Jos joku pyytää yhtiötänne osoittamaan, että teillä on tietosuoja-asiat kunnossa, onko se helppo tehtävä? Rekisterinpitäjän osoittamisvelvollisuus koskee kaikkia yhtiöitä, yhdistyksiä ja muita organisaatioita. EU:n tietosuoja-asetus astuu voimaan toukokuussa 2018.
Jotta rekisterinpitäjä voi osoittaa hoitavansa tietosuojaa kunnolla, pitää ensin olla tunnistettu, missä ympäristössä tietoja käsitellään, kuka niitä käsittelee ja miten. Kuvataan siis "organisaation tietojenkäsittely-ympäristö".
Sen jälkeen arvioidaan riskit ja sovitaan käytännöt.
Pysyvä toimintatapa henkilötietojen suojaamiseen ja käsittelyyn
Ei riitä, että riskit arvioidaan kerran. Johdon on pystyttävä valvomaan tietosuojaa kontrolloidusti. Neljän kohdan muistilista:
- Käy läpi säännöllisesti.
- Tee henkilötietojen käsittelyn valvontaan vuosikello niin muistaminen helpottuu.
- Huolehdi, että henkilökunta osaa käsitellä henkilötietoja oikein (tiedotus, koulutus).
- Tarkista, että pystyt osoittamaan, että henkilökunta on koulutettu.
Miten ympäristön voi kuvata niin, että on todennettavissa, miten tietosuoja-asiat hoidetaan yhtiössänne? Osa ostaa palvelun valmiina verkosta erillisistä palveluista, kuten Tietosuojamalli.fi-verkkopalvelusta, myGDPR.comista tai vastaavista. Osoitusvelvollisuuden voi hoitaa myös itse tehdyllä dokumentaatiolla. Suomessa on paljon asiantuntijoita, jotka auttavat tässä
Osoitusvelvollisuutta voi täyttää myös muulla dokumentaatiolla ilman erillistä palvelua, osana olemassa olevia ohjelmistoja tai uusissa ohjelmistoissa, joissa on GDPR-tuki. Alla oleva lista on kertauksena KPMG:n tilaisuudesta tammikuulta.
Riskianalyysit
Vastuut ja raportointi
Resurssit (tietosuojavastaava)
Alihankintasopimukset
Henkilöstön koulutus ja osaamisen ylläpito
Riittävä henkilötietojen käsittelyn valvonta (lokitus)
Salassapitositoutumukset henkilöstöltä
Tiedon elinkaaren hallinta (oikeuksienhallinta)
Rekisterinpitäjän velvollisuudet (viranomaisilmoitukset, rekisteröityjen oikeudet)
Tietoturva (oma ja yhteistyökumppaneiden)
Tietosuojan arviointi ja kehittäminen (auditointi, sertifiointi)
Tietosuojaa koskeva vaikutusten arviointi ("PIA") tarvitaan, kun henkilötietoja profiloidaan automaattisesti, henkilötietojen käsittelyyn liittyy erityisiä riskejä tai käsitellään arkaluontoisia tietoja. Tästä tullee tietosuojaviranomaiselta oma lista.
Myös sertifiointi on yksi tapa hoitaa osoitusvelvollisuus rekisterinpitäjänä.
Peruskysymysten äärellä
Muistittehan selvittää osana osoitusvelvollisuutta vastauksenne jo etukäteen mm. näihin kysymyksiin:
- Mikä on perusteena henkilötiedon käsittelylle?
- Miten pitkään henkilötietoa käsitellään?
- Miten henkilötieto poistetaan, kun peruste henkilötiedon säilyttämiseen päättyy?
Oikeuskäytäntöä ei ole vielä ehtinyt muodostua, koska GDPR eli EU:n tietosuoja-asetus alkaa toukokuusta 2018.
Tämä blogi ei ole lakipalvelu. Muistathan kysyä lakia koskevat neuvot lakimieheltä.