Uusi aikakausi alkaa – tietosuojasta osa yrityskulttuuria

Kokemuksemme mukaan monessa organisaatiossa tehdään vielä töitä GDPR-vaatimustason saavuttamiseksi. Vaikka tietosuojaprosessit kuulostavat asetustekstissä yksinkertaisilta asioilta, käytännössä uusien toimintamallien suunnittelu, vastuuttaminen ja toteuttaminen sekä niiden dokumentointi vaativat paljon työtä.

Tässä vaiheessa olisi hyvä vähintäänkin tunnistaa oman organisaation tietosuojan kokonaistila, ja sen perusteella dokumentoida jatkokehitystarpeet. Tietosuojan jatkokehitystyötä tullaan varmasti tekemään monessa organisaatiossa 25.5. jälkeenkin. Lisäksi jokaisen organisaation tulisi saattaa tietosuojan päälinjat kuntoon, ymmärtää oma henkilötietojen käsittelyasetelmansa sekä huolehtia asianmukaisesta tietoturvasta.

Koska mainittu määräaika on monessa organisaatiossa eräänlainen tietosuojan rajapyykki, jota varten on valmistauduttu mahdollisesti vuoden päivät, organisaatio voisi harkita tietosuojan kokonaistilanteensa kuvaamista tässä vaiheessa laatimalla tietotilinpäätöksen. Tietotilinpäätös summaisi yhteen tietosuojan nykytilan, kehitystyön tulokset ja valmistaisi organisaatiota tulevaan tietosuojan aikakauteen sekä jatkokehitystoimiin. Samalla tietotilinpäätös on vastuullisen rekisterinpitäjän työkalu ja dokumentti, jolla osoitetaan osoitusvelvollisuuden mukaisesti tietosuojaperiaatteiden toteuttamista organisaatiossa.


Viimehetken vinkit mattimyöhäisille

Jos heräät GDPR- ja tietosuojateemaan vasta nyt, tässä vinkkejä viimehetken kehitystyöhön:

  • Selvitä, millä tavalla organisaatiossasi käsitellään henkilötietoja. Käytä tässä selvitystyössä tietosuojavaltuutetun toimiston GDPR 30 artiklan selosteen mallipohjaexceleitä – näin saat samalla koottua valmiiksi käyttökelpoisen GDPR:n mukaisen selosteen käsittelytoimista;
  • Sitoudu organisaation johdon tasolla tietosuojaperiaatteisiin ja vastuulliseen tietosuojakulttuuriin sekä kuvaa tämä organisaatiosi tietosuojapolitiikassa;
  • Valmistaudu antamaan tietoa rekisteröidyille henkilöille heidän henkilötietojansa käsittelystä ja tässä tarkoituksessa kiiretilanteessa huolehdi ensin ainakin kuluttaja-asiakkaistasi sekä työntekijöistäsi ja etene sen jälkeen yritysasiakkaitasi ja -kontaktejasi koskeviin henkilötietoihin;
  • Suunnittele, vastuuta ja dokumentoi tietosuojan hallintamallit ja prosessit ja tässä tarkoituksessa kiiretilanteessa huolehdi ensin ainakin dokumentoitu prosessi rekisteröityjen henkilöiden oikeuksien toteuttamista varten sekä tietoturvaan kohdistuneiden häiriö- ja ongelmatilanteiden sekä henkilötietoihin kohdistuneiden tietoturvaloukkausten käsittelemiseksi ja GDPR:n mukaisen ilmoitusprosessin toteuttamiseksi;
  • Suunnittele ja huolehti asianmukaisesta tietoturvasta erityisesti tunnistamiesi arkaluonteisten tietojen eli erityisiin henkilötietoryhmiin kuuluvien henkilötietojen osalta;
  • Tarkista ICT-palvelusopimukset ja muut henkilötietojen käsittelyyn liittyvät sopimukset, että niissä on sovittu tietosuoja-aiheista, ja luetteloi sellaiset sopimukset, jotka kaipaavat vielä tältä osin päivitystä;
  • Tunnista organisaatiosi tietosuojan jatkokehitystarpeet ja suunnittele sekä dokumentoi organisaatiosi tietosuojan kehityssuunnitelmat sekä henkilöstösi koulutussuunnitelmat.