GDPR-vaatimukset – miten vastata EU:n yleisen tietosuoja-asetuksen vaatimuksiin?

GDPR-vaatimukset – miten vastata EU:n yleisen tietosuoja-asetuksen vaatimuksiin?

1600 900 Ahertava

Euroopan parlamentti ja neuvosto antoivat keväällä 2016 yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR). Asetuksella kumottiin henkilötietodirektiivi, joka on Suomessa pantu täytäntöön henkilötietolailla. Tietosuoja-asetus tuli jäsenvaltioissa suoraan sovellettavaksi toukokuussa 2018.

Asetus jättää jäsenvaltioiden lainsäätäjille kansallista, asetuksen säännöksiä täsmentävää ja täydentävää liikkumavaraa. Oikeusministeriö asetti helmikuussa 2016 työryhmän (TATTI) selvittämään tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarvetta ja valmistelemaan yleisen tietosuoja-asetuksen edellyttämiä muutoksia henkilötietojen käsittelystä annettuun kansalliseen lainsäädäntöön sekä koordinoimaan asiasta annetun erityislainsäädännön tarkistamiseksi tarpeellista lainvalmistelutyötä.

Työryhmä ehdotti antamassaan loppumietinnössä kesäkuussa 2017 säädettäväksi uuden tietosuojaa koskevan yleislain, jonka nimi olisi tietosuojalaki. Lailla täsmennetään ja täydennetään tietosuoja-asetusta. Samalla kumotaan henkilötietolaki, laki tietosuojalautakunnasta ja tietosuojavaltuutetusta sekä asetus tietosuojalautakunnasta ja tietosuojavaltuutetusta. Kansallinen lainsäädäntöhanke on vielä käynnissä.

Tietosuojaan liittyvien vaatimusten toteuttaminen

Tietosuojaan liittyvien asetuksen vaatimusten toteuttaminen ja toiminnan kehittäminen vaatii jokaiselta organisaatiolta toimenpiteitä.

Olen seurannut tiiviisti asetuksen valmistelua ja kansallista lainsäädäntöhanketta. Lisäksi olen käynyt paljon luennoimassa aiheesta ja toteuttanut useille eri toimialojen organisaatioille kehittämisprojekteja. Asetuksen vaatimuksien toteuttamisesta on tullut monelle organisaatiolle iso haaste ja sitä on ruvettu miettimään liian monimutkaisesti. Tämän takia toteutimme selkeän palvelun tietosuojavaatimusten toteuttamiseksi.

Tietosuojan nykytila-analyysi ja kehitystoimenpiteet

Tietosuojan nykytila-analyysissä arvioidaan organisaation nykytila tietosuoja-asetuksen vaatimuksiin nähden. Arvioinnin perusteella voidaan tunnistaa keskeiset puutteet ja kehityskohteet sekä suunnitella toimenpiteet toiminnan kehittämiseksi.

Tietosuojan arviointi koostuu tietosuoja-asetukseen liittyvistä vaatimuksista, joita käsitellään lomakkeissa. Yhdessä lomakkeessa on aina esitetty vaatimus. Tavoitteena on ylläpitää tarkastelukohteen tilannetietoa vaatimuksista (toteutuvatko vaatimukset vai eivät). Moduuli on jaettu vaatimuksien osalta neljään osaan: rekisteröidyn oikeudet, rekisteripitäjän velvollisuudet, toimenpiteet ja dokumentaatio.

Jokainen asetuksen mukainen vaatimus on omana lomakkeena, jossa on kuvattu lyhyesti vaatimuksen keskeinen sisältö. Arvioinnissa saa lomakkeeseen merkittyä tilatiedon (toteutuu, ei toteudu tai ei sovellettavissa), muistiinpanoja, määriteltyä omistajan ja lisättyä liitteitä. Lisäksi vaatimuksen yhteyteen voidaan lisätä hallintatoimet, jossa voidaan määrittää toimenpiteet, aikataulu ja vastuuhenkilö. Tästä saadaan laitettua automaattisia muistutuksia vastuuhenkilöille.

Arvioinnin jälkeen nähdään kokonaistilanne sekä vaatimuksien tilan että toimenpiteiden osalta. Lisäksi arvioinnin tulos voidaan ottaa ulos järjestelmästä halutussa raporttimuodossa.

Arvioinnin jälkeen saadaan kokonaiskuva menettelytapojen noudattamisesta asetettuihin vaatimuksiin nähden ja voidaan arvioida toimivuutta käytännössä sekä tunnistaa kehittämiskohteita.

Nykytila-analyysin myötä voidaan tuloksista määritellä kehitystoimenpiteet ja priorisoida ne niiden kriittisyyden mukaisesti. Näin voidaan myös asettaa kehittämisprojektille tarkempi aikataulu ja suunnitella resursointi, kun tiedetään tarkemmin tarvittavat kehitystoimenpiteet.

Tietosuojan hallintajärjestelmän dokumentaatio

Olemme toteuttaneet tietosuojaprojekteja sekä julkisella että yksityisellä sektorilla eri toimialojen organisaatioille. Suurimmat kehittämiskohteet liittyvät pääsääntöisesti hallinnolliseen puoleen, kuten dokumentointiin.

Asetuksen mukaan rekisterinpitäjän tulee huolehtia asianmukaisesta dokumentaatiosta osana rekisterinpitäjän osoitusvelvollisuuden toteutumista. Dokumentaation toimittaminen esimerkiksi valvontaviranomaisen pyynnöstä auditointitarkoituksiin on hyvä keino osoittaa, että tietosuojasta on huolehdittu asianmukaisella tavalla.

Tietosuojan hallintajärjestelmän dokumentaation voi toteuttaa haluamallaan tavalla, mutta keskeiset dokumentaation vaatimukset on määritelty asetuksessa. Organisaation tulee suhteuttaa toimintamallit ja prosessit sen kokoon sekä henkilötietojen käsittelytarpeen määrään että riskitasoon.

Olen laatinut tietosuojan hallintajärjestelmän mallidokumentaation, joka on kirjoitettu esimerkinomaisesti. Mallidokumentaation pohjalta on helppo ja nopea muokata omaan organisaatioon asetuksen mukainen dokumentaatio.

Palvelun hinnoittelu

Tarjoamme tietosuojan kehittämisprojektin 1 990 euron kokonaishinnalla. Palveluun sisältyy edellä mainittu tietosuojan arviointi yhdessä asiakkaan nimeämän projektityöryhmän kanssa. Palveluun sisältyy mallidokumentaatio ja sen työstämisen ohjeistaminen.  Projektin lopuksi käydään yhdessä läpi työstetty dokumentaatio ja tehdyt toimenpiteet. Mallidokumentaation voi ostaa käyttöön 990 euron hinnalla. Mallidokumentaatio on saatavissa suomeksi, ruotsiksi ja englanniksi. Hinnat eivät sisällä arvonlisäveroa.

Ota yhteyttä