GDPR - 5 OLENNAISTA ASIAA TIETOSUOJAVAATIMUKSISTA

GDPR:n vaatimukset 5 tärkeää  asiaa

1. Selvitä nykytila

Yleinen haaste on, ettei yritys tiedä tarkasti, mitä kaikkea henkilötietoa järjestelmistä löytyy, missä ja miten sitä säilytetään, käsitellään, ylläpidetään tai kuka siitä vastaa. Tämä on peruja siitä, ettei tietosuojaan liittyviä asioita aiemmin ole nähty kokonasuutena. Nyt tämä olisi aika selvittää.

Henkilötietoja voi olla siisteissä ohjelmistojen tietokannoissa, satunnaisissa Excel-tiedostoissa tai paperisissa mapeissa. GDPR ei välitä siitä, millaisessa systeemissä tiedot sijaitsevat. Kaikkia niitä pitää jatkossa hallinnoida vaatimusten mukaan. Tämä ajaa yritykset vääjäämättä kysymään, ovatko kaikki olemassa olevat rekisterit todella tarpeen. Jos teillä on vanhoja markkinointikäyttöön tarkoitettuja henkilörekisterejä, oikea toimenpide lienee tuhota ne tai kysyä vastaanottajilta lupa viestimiseen jatkossa.

2 - Tarkista määräystenmukaisuus ja listaa toimenpiteet 

Vaikka Suomen henkilötietolaissa on ollut jo entuudestaan monia asetukseen liittyviä vaatimuksia, GDPR tuo kuitenkin mukanaan laajan joukon uusia vaatimuksia, jotka organisaatioiden tulee täyttää.

En suosittele suoraa hyökkäystä asetustekstin kimppuun - se on melkoisen hankalasti luettava järkäle. Tässä on lyhyt yhteenveto oleellisimmista muutoksista, (tulossa: jotka voit halutessasi lukea myös hieman tarkemmin selitettyinä).

3 - Priorisoi  toimenpiteet ja varmista dokumentointi

Uuden tietosuoja-asetuksen pääviesti on, että henkilötietojen käsittelylle on luotava kirjatut säännöt ja prosessit. Lisäksi on pystyttävä osoittamaan, että näitä noudatetaan. Ketkä ovat esimerkiksi  oikeutettuja pääsemään käsiksi rekistereihin ja miksi? Dokumentit ja prosessikuvaukset on oltava kunnossa tietosuojaan liittyvistä asioista. Tähän dokumentaatioon nojaudutaan, kun viranomainen tulee kysymään henkilötietojen käsittelyn nykytilasta.

Tavoitetilan ja nykytilan vertailusta saatte lisäksi kasan toimenpideideoita, joiden avulla toimintanne tulisi vaatimusten mukaiseksi. Nämä kannattaa vastuuttaa ja listata ylös. Toimenpiteiden priorisoinnissa kannattaa noudattaa riskiperusteista lähestymistapaa, jossa suojatoimet järjestetään rekisteröidylle aiheutuvaan riskiin. Myös asetus korostaa tätä, jotta matalariskisen toiminnan ylihuomiointia vältetään ja huomio kiinnitetään tärkeimpiin asioihin.

Tietosuojaasetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai tunnistamattomuuden kumoutumiseen. Riskit ovat suuremmat esimerkiksi käsiteltäessä suuria henkilömääriä, suuria tietomääriä tai erityisryhmien, kuten vaikkapa lasten, tietoja.

4 - Tarkista tietoturva

Tietosuoja-asetus edellyttää, että henkilörekisterit on suojattu kunnollisella tietoturvalla ja "modernien tietoturvaratkaisujen avulla". Tämä kohta ansaitsee erityistä huomiota, koska sen hoitaminen on  teknisesti vaativaa. 

Asetus antaa siis tulkintaa jättävät, mutta tiukat ohjeet tietoturvan suhteen. Yrityksen tietohallinnoille napsahtaa tehtäväksi dokumentoida esimerkiksi tietosuojaan liittyvä käyttäjien hallinta, ohjelmallinen sekä automatisoitu tietoturva. Verkon tulee olla turvallinen, palomuurit kunnossa, pääsynhallinta kontrollissa, fyysisestä turvallisuudesta huolehdittu, prosessit kunnossa ja niin edelleen.

Aika näyttää, mikä on asianmukainen tietoturvataso, mutta jos tietoturvaan liittyvien järjestelmien päivitykset laahaavat perässä tai kriittisiin systeemeihin pääsee käsiksi yksinkertaisilla salasanoilla, ollaan varmasti heikoilla jäillä.

 Tietosuojaa ei pystytä toteuttamaan ilman kunnollista tietoturvaa.

5 - Varmista ylläpito säännöllisin tarkistuksin

Tämä kohta on vähintään yhtä tärkeä, kuin kaikki edelliset. Asetuksen noudattaminen ei pääty siihen hetkeen, kun organisaatio toteaa, että se on nyt täyttänyt asetuksen vaatimukset ja luonut henkilödatalle pelisäännöt. Vuorossa on kysymys: Miten varmistamme, että pysymme jatkossa oikealla tietosuojatasolla ja noudatamme omia käytäntöjämme? Tietosuojasta huolehtiminen on siis rakennettava uskottavasti osaksi päivittäistä tekemistä.

Yrityksen tulee lisätä sisäistä valvontaa ja käyttöönottaa menettely, jossa yritys testaa, tutkii ja arvioi säännöllisesti omien teknisten ja organisatoristen toimenpiteiden tehokkuutta henkilötietojen käsittelyn turvallisuuden varmistamiseksi. Jatkuvan ylläpidon lisäksi on hyödyllistä tunnistaa riskialttiit tilanteet, joita voivat olla esimerkiksi uuden tietojärjestelmän tai vaikka mobiilisovelluksen käyttöönotto. Miten testataan, että nämä eivät aiheuta riskejä omalle tietosuojalle?

Loppujen lopuksi tietosuojassa, kuten muussakin toiminnassa, pääosassa ovat ihmiset. Tietosuoja on helppo mieltää kapeasti tietosuojatittelillä toimivan työntekijän tai lakiosaston asiaksi, mutta todellisuudessa monenlaisissa rooleissa olevat ihmiset käsittelevät henkilötietoja ja monet tietosuojaan liittyvät asiat myös putoavat luonnollisemmin jonkin muun avainhenkilön tontille. Tehkää selkeä vastuunjako ja myös suunnitelma siitä, miten henkilöstön ymmärrystä tietosuojasta kehitetään.

tarkemmat lisätiedot: https://www.eugdpr.org