Erikoisasiantuntijapalsta

GDPR-valmius saavutettu? Viime hetken vinkit ja tarkistuslista

EU:n tietosuoja-asetusta (GDPR) tulee noudattaa 25.5.2018 alkaen, mutta harva yritys voi väittää saavuttaneensa täyden valmiuden. Vielä ehtii varmistaa, että oleellisimmat vaatimukset täytetään ja lopuistakin on selkeä suunnitelma.
Heikki O. Penttinen, toimitusjohtaja, Castilsec Oy
Pixhill.com/Sergey Nivens
FacebookTwitterLinkedInEmail

Kannattaa tunnistaa asiat, jotka ovat tärkeintä toteuttaa määräpäivään mennessä, asiat jotka ovat yhteistyökumppaneiden vastuulla, ja asiat joille voi tarvittaessa antaa hieman lisäaikaa. Viranomaiset eivät tule ensimmäisenä kysymään yrityksenne GDPR-valmiutta vaan henkilöasiakkaat. Siksi seuraavista kohdista vähintään kaksi ensimmäistä on syytä olla valmiina 25.5. mennessä.

1. Tietosuojailmoitus

Henkilötietolain aikainen rekisteriseloste on historiaa, nyt edellytetään läpinäkyvää ja selkeää informointia. GDPR määrittelee vaatimukset rekisteröityjen informoinnille ja toimitettaville tiedoille artikloissa 12-14, mutta ei anna dokumentille nimeä. Tietosuojailmoitus on selkein kuulemani otsikko näille tiedoille ja suosittelen käyttämään sitä. Tietosuojailmoituksen voi julkaista www-sivuilla tai vaikka jakaa sähköpostilla, kun se vain on saatavilla.

2. Rekisteröidyn oikeudet

Asiakkaat ja muut rekisteröidyt voivat myös koetella asetuksen määrittelemiä oikeuksiaan. Heille täytyy antaa asetuksen vaatima vastaus, vaikka tekniset valmiudet eivät olisikaan vielä kunnossa. Asiakasrajapinnassa toimivan henkilöstön täytyy tietää, mitä heille vastataan, alusta asti. On mietittävä, miten esimerkiksi oikeus tulla unohdetuksi toteutetaan, ottaen huomioon henkilötiedot, jotka lainsäädäntö vaatii säilyttämään.

3. Tietojärjestelmien valmius ja dokumentaatio

Suuri osa henkilötietojen käsittelystä tapahtuu tietojärjestelmissä, joiden ominaisuuksista rekisterinpitäjä ei itse vastaa. Nyt on korkea aika vaatia tietojärjestelmien toimittajilta GDPR:n vaatimukset täyttävät ominaisuudet ja dokumentaatio. Minimissään täytyy saada tieto, että ne ovat työn alla.

4. Henkilötietojen käsittelijät

Jos henkilötietojen käsittelyä on ulkoistettu, esimerkiksi palkanlaskenta tilitoimistolle, on näiden henkilötietojen käsittelijöiden täytettävä GDPR:n vaatimukset ja kyettävä osoittamaan se. Asiaa tukeva dokumentaatio, mukaan lukien sopimus käsittelystä, on vaadittava. On muistettava, että tietojärjestelmien toimittajat ovat myös henkilötietojen käsittelijöitä, joten edellä sanottu koskee myös heitä.

5. Riskien arviointi, tietoturvan varmistaminen ja dokumentointi

Tietosuoja-asetus on ensimmäinen laki, joka velvoittaa käsittelemään henkilötietoihin kohdistuvia riskejä, huolehtimaan riittävästä tietoturvasta ja osoittamaan, että kaikki tämä on tehty.

Riskit ja tietoturva kannattaa arvioida yhdessä, onhan tietoturva ratkaisevassa roolissa monien riskien käsittelyssä. Koska lainsäädäntö ei voi antaa konkreettisia neuvoja tietoturvasta, asetus jättää epätietoisuuteen siitä, mikä on riittävää. Tämä osuus kannattaakin tehdä yhteistyössä ulkopuolisen asiantuntijan kanssa, joka pystyy antamaan parhaat käytännöt eri osa-alueille.

Vaikka henkilöasiakkaat tai oma henkilöstö eivät koskaan tulisi kysymään kaikkia GDPR:n vaatimia dokumentteja, on hyvä muistaa, että koko asetusta on noudatettava ja se on jopa pystyttävä osoittamaan. Kannattaa siis varmistaa osoitusvelvollisuuden täyttäminen viimeistään seuraavaan tilintarkastukseen mennessä.