Info:
Ei ilmoitettuja infoja
Koulutus:
Uusia tulossa kesän 2018 aikana

Aleksi Pulkkanen

Tietosuojamalli.fi-perustaja. Tehdään tietosuojatyöstä vähän helpompaa.
2/1/2018
4
minuuttia luettavaa

Suunnitelma tietosuojatyöhön - Osa 1 (yhteenveto)

GDPR tulee muuttamaan organisaatioiden suhtautumista henkilötietojen käsittelyyn. Osalle muutos on suurempi, mikäli henkilötietojen käsittelyyn ei ole aiemmin kiinnitetty erityisen suurta huomiota. Joillain aloilla tietosuoja on korostunut jo aiemmin (esim. terveys), mutta jatkossa kaikille tulee tarve dokumentoida omia tekemisiään tietosuojan suhteen entistä tarkemmin.

GDPR:n tuomista muutoksista on kirjoitettu monia kirjoituksia, joista osa melkoisen hyviäkin. Yhteenvetona voi sanoa, rekisterinpitäjät joutuvat olemaan tarkempia ja yksityishenkilöt saavat enemmän mahdollisuuksia vaikuttaa omien tietojensa käsittelyyn. Kun GDPR aletaan soveltaa 25.5.2018, organisaatioilta vaadittu muutos liittyy siihen, että takamatka aiempiinkin tietosuojalakeihin on kurottava umpeen ja lisäksi hypättävä tietosuoja-asetuksen edellyttämälle henkilötietojen käsittelytasolle. Tämä muutos on monille melko iso ja voi vaatia paljon työtä, ja siksi GDPR:stä riittää tällä hetkellä puhetta.

Tämä kirjoitus on ensimmäinen osa blogisarjaa, jossa esittelemme kattavan toimenpidesuunnitelman siihen, kuinka voi lähteä toimimaan ottaakseen tietosuojan haltuun omassa organisaatiossa. Tässä kirjoituksessa esitellään yhteenveto suunnitelmasta, kun seuraavat kirjoitukset sukeltavat syvemmälle kunkin yksittäisen vaiheen toteutukseen.

P.s. Mikäli haluatte lukea GDPR-asetuksen tuomista uusista vaatimuksista, voitte esim. vilkaista aiempaa Minna Aalto-setälän artikkelia tai esimerkiksi George Paliy:n kirjoitusta hieman teknisemmästä näkökulmasta.

Suunnitelma tietosuojatyöhön - Yhteenveto

Kehitämme itse Tietosuojamalli-palvelua, joten työskentelemme päivittäin sen eteen, että organisaatiot saisivat tietosuoja-asiat haltuun. Tietosuoja on laaja asia ja sen hallintaan liittyy monipuolisia, erilaisia tehtäviä, jotka vaativat yhteispeliä organisaation eri puolilta.

Olemme hioneet omaa suositustamme suunnitelmaksi tietosuojatyöhön paremmaksi monen iteraation kautta ja yhteistyössä lukuista suomalaisten, isojen ja pienien, organisaatioiden kanssa. Tässä blogisarjassa esitellään oma suosituksemme, jonka mukaisesti työ myös Tietosuojamallin avulla etenee, mutta jota voit toki hyödyntää minkä tahansa työkalujen avulla:

1. Listaa henkilötietovarannot

  • Listataan hallinnoimamme tietojärjestelmät, joilla henkilötietoja käsitellään ja säilötään
  • Listataan ongelmalliset piilotiedot, jotka sijaitsevat esim. paikallisissa tiedostoissa tai papereilla - tietojärjestelmien ulkopuolella
  • Listataan käsittelemämme ulkoiset henkilötiedot, jotka voivat sijaita esimerkiksi kumppanin ylläpitämissä tietojärjestelmissä

Tavoitteena on synnyttää käsitys nykyään hallussamme olevista henkilötiedoista. Dokumentointi vaatii esimerkiksi henkilötietoryhmien, järjestelmiä ylläpitävien kumppanien, tietovarantojen fyysisten sijaintien sekä tietolähteiden kartoittamista. Vaadittu osaaminen tässä vaiheessa on melko perustasoa, eikä syvällistä teknistä tai juridista erikoisosaamista vaadita.

Lue tarkemmin henkilötietovarantojen kartoittamisesta >>

2. Kuvaa henkilötietojen käyttö

  • Kuvataan ja nimetään hallinnoimamme henkilötietorekisterit, jotka tietovarannoista muodostuvat
  • Kuvataan käyttötarkoitukset, joita varten henkilötietoja käsitellään
  • Kuvataan käytännöt suostumukseen perustuvan käsittelyn osalta

Tavoitteena on luoda kokonaiskuva tarkoitusperistä, joita varten kohdassa 1 kuvattu varanto henkilötietoja hallussamme on. Dokumentointi vaatii esimerkiksi käsittelyn oikeusperusteiden, yhteen toimivien tietovarantojen sekä tietojen siirtämisen ja luovuttamisen kartoittamista. Vaadittu osaaminen on aiempaa monipuolisempaa, kun voidaan tarvita yhteispeliä käsittelyä suorittavan yksikön, teknisen porukan ja juridisen porukan välillä.

Lue tarkemmin henkilötietojen käytön kuvaamisesta >> (tulossa pian, osassa 3)

3. Kartoita kumppaninäkökulma

  • Kartoitetaan hallinnoimiamme henkilötietoja käsittelevät kumppanit
  • Kartoitetaan kumppanien palvelulupaukset ja sopimustilanne kumppanien kanssa
  • Kartoitetaan omat sitoumuksemme muille rekisterinpitäjille

Mikä ideana? Mitä dokumentoitava? Mitä huomoitava? Mitä osaamista vaatii?

Tavoitteena on muodostaa käsitys kumppaneista, joiden haltuun olemme tavalla tai toisella luottaneet tietojamme ja joiden kanssa yhteispelinä henkilötietojen käsittelyä suoritamme. Dokumentointi vaatii sopimusten tai muiden dokumenttien kartoittamista, joissa henkilötietojen käsittelyllä oleellisista asioista on sovittu, tai jotka kokonaan puuttuvat. Vaadittu osaaminen on osittain juridista, mutta sovittavat asiat on kuvattu melko selvästi myös tietosuoja-asetuksessa (lisätiedot artiklassa 28).

Lue tarkemmin kumppaninäkökulman kartoittamisesta >> (tulossa pian, osassa 4)

4. Kuvaa toiminta turvallisuuden ja riskien suhteen

  • Kuvataan yleiset turvallisuuskäytännöt (mm. henkilöstön koulutus)
  • Kuvataan tekniset turvallisuuskäytännöt (mm. pääsyoikeuksien hallinta, tietojen tuhoaminen)
  • Tehdään päätökset ja suunnitelma vaikutustenarviointien toteuttamisesta

Tavoitteena on kuvata selkeästi niitä käytäntöjä, joita organisaatiomme tekee parantaakseen henkilötietojen käsittelyn turvallisuutta. Dokumentointi vaatii käytäntöjen selkeää kuvaamista, selkeitä vastuista ja toteutuksen seurantaa, jotta voidaan todella osoittaa näiden käytäntöjen olevan osa arkea. Vaadittu osaaminen on osittain teknistä, mutta iso osa turvallisuuden eteen tehtävästä työstä on kenen tahansa ulottuvilla.

P.s. Suosittelemme koko tietosuojatyöhön riskilähtöistä otetta, jossa kaikissa eri vaiheissa tärkeimpiä ja kriittisimpiä elementtejä (esim. eniten

Lue tarkemmin turvallisuuden ja riskien hallinnasta >> (tulossa pian, osassa 5)

5. Suunnittele käsittelystä informointi

  • Suunnitellaan prosessit tietopyyntöjen hoitamiseen
  • Suunnitellaan toiminta tietovuotojen havaitsemiseen ja informointiin
  • Kootaan ja julkaistaan tietosuojaselosteet

Mikä ideana? Mitä dokumentoitava? Mitä huomoitava? Mitä osaamista vaatii?

Tavoitteena on rakentaa valmiudet jatkuvaan toimintaan, jota avoin informointi omasta henkilötietojen käsittelystä tulee vaatimaan. Dokumentointi vaatii esimerkiksi prosessien suunnittelua ja kirjan pitämistä tapahtumista. Informointiasioihin ei kuitenkaan kannata sukeltaa suoraan, vaan aiemmissa osissa luotu dokumentaatio luo pohjan informoinnille. Emme voi tehdä tietosuojaselostetta tai vastata rekisteröidyn pyyntöön tulla unohdetuksi, jos emme tiedä, mihin henkilöja käsittelemme tai mikä käsittely perustuu suostumukseen.

Lue tarkemmin käsittelystä informoinnista >> (tulossa pian, osassa 6)

6. Dokumentoidaan omien tuotteiden tietosuoja ja -turva (vain SaaS-palveluntarjoajille)

  • Dokumentoidaan henkilötietojen käsittelyn perusteet tarjoamissamme tuotteissa
  • Dokumentoidaan omat palvelupaukset asiakkaille
  • Dokumentoidaan tuotteen turvallisuudeen liittyvät asiat (mm. lokit, varmuuskopiointi)

Tavoitteena on muodostaa vaatimukset täyttävä ja ymmärrettävä tietosuojapaketti asiakkaille, jotka käyttävät tuotteitamme itse hallinnoimiensa henkilötietojen käsittelyyn. Dokumentointi vaatii esimerkiksi omien käytäntöjen kuvaamista salassapidon varmistamiseen, tietoturvaloukkausten valvontaan ja tiedottamiseen tai asiakkaan auttamiseen rekisteröidyn oikeuksien täyttämisessä. Tämä vaihe on oleellinen SaaS-palveluntarjoajille, joilla on tärkeä rooli yleisesti tietosuojan toteutumisessa.

Lue tarkemmin omien käsittelytuotteiden tietosuojadokumentaatiosta >> (tulossa pian, osassa 7)

7. Varmista ylläpito

  • Seurataan ja raportoidaan suunnitelman etenemisestä
  • Itsearvioidaan vaatimustenmukaisuutta
  • Luodaan vuosikello käytäntöjen ylläpitoon

Tavoitteena on synnyttää uskottava toimintamalli, jolla saavutettua tietosuojatasoa ylläpidetään sekä kehitetään ajan edetessä ja oman toiminnan muuttuessa. Kun ollaan päästy pidemmälle, voidaan testata oman dokumentaation vahvuutta. Voidaanko GDPR:n eri vaatimuksien mukainen toiminta osoittaa oman dokumentaatiomme kautta?

Lue tarkemmin hyvän tietosuojatason ylläpidosta >> (tulossa pian, osassa 8)

Tulemme julkaisemaan jatkossa tarkemmat kirjoitukset suunnitelman eri osista, jotka kuvaavat tarkemmin toteutusta ja antavat vinkkejä juuri tämän vaiheen suhteen. Mikäli olet jo liittynyt Kauppakamarin tietosuojavalmennuksen jäseneksi, saat näistä kirjoituksista varmasti tiedon sähköpostiisi.

Jos et halua odotella, saat kaikkein tarkimman ohjeistuksen ja työkalut suunnitelman soveltamiseen, kun kokeilet Tietosuojamallia itse. Lue lisää Tietosuojamallista >>

Kauppakamarin tietosuojavalmennuksen jäsenenä saat Tietosuojamallin pidennettyyn, 30 päivän ilmaiseen kokeilukäyttöön (norm. 7 päivää). Liity mukaan >>

Keskustelua kirjoituksesta