18 päivää jäljellä kaikkia yrityksiä koskevaan muutokseen. Varmista, että nämä viisi asiaa ovat valmiina

Vähiin käy ennen kuin loppuu. EU:n uutta tietosuoja-asetusta (GDPR) aletaan soveltaa 25.5.2018 kahden vuoden siirtymäajan jälkeen. Nyt viimeistään on aika toimia!

Asetus tuo muutoksia nykyiseen henkilörekisterilakiin. Yksi merkittävä muutos on osoitusvelvollisuus, joka tulee työllistämään hallinnollista puolta. 25.5 jälkeen organisaation tulee pystyä osoittamaan toimet, joilla henkilötietoja käsitellään ja suojataan. Myös rekisteröityjen oikeuksiin tulee uudistuksia. Alla tarvittavista toimenpiteistä puristettu viiden kohdan muistilista.

1. Osoitusvelvollisuus kuntoon

Osoitusvelvollisuus perustuu käytännössä olemassa olevaan dokumentaatioon. Kartoittakaa käytössänne olevat henkilörekisterit. Asetus koskee kaikkia, niin sisäisiä kuin ulkoisiakin tietojoukkoja, joissa on henkilötietoja.

Jokaisesta rekisteristä on tehtävä tietovirtakuvaus. Pelkät dokumentit eivät toki takaa turvallisuutta, vaan dokumentoidut toimet tulee olla myös käytössä.

2. Tiedosta käsitteet

Rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, henkilörekisteri, rekisteröity, opt-in. Näiden käsitteiden osaaminen on yksi keskeisiä onnistuneen tietosuojatuloksen tekijöistä.

Niin rekisterin käsittelylle kuin sen olemassaolollekin tulee olla perusteet. Käsittelyssä määritellään, kenellä organisaatiossa on oikeus ja tarve käsitellä mitäkin rekisteriä. Rekistereiden käyttöä tulee myös pystyä valvomaan. Mitä kriittisempää tietoa rekisterissä on, sitä tarkempaa tulee valvonnan olla.

3. Suostumuksen kerääminen

Ellei rekisteröidyn tietojen käsittelyyn ole muuta oikeutettua etua, on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa tietojensa käyttöön. Hyväksyntä tulee olla todennettavissa, joten esimerkiksi verkkosivujen lomakkeissa oleva hyväksymisvaihtoehto ei voi olla valmiiksi valittuna, vaan rekisteröidyn tulee valita se itse.

Tietosuojaselosteen tulee myös olla helposti saatavilla, joten linkki siihen kannattaa laittaa kaavakkeen yhteyteen.

4. Rekisteröityjen oikeudet

Prosessit rekisteröityjen oikeuksien toteuttamiseen on hyvä olla valmiina. Tätä varten järjestelmien tulee olla kartoitettuna, eli ne tehdyt tietovirtakuvaukset toimivat yhtenä osana prosessia. Rekistereitä saattaa löytyä yllättävistäkin järjestelmistä, esimerkiksi työasemilla olevat Excel/vastaavat -tiedostot kuuluvat niiden joukkoon.

Järjestelmistä tulee tehdä listaus sekä arviointi tiedon kriittisyydestä, eli kuinka arkaluontoista tietoa rekisteröidystä on kerätty. Rekisterin kriittisyys auttaa määrittelemään, minkälaisille suojaustoimille on tarvetta.

5. Selosteet kuntoon ja saataville

Rekisteriseloste on vaadittu jo nykyisessä lainsäädännössä, mutta vanha rekisteriseloste ei tulevaisuudessa enää riitä. Sen korvaa tietosuojaseloste, joka kertoo rekisteröidylle, kuinka tietoja käytettään, miksi tietoja kerätään, missä tietoja säilytetään, kuinka tietoturvaa hoidetaan ja mihin ottaa yhteyttä.

Tietosuojaselosteet on oltava rekisteröityjen helposti saatavilla, eli ne kannattaa viedä keskitetysti yrityksen verkkosivuille.

Tarvittavat toimenpiteet voi helposti hoitaa valmiiksi tehdyille pohjille ja ennenkaikkea kätevästi jatkossa ylläpidettävällä D-Fencen Easy GDPR –palvelulla.

 

Vaatimukset helposti haltuun? Kyllä: https:easygdpr.fi