EU:N TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET – NELJÄ ASKELTA TIETOSUOJA-ASIOIDEN HALTUUN OTTAMISEKSI
mennessä admin | kesä 9, 2016 | Tietosuoja |
EU:N TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET – NELJÄ ASKELTA TIETOSUOJA-ASIOIDEN HALTUUN OTTAMISEKSI
1) Tietosuoja on pidettävä johdon agendalla
- Ensimmäiseksi kannattaa ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään.
- Laadittava rekisteriselosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset.
- Varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet.
- Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla. Johdon tulee olla sitoutunut tietosuojatyöhön jotta organisaation muun toiminnan tavoitteet toteuttaisivat tietosuojan järjestelmällistä kehitystyötä.
- Tarkistettava myös tietoturvaa koskevat järjestelyt, käytännöt ja ohjeistukset.
- Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (johto, IT-vastaava, lakimies ja viestintä).
- Tietosuoja-asioista on syytä raportoida säännöllisesti yrityksen johdolle ja tietosuoja on syytä pitää mukana yrityksen riskikartoilla.
2) Tunnistettava toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa
- Selvitettävä EU:n tietosuoja-asetuksen vaikutus organisaation henkilötietojen käsittelyn prosesseihin ja teknologiaan, puutteet verrattuna tuleviin vaatimuksiin sekä näistä puutteista johtuvat riskit.
- Laadittava kehityssuunnitelma vaatimustenmukaisuuden saavuttamiseksi.
- Nykytilan arviointi tämän hetkisten henkilötietojen käsittelyn hallintamallin, prosessien, käytäntöjen, kontrollien ja ohjeistuksen läpikäynti haastattelujen, testauksen ja dokumentaation perusteella.
- Arviointi nykyisiä ja tulevia tietosuojavaatimuksia vastaan, joka tuo ilmi puutteet organisaation toiminnassa suhteutettuna tuleviin tietosuojavaatimuksiin.
- Riskianalyysi havaituista puutteista ja poikkeamista. Riskiluokitus ja korjaustarpeen priorisointi.
- Tietosuojan kehityssuunnitelman laadinta nykytila-analyysin ja riskianalyysin pohjalta, kehitystoimenpiteet.
- Kartoitettava mitä henkilötietoja organisaatiossa kerätään, miksi niitä kerätään (käyttötarkoitus), kuka niitä käsittelee, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan.
- Tiedon virtojen käsittely ja säilyttäminen eri tasoissa
- Käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä
- Hallinnoidaanko tietoa päällekkäisesti
- Arkistoinnin haasteet
3) Selvitettävä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa.
- Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: tiedon syntyä, käsittelyä, arkistointia ja siirtämistä edelleen yhteistyökumppaneille.
- Käytävä tarkemmin läpi henkilötietoja käsittelevän organisaation toimintatavat ja tietojärjestelmät ja selvittää niiden puutteet verrattuna asetuksen vaatimuksiin.
- Teknisen tietoturvan lisäksi on tarpeen tarkastaa myös organisaation hallinnollinen tietoturva eli mm. nykyiset vastuut, prosessit, käytännöt, politiikat ja muu tietoturvadokumentaatio.
- On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseksi.
- Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle.
- Tietojärjestelmähankkeissa on syytä tehdä vaikutusten arviointi sekä varmistua, että hankittavat järjestelmät ovat yhteensopivia tietosuojamääräysten kanssa ja että järjestelmät takaavat asianmukaisen tietoturvan.
4) Rakennettava tietosuojan kehitysohjelma ja varmistettava menestymisen edellytykset
- Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida.
- Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja.
- Tietojen kartoitus.
- Sisäiset tarkastusmenetelmät (tietotilinpäätös).
- Ohjeistukset, koulutus ja valvonta.
- Toimintasuunnitelma poikkeustilanteiden varalle
- Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely
- Vastuut organisaatiossa.
Haluatko lisätietoja ratkaisuistamme? Soita meille tai jätä yhteydenottopyyntö TÄSTÄ