Vastaus
Osoitusvelvollisuuden periaate on yleisen tietosuoja-asetuksen kulmakivi. Asetuksen mukaan yritys/organisaatio vastaa kaikkien tietosuojalakien noudattamisesta, minkä lisäksi se on velvollinen osoittamaan noudattavansa niitä. Asetuksessa on joukko työkaluja, joilla yritykset/organisaatiot voivat osoittaa vaatimustenmukaisuutensa. Osa niistä on pakollisia.
Joissakin tapauksissa esimerkiksi tietosuojavastaavan nimittäminen tai tietosuojaa koskevan vaikutustenarvioinnin toteuttaminen on pakollista. Rekisterinpitäjät voivat myös käyttää esimerkiksi käytännesääntöjä ja sertifiointijärjestelmiä osoittaakseen noudattavansa tietosuojaperiaatteita.
Voit myös noudattaa elinkeinoyhdistyksen laatimia ja tietosuojaviranomaisten hyväksymiä käytännesääntöjä. Käytännesäännöistä voidaan tehdä koko EU:ssa sovellettavia komission täytäntöönpanosäädöksellä.
Voit ottaa käyttöön jonkin sertifiointielimen operoiman sertifiointijärjestelmän, joka on tietosuojaviranomaisen tai kansallisen akkreditointielimen tai molempien (riippuen EU-maan lainsäännöstä) hyväksymä.
Sekä käytännesäännöt että sertifiointi ovat vapaaehtoisia välineitä, joten yrityksesi/organisaatiosi voi itse päättää niiden mahdollisesta käytöstä. Yrityksesi/organisaatiosi on kuitenkin noudatettava yleistä tietosuoja-asetusta, ja tällaisten välineiden käyttö voidaan ottaa huomioon, jos organisaatioosi kohdistuu asetuksen rikkomista koskeva täytäntöönpanotoimi.
Esimerkki
Vakuutusalan kattojärjestö yrityksesi/organisaatiosi EU-maassa on laatinut valvontaviranomaisen hyväksymät käytännesäännöt. Monet kilpailevat vakuutusyhtiöt ovat ottaneet säännöt käyttöön. Vaikka käyttöönotto on vapaaehtoista, on se hyvä tapa osoittaa noudattavansa yleistä tietosuoja-asetusta.
Viitteet
Example
The umbrella insurance body in the EU Member State of your company/organisation has had a Code of Conduct approved by the supervisory authority. A number of rival insurance firms have adhered to the Code. While adhering is voluntary, the adherence to the Code helps in demonstrating compliance with the GDPR.