Tietosuojatyön ei tarvitse valmistua toukokuuhun

24.04.2018#GDPR#Tietosuoja#Uutiset
Tiina Vestman
CEO, SoulCore Oy

Siirtymäaika alkaa olemaan käsillä ja joka puolella tuntuu olevan loppukirin tunnelmaa. Onko meidän saatava maailma valmiiksi ennen määräpäivää? Voiko kukaan ylipäänsä olla compliantti 24/7? Mielestäni ei.

Väitän että viranomainen on jo lainsäädännöllään saavuttanut sen, mitä se sillä lähti hakemaan. Muutosprosessi, jonka EU:n tietosuoja-asetus on yhteiskunnassamme saanut aikaan on valtava ja merkittävä.

Ilman isoja sanktioita tuskin asetus olisi saanut näin paljon huomiota. Sanktion mahdollisuuskin saa meistä jokaisen tiedostamaan asian tärkeyden ja miettimään, miten osaltani voisin huolehtia henkilötiedon suojasta.

Olennaista on, että tietosuojatyötä tehdään suunnitelmallisesti ja se pystytään myös osoittamaan.

Henkilörekisterien tietosuojatilanteen arviointi on yksi osa osoittamisvelvollisuutta

Henkilötietorekisterien ja -järjestelmien tietosuoja-arviointiin ei enää välttämättä tarvita ulkopuolista konsultointia, vaan arvioinnin voi jatkossa tehdä myös itsepalveluna. Tämäkään työ ei lopu toukokuuhun, vaan arviointia on tehtävä jatkuvana prosessina, koska tietosuojaympäristö muuttuu. Kun työ tehdään itse, osaaminen ja ymmärrys tietosuojan tilanteesta kertyy itselle johtamisen tueksi.

On tärkeää myös saada arvokas tieto dokumentoitua rakenteisessa muodossa talteen, jotta kerätty tieto ei vanhene samantien käsiin. Organisaation tietosuojaan liittyvän tiedon ja dokumentaation tulee olla yhdessä paikassa ja kaikkien käytettävissä. Tämä mahdollistaa tiedon jatkuvan jalostamisen ja hyödyntämisen organisaatiossa. Tietosuojatyö kun ei ole kertaluonteinen selvitys, vaan lainsäätäjän tavoitteena on asetuksella varmistaa, että meidän kaikkien henkilötietojen suojan eteen tehdään töitä kokoajan.

Arviointiin pitää pystyä myös tehokkaasti osallistamaan kaikki organisaation henkilötiedon omistajat ja asiantuntijat. Paraskaan tietosuojavastaava ei pysty tätä työtä tekemään yksin. Vastuuhenkilöiden sitouttaminen selvityksiin ja toimenpiteisiin on paras tapa sitouttaa ja kouluttaa itse aiheeseen ja vastuuseen.

Arvioinnissa kertyvää tietoa, ohjeistuksia ja dokumentaatiota pitää pystyä hyödyntämään tehokkaasti myös tietosuojatyön asianhallintaprosessin yhteydessä. Tehokkainta työskentely on, kun kaikki tiedot on yhdessä paikassa.

Tietosuojatyö ei ole pelkästään tietosuojaan liittyvää dokumentointia

Tietosuojatyö on myös asianhallintamainen prosessi, jolla hoidetaan mm. rekisteröityjen oikeuksiin liittyviä toimenpiteitä ja niistä johdettuja tehtäviä. Toimivan asianhallinnan prosessin avulla pystytään suunnittelemaan ja johtamaan tietosuojatyötä ja varmistamaan kriittisten toimenpiteiden ja selvitysten tekeminen määräaikojen puitteissa.

Tehtävähallinta ja pyyntöihin liittyvä asianhallinta yhdessä auttavat osoittamaan tarvittaessa viranomaiselle tietosuojatyön suunnitelmallisuuden.

Kukaanhan ei voi täyttää joka hetki 100%:sti tuetosuojavaatimuksia, jo siksi että tietosuojaympäristö muuttuu kokoajan. Tietojärjestelmästä voi yhdessä päivityksessä tulla erityisen herkkää tietoa sisältävä henkilötietorekisteri.

Laadukas arviointitieto ja kattava tietosuojatyön asianhallintaprosessi yhdessä tarjoavat organisaation reaaliaikaisen tietosuojan tilannekuvan, niin organisaatiolle itselleen kuin viranomaisellekkin.

Siirtymäaika päättyy kohta, mutta tietosuojatyö ei. Valmis sinun ei siis tarvitse ollla toukokuussa. Toukokuussa sinun pitää pystyä osoittamaan, että teet tietosuojatyötä suunnitelmallisesti, järjestelmällisesti ja jatkuvana työnä.

Oletko miettinyt täytätkö jo osoittamisvelvollisuuden suunnitelmallisen tietosuojatyön tekemisestä?

Mielenrauhaa tietosuojatyöhön tarjoaa,

GDPRdesk www.gdprdesk.eu

Tiina Vestman
CEO, SoulCore Oy