GDPR:n artiklan 32 vaatimukset : käsiteanalyysi asianmukaisista teknisistä ja organisatorisista toimenpiteistä

Abstract

Tietotekniikan hyödyntäminen organisaatioiden toiminnassa on kasvanut viime vuosikymmenten aikana. Kasvu ei ole kuitenkaan tapahtunut ilman haasteita. On jo olemassa varoittavia esimerkkejä isoista tietovuodoista, jolloin arkaluontoista tietoa on päätynyt vääriin käsiin. Tietovuodon seurauksena voi syntyä aineellista tai aineetonta vahinkoa organisaatioille sekä yksityisille henkilöille. EU:ssa henkilötietojen turvallisuuden eli tietosuojan haasteisiin on pyritty vastaamaan kokonaisvaltaisesti lainsäädännöllä. Yleinen tietosuoja-asetus eli General Data Protection Regulation (GDPR) astui voimaan vuonna 2016, ja sitä alettiin soveltamaan vuonna 2018. GDPR:n tavoitteena on muun muassa vastata EU:n tasolla teknologian kehityksen ja globalisaation tuomiin haasteisiin, vahvistaa säännöt henkilötietojen käsittelyssä sekä suojella luonnollisten henkilöiden perusoikeuksia ja –vapauksia, erityisesti oikeutta henkilötietojen suojaan. GDPR koostuu 99 artiklasta ja siinä asetetaan paljon säännöksiä liittyen henkilötietojen käsittelyyn. Kyseessä on iso kokonaisuus, ja sen ymmärtämisessä sekä velvoitteiden noudattamisessa voi esiintyä organisaatioille haasteita. GDPR:ssä lisäksi määritellään virallisille valvontaviranomaisille valtuudet hallinnollisten sakkojen antamiselle GDPR:n säännösten rikkomisesta. Tutkimuksen kohteena oli tutkia GDPR:ää, ja tarkemmin sen artiklaa 32. Artikla 32 velvoittaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä ottamaan huomioon monia asioita, kuten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit, ja toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvaamiseksi. Tutkimuksessa analysoitiin artiklan 32 vaatimusten rikkomisen seurauksena annettuja sakkopäätöksiä, jonka avulla pyrittiin ymmärtämään artiklan 32 vaatimuksia ja siinä esiintyvien asianmukaisten teknisten ja organisatoristen toimenpiteiden käsitteitä paremmin. Tutkimus toteutettiin käyttäen käsiteanalyysiä tutkimusmenetelmänä. Tutkimuksen tuloksena nousi laaja kirjo konkreettisia toimenpiteitä liittyen artiklan 32 vaatimuksiin asianmukaisista teknisistä ja organisatorisista toimenpiteistä. Näitä toimenpiteitä olivat muun muassa monivaiheinen todentaminen, lokitietojen kerääminen, henkilökunnan säännöllinen tietosuojakoulutus sekä tietoisuus alan yleisessä tiedossa olevista ohjeistuksista liittyen tietoturvallisuusriskeihin ja näiden ohjeistuksien noudattaminen.

Utilization of information technology within the operations of organizations has increased in the recent decades. However, this has not happened without challenges relating to information technology. There are already warning examples of data breaches where sensitive information has fallen into the wrong hands. Data breach may result in material or non-material damage to organisations and individuals. EU has addressed the challenges relating to security of personal data i.e., data protection by means of comprehensive legislation. General Data Protection Regulation (GDPR) entered into force in 2016 and became applicable in 2018. The objectives of the GDPR includes meeting with the challenges posed by technological development and globalization, to lay down rules for the processing of personal data and to protect fundamental rights and freedoms of natural persons, in particular the right to the protection of personal data. The GDPR consists of 99 articles and lays down many provisions regarding the processing of personal data. The regulation covers a lot of details and there may be challenges for organizations in understanding it and meeting their obligations. The GDPR also defines power for the official supervisory authorities to impose administrative fines for not complying with the GDPR. The purpose of this study was to examine the GDPR, and in particular article 32 of the GDPR. In article 32 there is defined obligations for controllers and processors to consider many issues, such as the risks to the rights and freedoms of individuals, and to implement appropriate technical and organizational measures to ensure the security of processing personal data. The study was conducted using conceptual analysis as a research method. In the study there was analysis done on administrative fines relating to article 32 to gain a better understanding of the requirements of article 32 and the concepts of appropriate technical and organizational measures. Findings of the study revealed multiple concrete measures related to the requirements of article 32 on appropriate technical and organizational measures. These measures included for example multi-factor authentication, collection of log data, regular data protection training for staff, and awareness of publicly available guidelines regarding security risks and adherence to the guidelines.