Yrittäjän tietosuoja-asetuksen muistilista

Blogi25.01.2018

Erilaisiin henkilötietorekistereihin tallennettujen henkilötietojen omistajien oikeudet omiin tietoihinsa kasvavat, kun EU:n uusi tietosuoja-asetus eli GDPR astuu voimaan toukokuussa. Vastaavasti rekistereiden ylläpitäjien vastuut ja velvollisuudet lisääntyvät.
GDPR:n haltuunotto voi tuntua isolta ja aikaa vievältä ponnistukselta, johon kuuluu paljon erilaisten asiakirjojen laadintaa ja ylläpitoa. Ja näin kieltämättä myös on – GDPR lisää dokumentaation määrää henkilörekistereihin liittyen. Velvollisuudet ja etenkin vastuut kannattaa myös selvittää perinpohjaisesti, GDPR:än asettamien velvoitteiden vakavat laiminlyönnit johtavat nimittäin nyt tuntuviin sanktioihin.

Me Asiakastiedossa olemme myös ottaneet GDPR härkää sarvista ja julkaisemme lähiviikkoina GDPR Palvelun, jonka avulla voi kerralla pistää omat rekisterit kuntoon ja luoda uusi GDPR:n mukainen toimintamalli yrityksen arkeen. Seuraa lisätietoja osoitteessa asiakastieto.fi/gdpr.

Näin valmistat organisaatiosi vastaamaan GDPR:n vaatimuksiin

1. Kartoita tietojen keruun nykytilanne ja dokumentoi se. Miten teillä kerätään tietoa? Minkälaisiin järjestelmiin ne tallennetaan? Ketkä käsittelevät tietoa? Kuinka kauan niitä säilytetään? Miten tietojen poistaminen henkilörekistereistä tapahtuu? Huomioi myös henkilötietojen käsittelyn mahdolliset ulkoistukset, kuten esimerkiksi palkanmaksun ulkoistukset tai markkinointiviestinnän asiakasmainospostitusten ulkoistukset. Organisaatiolla on vastuu tiedoista, vaikka niitä käsittelisi ulkopuolinen taho. Tarkista, että henkilötietoja käsitellään organisaatiossanne GDPR:n mukaisesti – ja jos ei, muuta sisäisiä toimintatapoja.

2. Listaa organisaationne kaikki erilaiset henkilötietolistat ja laadi niille rekisteriseloste. Selosteesta tulee käydä ilmi, miten tiedot on kerätty ja miten niiden luvanvaraisuus on varmistettu, mihin tarkoitukseen tietoja käytetään ja ketkä kaikki (oma väki ja ulkopuoliset tahot) käsittelevät tietoja. Varmistu myös siitä, että kaikissa eri rekistereissä olleille tiedoille on hankittu lupa. 

3. Varmista oma roolisi henkilötietojen käsittelyssä. Oletko rekisterinpitäjä vai henkilötiedon käsittelijä? Vastaus vaikuttaa siihen, minkälaisia vastuita ja velvollisuuksia organisaatiolla on. Rekisterinpitäjäksi käsitetään yritys, joka päättää henkilötietojen käsittelyn tarkoituksen ja tavat. Henkilötietojen käsittelijä puolestaan on taho, joka käsittelee rekisterinpitäjän puolesta henkilötietoja. Sekä rekisterinpitäjällä että henkilötietojen käsittelijällä on osoitusvelvollisuus, eli heidän tulee pystyä osoittamaan, että lakia noudatetaan.

4. Rekisterinpitäjien on huolehdittava siitä, että ne kykenevät toimittamaan rekisteröidyille näiden pyytämät tiedot sekä tarvittaessa vastaamaan ja huolehtimaan tietojen poistamisesta rekisteristä. Tietojen tulee olla tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa. 

5. Selvitä yrityksesi tietoturvan nykytaso. Riittääkö se vastaamaan GDPR:n vaatimuksiin? Arvioi mahdolliset riskit ja tee niiden varalle toimintasuunnitelma. Dokumentoi tämäkin prosessi erilliseen tietoturvadokumenttiin. Muista liittää siihen myös käyttämäsi tietoturvajärjestelmän toimittajan oma kirjallinen toimintasuunnitelma. 

6. Tarkista, tuleeko yrityksesi nimetä erillinen tietosuojavastaava. Tietosuojavastaava tulee nimittää, kun:
a.    on kyse julkisen sektorin organisaatiosta,
b.    on kyse yli 250 hengen yrityksestä tai
organisaation ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä.

Rami Meling
liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy