close
Share with your friends

Viisi käytännön vinkkiä tietosuoja-arkeen

Viisi käytännön vinkkiä tietosuoja-arkeen

EU:n yleisen tietosuoja-asetuksen eli GDPR:n myötä tietosuoja- ja tietoturvakysymykset ovat olleet esillä kaikissa asiakasorganisaatioissamme. Uuteen tietosuojakulttuuriin siirtyminen on edellyttänyt toimintamallien suunnittelua ja päivittämistä, henkilöstön kouluttamista ja vastuuttamista uusiin tehtäviinsä sekä dokumentointityötä.

Aiheeseen liittyvää sisältöä

user-working-on-desktop-computer

Tietosuojan kehitysprojektien kokemuksiin perustuen haluamme jakaa viisi käytännön vinkkiä tietosuoja-arkeen. Tietosuojatiimimme voi myös avustaa organisaatiotanne niin pienemmissä kuin suuremmissa tietosuojahaasteissa. 

1. Tietosuojan vastuuhenkilö

Vaikka organisaatiossanne ei olisi pakko nimittää GDPR:n mukaista tietosuojavastaavaa, vastuu tietosuojan toteutumisen ja kehittämisen seurannasta on hyvä osoittaa nimetylle yhdelle tai useammalle henkilölle. Vastuuhenkilölle tulisi tarjota riittävät ajalliset ja asiantuntemukselliset resurssit tehtäviensä toteuttamiseen. Vastuuttaminen varmistaa sen, että tietosuoja-aiheet huomioidaan organisaation toiminnassa ja tietosuojan laatua kehitetään myös tulevaisuudessa. Vastuuhenkilön lisäksi voidaan hyödyntää esimerkiksi ulkoista tietosuojan erityistukea, joka osallistuu joustavasti tietosuojatyöhön aina tarvittaessa.

2. Henkilötietojen kartoitus, luokittelu ja rekistereiden tunnistaminen

Organisaation tietosuojatyön perustana on ymmärrys käsiteltävistä henkilötiedoista, niiden käsittelytarkoituksista ja muodostuvista rekisterikokonaisuuksista. Henkilötietojen kartoitusvaiheessa tiedot kannattaa koota valmiiksi eritellysti tietosuojavaltuutetun toimiston tarjoamaan GDPR 30 art. mukaiseen Excel-pohjaan. Sitä voidaan täydentää esimerkiksi rekisterijaottelulla ja tiedoilla kunkin käsittelytoimen oikeusperusteista. Selostetta voidaan hyödyntää työkaluna, jonka perusteella laaditaan tietosuojaselosteita (rekisteröityjen informointi) tai tarkempia tietojen luokitteluja erilaisia tarkoituksia varten.

3. Tietosuojasopimusten tarkentaminen

Henkilötietojen käsittelyä koskeviin sopimuksiin on monissa tapauksissa liitetty yksinkertaisia tietosuojasopimusliitteitä. Niissä tekniset ja organisatoriset toimenpiteet – tietosuojaa turvaavat ja toteuttavat käytännön prosessit ja tekniset ratkaisut – on usein kuvattu yleisluontoisesti. Tietosuojasopimukset olisi hyvä käydä läpi, tunnistaa oman organisaation kannalta kriittisimmät sopimukset ja harkita tarkempien tietosuoja- ja tietoturvavaatimusmäärittelyiden liittämistä sopimukseen. Tarkemmat vaatimusmäärittelyt olisi myös hyvä liittää uusiin allekirjoitettaviin tietosuojasopimuksiin.

4. Organisaation tietosuojakäytäntöjä kuvaava tietosuojan käsikirja

Tietosuojan käytännöt ja keskeiset prosessit (esimerkiksi DPIA-prosessit, rekisteröityjen oikeuksien toteuttaminen ja toimiminen tietoturvaloukkaustilanteissa) voidaan osoitusvelvollisuutta noudattaen kuvata esimerkiksi tietosuojan käsikirjassa. Sen avulla organisaation henkilöstö voi tarkistaa omat tietosuojatehtävänsä ja niihin kuuluvat velvoitteet. Käsikirjaa voidaan myös hyödyntää organisaation tietosuojakoulutuksen perustana sekä päivittää käytäntöjen kehittyessä.

5. Tietotilinpäätös ja tietosuojakulttuurin kehitystyö

Tietosuoja ei ole koskaan täydellinen, vaan toiminnan laadun varmistaminen edellyttää jatkuvaa seurantaa ja kehitystyötä. Vastuullinen organisaatio tunnistaa tietosuojan jatkokehitystarpeet, dokumentoi tietosuojan kehityssuunnitelmat ja henkilöstön koulutussuunnitelmat. Esimerkiksi tietotilinpäätöksen avulla organisaatio voi tehdä yhteenvedon tietosuojan tilasta tarkasteluajanjaksolta ja suunnitella tulevaa kehitystä. Tietotilinpäätös myös dokumentoi tietosuojan tilaa osoitusvelvollisuuden edellyttämällä tavalla.

Lisätiedot

Charlotta Henriksson, Tax & Legal Senior Manager

+358 20 760 3174

etunimi.sukunimi@kpmg.fi

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö