Info:
Ei ilmoitettuja infoja
Koulutus:
Uusia tulossa kesän 2018 aikana

Aleksi Pulkkanen

Tietosuojamalli.fi-perustaja. Tehdään tietosuojatyöstä vähän helpompaa.
11/4/2018
4
minuuttia luettavaa

Suunnitelma tietosuojatyöhön - Osa 2 (tietovarannot)

Miksi kartoittaa tietovarannot?

Se on kysymys, jonka kartoittamisella oma tietosuojatyö on hyvä aloittaa. Yleensä osa henkilöistä on hyvin ylläpidetyissä tietojärjestelmissä, osa järjestelmissä joista välttämättä ei yleistä tietoakaan ole, osa tiedoistoissa jaetuilla verkkolevyillä, osa työntekijöiden omissa laitteissa, osa papereilla...

Tilanne on siis usein kehittymään siihen tilanteeseen, että tarkkaa tietoa hallinnoiduista henkilötiedoista ei ole. Jatkossa kuitenkin pitäisi olla, mm. seuraavien vaatimusten takia:

Meidän on kyettävä osoittamaan esimerkiksi tietojen minimoinnin ja käyttötarkoitussidonnaisuuden toteutuminen

Miten teemme tämän ilman kunnollista tietoa siitä, mitä tietoja meillä on?

Lue tarkemmin GDPR-artiklasta 5 >>

Meidän on pystyttävä mahdollistamaan rekisteröidyn oikeuksien toteutuminen

Yksi tällainen oikeus on mm. pääsy tietoihin. Rekisteröidylle on siis pyynnöstä tarjottava kattavasti tietoa hänen henkilötietojensa käsittelystä ja haluttaessa jäljennös näistä tiedoista. Tämä joko ei onnistu tai on erittäin työlästä, jos sitä lähdetään tutkimaan pyyntö kerrallaan.

Lue tarkemmin GDPR-artiklasta 15 >>

Meidän on huolehdittava tietojen käsittelyn turvallisuudesta ja tunnettava kumppanimme

Ensimmäinen askel tähän on kuvata, missä tiedot lymyilevät. Tietojärjestelmien kautta tunnistamme kumppaneitamme, joiden haltuun olemme päättäneet tietojamme luottaa. Muistakaa kuitenkin, että rekisterinpitäjä on ensisijaisesti vastuussa, vaikka tiedot sijaitisivat kumppanin järjestelmässä. Näissä tilanteissa oleellista on käydä läpi, mitä henkilötietojen käsittelystä on sovittu.

Lue tarkemmin GDPR-artiklasta 24 >>

Tietovarantojen tunteminen käynnistää tietosuojatyön

Tietosuojatyö on monipuolinen kokonaisuus. Tietovarantojen kuvaaminen on melko suoraviivainen osa-alue, jolla työ kannattaa aloittaa. Se rakentaa pohjaa jokaiselle muulle vaiheelle.

Tutustu halutessasi Tietosuojakarttaan tarkemmin >>

Miten kartoittaa tietovarannot?

Listaa tietojärjestelmät

Tietojärjestelmä on siis se tekninen systeemi, jossa henkilötietoja säilötään ja käsitellään. Jokaisen järjestelmän suhteen on oleellista käydä läpi ainakin:

  • kenen tietoja järjestelmä sisältää
  • mitä henkilötietoryhmiä järjestelmä sisältää
  • missä henkilötiedot lopulta sijaitsevat
  • kuka järjestelmää ylläpitää
  • mistä tiedot kertyvät järjestelmään

Tunnista henkilötiedot tietojärjestelmien ulkopuolelta

Tietosuoja-asetus ei syrji henkilötietoja niiden säilytysmuodon tai sijainnin perusteella. Papereilla, yksittäisellä laitteella tai pilvipalvelussa olevia henkilötietoja on käsiteltävä yhtä lainmukaisesti ja asiallisesti. Kutsumme tietojärjestelmien ulkopuolella olevia henkilötietoja "piilotiedoiksi", koska ne ovat yleensä pääsynhallinnalta, varmuuskopioinnilta tai lokitukselta piilossa.

Piilotietojen suhteen käy läpi etenkin: 

  • kenen tietoja järjestelmä sisältää
  • mitä henkilötietoryhmiä järjestelmä sisältää
  • missä henkilötiedot lopulta sijaitsevat
  • mistä tiedot tulevat

Pohdi työkalujen käyttöä

Jotta ette tekisi turhaa työtä, vaan voisitte jatkossa toimia keräämienne tietojen pohjalta mahdollisimman tehokkaasti, ne voi olla järkevää kerätä suoraan rakenteelliseen ja tähän asiaan suunniteltuun muotoon. 

Tietosuojamalli on esimerkki työkalusta, joka tarjoaa valmiin sapluunan omien tietovarantojen kuvaamiselle muodossa, jossa kerättyä tietoa voidaan jatkossa hyödyntää automatisoidusti mm. rekisteröidyille viestintään tai oman toiminnan sisäiseen raportointiin.

Liittyessäsi Kauppakamarin tietosuojavalmennuksen saat liittymistarjouksena Tietosuojamallin pidennettyyn 30 päivän ilmaiseen kokeilukäyttöön.

Keskustelua kirjoituksesta