Lue lisää

EU:n yleistä tietosuoja-asetusta GDPR:ää aletaan soveltaa 25. toukokuuta 2018. Uusi tietosuoja-asetus korvaa Suomessa henkilötietolain, ja se koskee kaikkia henkilötietoja käsitteleviä organisaatioita koosta riippumatta.

Työskentelen tietosuoja- ja teknologiajuristina KPMG:n lakipalveluissa. Avustan tietosuojatiimin kanssa asiakkaitamme tietosuojahaasteiden ratkaisemisessa. Samalla rakennamme tietosuojakulttuuria, joka nivoutuu osaksi organisaation hallintoa ja päivittäistä työtä.

GDPR ei ole yrityksille nopea sprintti. Käytännössä toiminnan kehittäminen edellyttää pitkäjänteistä sitoutumista ja pysyviä muutoksia. Onnistuneen tietosuojaprojektin tulokset tukevat organisaation tietosuojatyötä pitkälle tulevaisuuteen ja vahvistavat asiakkaiden ja muiden sidosryhmien luottamusta organisaation toimintaan.

Tietosuojaprojekteissa työskentelemme mielenkiintoisten tehtävien parissa. Toimeksiannot vaihtelevat kokonaisvaltaisista kehitysprojekteista rajatumpiin toimeksiantoihin. Pääsemme yhdistämään juridiikan, tietosuojan hallinnon ja teknisen tietoturvan ammattitaitoa laajasti eri toimialoilla.

GDPR ei ole yrityksille nopea sprintti. Käytännössä toiminnan kehittäminen edellyttää pitkäjänteistä sitoutumista ja pysyviä muutoksia.

Kokemukseni mukaan juuri käsittelyn perusteisiin liittyvät aiheet ja asetelmien oikeudellinen arviointi ovat organisaatioille vaikeita ymmärtää. Esimerkiksi arviointiin, onko toimija rekisterinpitäjä, henkilötiedon käsittelijä vai molempia, tarvitaan usein asiantuntijan apua. Lisäksi henkilörekistereiden tunnistamisessa, käsittelyn oikeusperusteidenja henkilötietojen säilyttämisajan hahmottamisessa kysytään usein neuvoja. Avustan usein myös tietosuojadokumentaation ja -sopimusten valmistelussa.

Tietosuojan kehitystyö nähdään organisaatioissa helposti monimutkaisena ja epäselvänäkokonaisuutena. Jos liikkeelle lähdetään tyhjästä, kannattaakin keskittyä asiantuntijanavulla aluksi tietosuojan perusvaatimusten täyttämiseen, ja kehittää toimintaaperusteiden saavuttamisen jälkeen edelleen.

GDPR:n myötä tietosuojaprojektien määrä on kasvanut valtavasti. Ensin tulisi selvittäätietosuojan nykytila ja tunnistaa henkilötietojen käsittelyn perusteet ja tämänjälkeen tietosuojan hallintamalliin ja tietosuojatoimintoihin liittyvä suunnittelutyöon selkeämpää.

Olemme kehittäneet asiakkaillemme riskienhallintatyökalun Digital Risk Platformin. Työkalua käytetään tietosuojaan liittyvän tiedon ja dokumentaation hallintaan sekä riskiarviointiin. Avustamme myös asiakkaitamme tunnistamaan markkinoilla olevista muista GDPR-työkaluista asiakkaiden tarpeeseen soveltuvia ratkaisuja. Teknologiset ratkaisut ovat kuitenkin vain hyvä renki. Organisaatioiden on hyvä muistaa, että rekisterinpitäjä on aina päävastuussa tietosuojasta.