EU:N TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET – NELJÄ ASKELTA TIETOSUOJA-ASIOIDEN HALTUUN OTTAMISEKSI

1) Tietosuoja on pidettävä johdon agendalla

  • Ensimmäiseksi kannattaa ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään.
  • Laadittava rekisteriselosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset.
  • Varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet.
  • Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla. Johdon tulee olla sitoutunut tietosuojatyöhön jotta organisaation muun toiminnan tavoitteet toteuttaisivat tietosuojan järjestelmällistä kehitystyötä.
  • Tarkistettava myös tietoturvaa koskevat järjestelyt, käytännöt ja ohjeistukset.
  • Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (johto, IT-vastaava, lakimies ja viestintä).
  • Tietosuoja-asioista on syytä raportoida säännöllisesti yrityksen johdolle ja tietosuoja on syytä pitää mukana yrityksen riskikartoilla.

2) Tunnistettava toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa

  • Selvitettävä EU:n tietosuoja-asetuksen vaikutus organisaation henkilötietojen käsittelyn prosesseihin ja teknologiaan, puutteet verrattuna tuleviin vaatimuksiin sekä näistä puutteista johtuvat riskit.
  • Laadittava kehityssuunnitelma vaatimustenmukaisuuden saavuttamiseksi.
    • Nykytilan arviointi tämän hetkisten henkilötietojen käsittelyn hallintamallin, prosessien, käytäntöjen, kontrollien ja ohjeistuksen läpikäynti haastattelujen, testauksen ja dokumentaation perusteella.
    • Arviointi nykyisiä ja tulevia tietosuojavaatimuksia vastaan, joka tuo ilmi puutteet organisaation toiminnassa suhteutettuna tuleviin tietosuojavaatimuksiin.
    • Riskianalyysi havaituista puutteista ja poikkeamista. Riskiluokitus ja korjaustarpeen priorisointi.
    • Tietosuojan kehityssuunnitelman laadinta nykytila-analyysin ja riskianalyysin pohjalta, kehitystoimenpiteet.
  • Kartoitettava mitä henkilötietoja organisaatiossa kerätään, miksi niitä kerätään (käyttötarkoitus), kuka niitä käsittelee, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan.
  • Tiedon virtojen käsittely ja säilyttäminen eri tasoissa
    • Käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä
    • Hallinnoidaanko tietoa päällekkäisesti
    • Arkistoinnin haasteet

3) Selvitettävä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa.

  • Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: tiedon syntyä, käsittelyä, arkistointia ja siirtämistä edelleen yhteistyökumppaneille.
  • Käytävä tarkemmin läpi henkilötietoja käsittelevän organisaation toimintatavat ja tietojärjestelmät ja selvittää niiden puutteet verrattuna asetuksen vaatimuksiin.
  • Teknisen tietoturvan lisäksi on tarpeen tarkastaa myös organisaation hallinnollinen tietoturva eli mm. nykyiset vastuut, prosessit, käytännöt, politiikat ja muu tietoturvadokumentaatio.
  • On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseksi.
  • Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle.
  • Tietojärjestelmähankkeissa on syytä tehdä vaikutusten arviointi sekä varmistua, että hankittavat järjestelmät ovat yhteensopivia tietosuojamääräysten kanssa ja että järjestelmät takaavat asianmukaisen tietoturvan.

4) Rakennettava tietosuojan kehitysohjelma ja varmistettava menestymisen edellytykset

  • Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida.
  • Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja.
  • Tietojen kartoitus.
  • Sisäiset tarkastusmenetelmät (tietotilinpäätös).
  • Ohjeistukset, koulutus ja valvonta.
  • Toimintasuunnitelma poikkeustilanteiden varalle
  • Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely
  • Vastuut organisaatiossa.

Haluatko lisätietoja ratkaisuistamme? Soita meille tai jätä yhteydenottopyyntö TÄSTÄ