EU:n tietosuoja-asetuksen mukaiset velvoitteet ja rekisteröidyn oikeudet eivät ole vielä läheskään kaikille selviä. Niiden toteutumisen kannalta on tärkeää kouluttaa mahdollisimman laajasti kaikkia, jotka ovat tekemisissä henkilötietojen kanssa.

Turvallisuus sisäänrakennettuna

Tietoturva-asetuksen vaatimus sisäänrakennetusta turvallisuudesta tulisi olla selvä kaikille, jotka jollain tavalla suunnittelevat henkilötietojen käsittelyä. Tämä vaatimus ei koske ainoastaan tietojärjestelmien kehittämistä. Se tulisi ottaa huomioon aina valittaessa tapaa, jolla henkilötietoja kerätään, käsitellään ja säilytetään. Rekisterinpitäjän pitää aina myös pystyä osoittamaan, että tietojen käsittely on tietosuoja-asetuksen mukaista.

Jos esimerkiksi suunnitellaan markkinointitutkimusta pilvipalvelun avulla, pitää tarkasti selvittää, soveltuuko palvelu niiden tietojen käsittelyyn, joita halutaan kerätä. Tähän sisältyy kerättävien tietojen käsittelyperusteen määrittely ja riskien arviointi. Samalla tulee selvittää mm. palveluntuottajan kanssa tehtävä sopimus sekä missä tietoja säilytetään ja kuinka kauan.

Kohteiden informointi

Tietosuoja-asetukseen sisältyy velvoite informoida tietojen kohdehenkilöä mm. Siitä, mihin tarkoitukseen tietoja kerätään, mutta myös niiden käsittelytavoista, tietoturvallisuuden varmistamisesta ja säilytysajoista. Tämän velvoitteen täyttämiseen ei välttämättä riitä pilvipalvelutuottajan oma tietosuojaseloste, joka on laadittu sen omaan toimintaan tietojenkäsittelijänä, ei rekisterinpitäjänä.

Lisäksi rekisterinpitäjällä tulee olla valmiina prosessit tietopyyntöjen käsittelemiseksi määräajassa. Jos henkilö pyytää kaikki häntä koskevat tiedot, tulee tietopyyntöä toteuttaessa löytää myös mahdollisesti pilvipalvelussa olevat tiedot.

Tietojen keräämistä suunniteltaessa tulee ottaa myös huomioon mahdollisen tietoturvaloukkauksen riski. Pilvipalvelua käyttäessä tulee selvittää, miten tietoturvaloukkauksen sattuessa toimitaan: Kuka vastaa selvittämisestä? Kuinka siitä saadaan tieto ja miten tietoturvaloukkauksesta ilmoitetaan tietosuojaviranomaisille ja tietojen kohteille?