Osoitusvelvollisuus on yksi GDPR:n tuomista selkeimmistä uudistuksista. Jokaisen organisaation pitää kyetä osoittamaan noudattavansa seuraavia henkilötietojen käsittelyn periaatteita.

Rekisterinpitäjän ja henkilötietojen käsittelijän on tämän artiklan mukaisissa tilanteissa nimitettävä tietosuojavastaava, joka mm. seuraa ja neuvoo tämän asetuksen noudattamisessa.

Mikäli henkilötietoja on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, niitä voidaan siirtää vain tämän luvun periaatteita noudattamalla, jotta tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

Tärkeimpien GDPR-asetuksen termien määritelmät.

Rekisterinpitäjän sekä henkilötietojen käsittelijän on muodostettava ja julkaistava tämän artiklan mukainen kirjallinen seloste henkilötietojen käsittelytoimistaan.

Tiettyjen perusteiden täyttyessä (mm. henkilötietojen käsittelyn perustuessa suostumukseen), rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistumaan rekisteristä.

Esittelyä GDPR-asetuksen rajauksista sekä yleisistä tavoitteista.

Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Tätä käsittelyä täytyy ohjata sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja vahvistaa tämän artiklan mukaiset käsittelyn avainasiat.

Jokaisen valvontaviranomaisen on alueellaan hoidettava vähintään tämän artiklan mukaiset tehtävät, eikä tehtävien hoitamisesta saa aiheutua kustannuksia rekisteröidyille tai tietosuojavastaaville.

Tietosuojaviranomaiset julkaisivat sovellusohjeita vaikutustenarviointiin liittyen.

Tietosuojaviranomaiset julkaisivat ohjeita läpinäkyvään informointiin liittyen.

Tietosuojaviranomaiset julkaisivat ajatuksia Privacy Shield -järjestelyyn liittyen.

Suostumus on yksi kuudesta lainmukaisesta perusteesta GDPR:n mukaiselle henkilötietojen käsittelylle. Jos henkilö antaa organisaatiollenne selkeän suostumuksen tietojensa käyttämiseen tiettyä käsittelytarkoitusta varten, toimitaan siis lähtökohtaisesti oikein.

EU:n uuden tietosuoja-asetuksen soveltaminen alkaa täsmälleen vuoden kuluttua eli 25.5.2018, jolloin siirtymäaika päättyy. Nyt on siis vielä 12 kuukautta aikaa laittaa oman yrityksen tietosuoja-asiat kuntoon vastaamaan uusittuja säännöksiä.

Tietosuojavaltuutetun toimisto julkaisi 24. tammikuuta rekisterinpitäjille suunnatun oppaan EU:n tietosuoja-asetukseen valmistautumisesta. Oppaassa kerrotaan muun muassa henkilötietojen käsittelyn arvioinnista ja oikeusperusteista, tietosuojaperiaatteiden toteuttamisesta sekä tietoturvaloukkauksiin valmistautumisesta.

Valtiovarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) julkaisi raportin, jonka tarkoitus on helpottaa organisaatioiden valmistautumista EU-tietosuojan kokonaisuudistuksen edellyttämiin muutoksiin.