Paikoillanne, valmiit, HEP - GDPR astuu voimaan kuukauden kuluttua!

Blogi25.04.2018

Enää kuukausi ja GDPR iskee, mutta iskeekö paniikki? Älä anna iskeä, sillä vielä on hyvin aikaa saattaa organisaatio GDPR-kuntoon. Tärkeintä on nyt ottaa tilanne haltuun asetuksen vaatimien muutosten ja toimenpiteiden osalta, ja lähteä systemaattisesti työstämään henkilörekistereitä oikeaan suuntaan.

GDPR:n pahin peikko tuntuu olevan suuret taloudelliset sanktiot, joita rikkeistä on luvassa. Liikevaihdosta jopa 4 prosenttiin yltävillä sakoilla on mässäilty julkisuudessa, mutta me emme usko, että parhaimpansa yrittänyttä organisaatiota rangaistaisiin heti ensimmäisestä rikkeestä mittavilla sakoilla. Todennäköisimmin virheistä annetaan aluksi huomautuksia, ja annetaan aikaa korjata rekisterit ja niiden tietosuojaselosteet kuntoon. Huomautusten tasojakin on useita. Sakkorangaistukset tulevat koskemaan mitä luultavimmin törkeitä tietosuojaloukkauksia.

10 kohdan GDPR-muistilista mattimyöhäiselle
Mikäli organisaatiosi ottaa vasta nyt ensimmäisiä askeleitaan kohti tietosuoja-asetuksen täyttämistä, aloita näillä:
1. Varmista, että henkilöstö ymmärtää GDPR:n vaateet oman organisaation kannalta.
2. Listaa kaikki henkilötiedot, joita keräätte ja ylläpidätte. Arvioi rekisterien käsittelytavat, perusteet ja tunnista, mitä pitää korjata.
3. Laadi suunnitelma siitä, milloin ja miten asiat korjataan.
4. Selvitä, tarvitaanko vaikutusten arviointia organisaatiossasi mahdollisesti käytettyihin prosesseihin (mm. automaattinen päätöksenteko, arkaluontoisten tietojen tai valvontakameroiden käyttö).
5. Tarkista, että yhteistyökumppaninne vastaavat prosesseista yhtä hyvin kuin te. Muista, että rekisterinpitäjä vastaa aina rekisteristä, vaikka rekisterin tietoja käyttäisikin joku muu kuin te itse.
6. Jos tietoja välitetään EU:n ulkopuolelle, varmista näiden mekanismien luotettavuus.
7. Päivitä tietosuojaselosteet tarvittaessa tai luo ne, jos niitä ei vielä ole.
8. Suunnittele toimintamalli tietojen tarkistus-, siirto- ja poistopyyntöjä varten.
9. Rakenna toimintamalli, miten toimitte mahdollisen tietosuojaloukkauksen yhteydessä.
10. Tilaa GDPR-oppaamme, niin tutustut asetukseen syvällisemmin.

Entä jos aika sittenkin tuntuu loppuvan kesken?

Pyydä asiantuntijalta apua. Asiakastiedon GDPR-palvelu auttaa rekisterien hallinnassa ja niiden turvallisessa ylläpidossa, tietosuojaselosteiden luomisessa ja henkilöiden omien tietojen tarkistuksessa. Isoin ja todennäköisesti työläin vaihe GDPR:n haltuunotossa on henkilörekisterien läpikäynti – kun rekisterit on saatu hyvään kuosiin, ollaan jo voiton puolella.

Lisätietoa: GDPR askel askeleelta

Rami Meling
Liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy