EU:N YLEINEN TIETOSUOJA-ASETUS EDELLYTTÄÄ KATTAVAA DOKUMENTOINTIA
EU:n tietosuoja-asetusta alettiin soveltamaan täysimääräisenä toukokuussa 2018. Asetus edellyttää, että organisaation on pystyttävä osoittamaan noudattavansa lakia. Hyvin toteutettu ja tietosuoja-asetuksen vaatimukset huomioiva tietotilinpäätös on oiva ratkaisu osoitevelvollisuuden toteuttamiseksi.
Fordionen mallin mukaan tuotettu tietotilinpäätös optimoi myös henkilötietoja käsittelevät prosessit, joten se tuo huomattavaa lisäarvoa GDPR:n osoitevelvollisuuden täyttämisen lisäksi. Tietotilinpäätöstä voidaan hyödyntää myös rekisteröidyille suunnatun informaation tuottamisessa.
Tietotilinpäätös on organisaation laatima vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.
SISÄÄNRAKENNETTU JA OLETUSARVOINEN TIETOSUOJA KITEYTTÄÄ HYVIN ASETUKSEN VAATIMUKSIA.
Rekisterinpitäjän tulee toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt:
- oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
- tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
- henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville
- taataan rekisteröityjen oikeuksien toteutuminen
- varmistaa sovellettavan lainsäädännön noudattaminen
Tietotilinpäätös toimii viestinä tietosuojan, tietoturvan ja yksityisyyden suojan merkityksestä yritykselle niin sisäisesti kuin ulkoisesti. Hyvin toteutettuna se täyttää EU:n tietosuoja-asetuksen todistusvelvoitteen ja organisaatio itse näyttää, että se noudattaa lakia, hyvää tietojenkäsittelytapaa ja hyvää tiedonhallintatapaa.
Tietotilinpäätös on käytännössä yksi raportoinnin muoto yrityksille ja yhteisöille. Se on raportti, joka keskittyy muun muassa tietosuojakysymyksiin, tietovarantoihin ja tietoturvallisuuteen. Tietotilinpäätös syntyy organisaation sisäisen tarkastelun tuloksena antaen kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta ja kehittämiskohteista.
Koska tietosuoja on aina myös ylimmän johdon asia, tulisi tietotilinpäätös laatia vuosittain vähintäänkin sisäistä toimintaansa varten.
Tietotilinpäätöksen kokoaminen alkaa selvittämällä IT:n toimintamalli, hallintomallit sekä tietoturvallisuuden taso
- tietoturvallisuuden tulee olla jatkossa johdon agendalla
- henkilötietojen käsittelyä tulee lähestyä riskiperusteisesti
- henkilötietoja käsittelevät prosessit tulee tunnistaa
- rekisterinpitäjän velvollisuudet ja rekisteröidyn oikeudet kuvataan rekisteriselosteessa
- työkuvien auki purkaminen mahdollistaa tietojen minimoinnin
- henkilötietojen käsittelyä arvioidaan riskiperusteisesti ja sitä ohjataan sopimuksin
- tietotilinpäätöksessä kuvataan organisaation toimintaa ja sen luonnetta sekä rekisterinpitäjän velvollisuuksia ja rekisteröidyn oikeuksia
- kuvataan tietosuojan toteutumista ja sen kehittämistä sekä käytettäviä järjestelmiä
- ja muistetaan riskiperusteisuus
Tietotilinpäätöksen sisältö voi vaihdella organisaation toimialasta ja toiminnan laadusta riippuen.
Tietosuojavaltuutetun toimisto suosittelee tietotilinpäätöksen laatimista osoitusvelvollisuuden täyttämiseksi. Tämän lisäksi sen laatiminen tuo kilpailuetua luomalla luottamusta asiakkaiden ja sidosryhmien keskuudessa.
Miksi tietotilinpäätös kannattaa tehdä?
Asiakkaiden ja sidosryhmien luottamus organisaation menettelytapoihin tietosuojan ja tietoturvan osalta on toimintaa vahvasti tukeva tekijä. Tietosuojan ja tietoturvan huomioiminen, esimerkiksi verkkopalveluiden yhteydessä on laissa säädetyn velvollisuuden ohella myös oleellinen osa hyvää palvelua.
Riskien minimointi, hyvän maineen rakentaminen sekä asiakkaiden ja sidosryhmien luottamuksen säilyttäminen ovat asioita, jotka ovat ratkaisevan tärkeitä kaikkien organisaatioiden toiminnan menestymiselle. Tietojen korkea laatu ja toimivat menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin.
Tietotilinpäätös toimii johdon työvälineenä
Tiedonhallinnan kytkeminen osaksi organisaation johtamista on eräs organisaation toiminnan merkittäviä haasteita. Päätöksenteon tueksi johdolla tulisi olla kokonaiskuva organisaation informaatioarkkitehtuurista ja toiminnassa tarvittavista tiedoista ja niiden välisistä suhteista. Tietotilinpäätös palvelee organisaation johdon päätöksentekokykyä sekä asiakkaiden ja sidosryhmien tiedollisia tarpeita. Tietotilinpäätös on myös osa tietojohtamista sekä siihen kuuluvaa riskienhallintaa ja sisäistä valvontaa.
Miten päästä alkuun?
Tietotilinpäätöksen sisältö voi vaihdella organisaation toimialasta ja toiminnan laadusta riippuen. Tarkoituksena ei ole tarpeettomasti lisätä organisaation hallinnollista taakkaa vaan tukea sen tehokkuutta ja kilpailukykyä. Yritys voi itse harkita, missä laajuudessa se teettää tietotilinpäätöksen. Tietotilinpäätös kannattaakin ottaa käyttöön siinä laajuudessa, kun sillä arvioidaan olevan positiivisia vaikutuksia organisaation toimintaan.
Tietotilinpäätös on keskeisessä roolissa Fordione Oy:n kehittämän Tietoturvallisuuden Toiminnnanohjaus™ -palvelussa. Kauttamme löytyvät tietotilinpäätöksen toteutusmallit niin suurille kuin pienemmillekin organisaatioille.
Ota yhteyttä TÄSTÄ, niin kerromme mieluusti aiheesta lisää!