Käsittelyn turvallisuus
Rekisterinpitäjän ja henkilötietojen käsittelijän on asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä varmistettava, että käsittelyn turvallisuustaso vastaa riskiä.
Näitä toimenpiteitä ovat esimerkiksi:
- henkilötietojen pseudonymisointi ja salaus
- kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
- kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
- menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että jokainen, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti.
» Katso tietosuoja-asetuksen artikla 32.
Vaikutustenarviointi
Jos tietojen käsitteleminen aiheuttaa henkilölle korkean riskin, tulee rekisterinpitäjän laatia vaikutustenarviointi. Tällöin yrityksen tulisi pyytää neuvoja tietosuojavastaavalta, jos sellainen on nimitetty. Tietosuojavastaavasta kerrotaan tarkemmin luvussa 14.
Vaikutustenarviointi vaaditaan erityisesti silloin, kun
- henkilöiden ominaisuuksia arvioidaan automatisoidun käsittelyn perusteella järjestelmällisesti ja kattavasti ja sillä on vaikutusta henkilön oikeuksiin (profilointi)
- laajamittainen käsittely kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.
- valvotaan avointa aluetta järjestelmällisesti ja laajamittaisesti esimerkiksi kameroilla.
» Katso tietosuoja-asetuksen artikla 35.
» Takaisin Yrittäjän tietosuojaopas -etusivulle
