Organisaatiolla on näyttövelvollisuus asetuksen noudattamisesta. Tätä varten on hyvä laatia omavalvontasuunnitelma.
EU:n tietosuoja-asetus (GDPR = General Data Protection Regulation) vaikuttaa liiketoimintaprosesseihin ja tulevaan lainsäädäntöön. Se koskee jokaista organisaatiota, joka käsittelee eurooppalaisen henkilötietoja. Viisas johto näkee vahvan tietosuojan lisäävän organisaation luotettavuutta ja panostaa asetuksen toteuttamiseen. Hyvä tietosuoja kannattaa tuoda esiin osana yrityskuvaa, sitä ei kannata jättää vain juristien ja tietohallinnon asiaksi vaan se on koko organisaation asia. Organisaation johto on tarvittavien toimenpiteiden mahdollistaja sekä jalkauttaja koko organisaatiossa.
Organisaatiolla on näyttövelvollisuus asetuksen noudattamisesta. Tätä varten on hyvä laatia omavalvontasuunnitelma. Tässä artikkelissa esitämme yksinkertaisen perusrungon siitä, millainen tämä omavalvontasuunnitelma voisi olla.
Tee nämä:
1. Mieti tietosuojalupaus
Tietosuojalupaus: Pidämme henkilötietojen turvallisuudesta huolta tietosuojalainsäädännön mukaisesti. Järjestelmämme ovat suojattuja, emmekä anna tietoja kolmannelle osapuolelle ilman henkilön lupaa.
2. Tunnista henkilötietorekisterit ja niissä olevat tiedot
Huomaa, että myös paperiset asiakirjat mapissa voivat muodostaa henkilötietorekisterin. Määrittele, mihin tietoa käytetään ja kauanko sitä tarvitaan. Jos tiedon säilyttämiselle ei ole perusteita, se tulee poistaa.
3. Tee jokaisesta rekisteristä tietosuojaseloste
Valmiin täytettävän lomakkeen saat osoitteesta www.tietosuoja.fi, josta edelleen polku Etusivu » Materiaalia » Lomakkeet » Rekisteri- ja tietosuojaselosteet. Kirjoita pohjaan heti kaikki sillä hetkellä tiedossa olevat asiat ja täydennä sitä mukaa kuin asiat selviävät. Näin pohja ohjaa työn etenemistä. Kun suunnittelet uutta henkilörekisteriä, niin pohja toimii heti suunnittelun alusta lähtien muistilistana asioista, jotka tulee huomioida.
4. Tee kustakin rekisteristä henkilötietojen käsittelyn prosessikuvaus
jossa kuvaat, kuka tekee, mitä tekee, miksi tekee ja missä tekee. Kuvaa millaiset oikeudet tekijällä on henkilötietojen käsittelyyn.
5. Käy läpi kumppanit, jotka ovat henkilötietojen käsittelijöitä
It-palvelujen toimittajat, it-tuki, rekrytointikumppanit, arkistojen tuhoojat. Tarkista ja tarvittaessa tarkenna kumppanin kanssa tehdyt sopimukset. Sopimusten tulee aina olla kirjallisia ja kattaa kokonaan mahdollinen alihankkijaketju. Rekisterinpitäjällä on ensisijainen vastuu koko käsittelyketjusta.
6. Ohjeista kriisitilanteen toiminta esimerkiksi näin:
Jos ilmenee, että on tapahtunut tietovuoto, niin asiasta ilmoitetaan välittömästi tietosuojavaltuutetun toimistoon. Tämä tulee tehdä mahdollisuuksien mukaan 72 tunnin kuluessa tietovuodon ilmitulosta.
Käyntiosoite: Ratapihantie 9, 6. krs, 00520 Helsinki
Postiosoite: PL 800, 00521 Helsinki
Sähköposti: tietosuoja@om.fi Vaihde: 029 56 66700
Jos on syytä epäillä, että vuodosta on haittaa henkilötiedon henkilölle itselleen, myös häntä tulee informoida!
Esimerkki omavalvontasuunnitelman sisällysluettelosta:
1. Tietosuojalupaus
2. Kriisitilanteen toiminta
3. Henkilörekisterit
3.1 Marrek, Firma Oy:n markkinointirekisteri
- Marrekin prosessikuvaus
- Marrekin tietosuojaseloste
- Marrekin sopimus Käsittelijä Osoite Oy päivältä pp.kk.vvvv liite 1.1
- Marrekin tietosuojalupaus Käsittelijä Osoite Oy päivältä pp.kk.vvvv liite 1.2
3.2 Henrek, Firma Oy:n henkilökuntarekisteri
- Henrekin prosessikuvaus
- Henrekin tietosuoja seloste
- Henrekin sopimus Käsittelijä Palkat Oy päivältä pp.kk.vvvv liite 2.1
- Henrekin tietosuojalupaus Käsittelijä Palkat Oy päivältä pp.kk.vvvv liite 2.2
4. Henkilökunnan koulutus ja jatkuva perehdyttäminen
5. Omavalvontasuunnitelman ylläpito
Rekisterinpitäjä (controller) on organisaatio, joka yksin tai yhdessä toisen tahon kanssa määrää henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä (processor) on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötieto (personal data) on kaikkea tunnistettua ja tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa (myös esim. IP-osoite tai auton rekisterinumero). Rekisteröity (data subject) on luonnollinen henkilö. Rekisteri (filing system) on mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein (voi olla hajautettu, keskitetty tai jaettu). Suostumus (consent) on mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojen käsittelyn. |
Teksti: Paula Miinalainen ja Minna Oksanen