GDPR:n artiklan 32 vaatimukset : käsiteanalyysi asianmukaisista teknisistä ja organisatorisista toimenpiteistä

Tietotekniikan hyödyntäminen organisaatioiden toiminnassa on kasvanut viime vuosikymmenten aikana. Kasvu ei ole kuitenkaan tapahtunut ilman haasteita. On jo olemassa varoittavia esimerkkejä isoista tietovuodoista, jolloin arkaluontoista tietoa on päätynyt vääriin käsiin. Tietovuodon seurauksena voi syntyä aineellista tai aineetonta vahinkoa organisaatioille sekä yksityisille henkilöille. EU:ssa henkilötietojen turvallisuuden eli tietosuojan haasteisiin on pyritty vastaamaan kokonaisvaltaisesti lainsäädännöllä. Yleinen tietosuoja-asetus eli General Data Protection Regulation (GDPR) astui voimaan vuonna 2016, ja sitä alettiin soveltamaan vuonna 2018. GDPR:n tavoitteena on muun muassa vastata EU:n tasolla teknologian kehityksen ja globalisaation tuomiin haasteisiin, vahvistaa säännöt henkilötietojen käsittelyssä sekä suojella luonnollisten henkilöiden perusoikeuksia ja –vapauksia, erityisesti oikeutta henkilötietojen suojaan. GDPR koostuu 99 artiklasta ja siinä asetetaan paljon säännöksiä liittyen henkilötietojen käsittelyyn. Kyseessä on iso kokonaisuus, ja sen ymmärtämisessä sekä velvoitteiden noudattamisessa voi esiintyä organisaatioille haasteita. GDPR:ssä lisäksi määritellään virallisille valvontaviranomaisille valtuudet hallinnollisten sakkojen antamiselle GDPR:n säännösten rikkomisesta. Tutkimuksen kohteena oli tutkia GDPR:ää, ja tarkemmin sen artiklaa 32. Artikla 32 velvoittaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä ottamaan huomioon monia asioita, kuten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit, ja toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn turvaamiseksi. Tutkimuksessa analysoitiin artiklan 32 vaatimusten rikkomisen seurauksena annettuja sakkopäätöksiä, jonka avulla pyrittiin ymmärtämään artiklan 32 vaatimuksia ja siinä esiintyvien asianmukaisten teknisten ja organisatoristen toimenpiteiden käsitteitä paremmin. Tutkimus toteutettiin käyttäen käsiteanalyysiä tutkimusmenetelmänä. Tutkimuksen tuloksena nousi laaja kirjo konkreettisia toimenpiteitä liittyen artiklan 32 vaatimuksiin asianmukaisista teknisistä ja organisatorisista toimenpiteistä. Näitä toimenpiteitä olivat muun muassa monivaiheinen todentaminen, lokitietojen kerääminen, henkilökunnan säännöllinen tietosuojakoulutus sekä tietoisuus alan yleisessä tiedossa olevista ohjeistuksista liittyen tietoturvallisuusriskeihin ja näiden ohjeistuksien noudattaminen.