa luottamusta asiakkaiden ja organisaatioiden välillä ja asettaa selkeät standardit tiedonhallinnalle. Rikkomukset voivat johtaa merkittäviin taloudellisiin ja mainehaittoihin.

Kenen täytyy noudattaa GDPR:ää?

Kaikkien organisaatioiden riippumatta siitä, sijaitsevatko ne EU:ssa vai eivät, jotka keräävät tai käsittelevät EU:ssa asuvien henkilötietoja, on noudatettava GDPR:ää.

Kuinka kauan GDPR-vaatimustenmukaisuuden saavuttaminen kestää?

Yleensä GDPR:n vaatimusten täyttäminen vie 3–12 kuukautta. Aikataulu riippuu mm. organisaation koosta, tietojen käsittelyn monimutkaisuudesta, nykyisistä käytännöistä ja käytettävissä olevista resursseista.

Milloin GDPR tuli voimaan?

GDPR tuli voimaan 25.5.2018, ja sen noudattaminen on jatkuvaa ja pakollista.

Mitä seuraamuksia GDPR:n rikkomisesta voi tulla?

GDPR:ssa on kaksi sakkomaksutyyppiä: jopa 10 miljoonaa euroa tai 2 % globaalista vuotuisesta liikevaihdosta lievemmistä rikkomuksista, ja jopa 20 miljoonaa euroa tai 4 % vakavista rikkomuksista, kuten laittomista tietosiirroista tai rekisteröityjen oikeuksien laiminlyönnistä. Merkittäviä sakkoja ovat esimerkiksi Meta (1,2 miljardia € vuonna 2023) ja Amazon (746 miljoonaa € vuonna 2021).

Tukeeko Digiturvamalli GDPR-vaatimustenmukaisuutta?

Kyllä. Digiturvamalli tarjoaa kattavan GDPR-vaatimustenmukaisuuden tuen valmiiden mallien ja dokumentointityökalujen avulla.

Sisältö

Jaa artikkeli