GDPR on ovella, oletko valmis?

EU:n tietosuoja-asetuksen eli GDPR:n (General Data Protection Regulation) siirtymäaika päättyy 25.5.2018, jonka jälkeen jokaisen EU:n jäsenvaltiossa toimivan henkilötietoja käsittelevän organisaation tulee noudattaa asetuksen vaatimuksia.

Asetus tulee koskettamaan merkittävää osaa suomalaisia pieniä ja keskisuuria yrityksiä, sillä käytännössä kaikilla on käytössä erilaisia henkilörekistereitä (esimerkiksi asiakas- tai toimittajarekisteri). Hallitus on lisäksi esittänyt 1.3.2018 uuden tietosuoja-asetusta täydentävän ja täsmentävän tietosuojalain säätämisestä, joka asettaa tietosuojavaltuutetulle oikeuden määrätä hallinnollisen seuraamusmaksun tietosuoja-asetuksen vastaisesta toiminnasta (vakavissa rikkomuksissa 20 miljoonaa euroa tai 4 % liikevaihdosta).

Tietosuoja-asetuksen tavoitteena on yhtenäistää tietosuojakäytäntöjä kaikissa EU-maissa ja varmistaa, että vahvasti digitalisoituvassa EU:ssa kaikki henkilötietojaan käsiteltäväksi luovuttaneet henkilöt voivat luottaa käsittelyn tietoturvallisuuteen ja läpinäkyvyyteen. Tietosuoja-asetus tulee aiheuttamaan merkittäviä haasteita suomalaisille pienille ja keskisuurille organisaatioille, sillä sen vaatimukset ovat huomattavasti nykyistä sääntelyä tiukemmat. Organisaatiolla tulee olla toimiva ja dokumentoitu prosessi esimerkiksi siihen, että henkilötietojen tietoturvaloukkauksesta voidaan ilmoittaa 72 tunnin kuluessa tietosuojaviranomaiselle ja rekisteröidylle loukkauksen ilmitulosta. Pelkkä vaatimuksenmukaisuus ei enää riitä: organisaation on pystyttävä myös käytännössä osoittamaan tietosuoja-asetuksen mukaisen vaatimuksenmukaisuuden täyttyminen sekä rekisteröityjen oikeuksien että rekisterinpitäjän velvollisuuksien näkökulmasta.

Riskilähtöinen varautuminen lisää luotettavuutta

Keskeistä tietosuoja-asetukseen varautumisessa on käsite riskilähtöisyys: organisaation tulee arvioida ja mitoittaa varautumistoimet suhteessa henkilötietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille aiheutuviin riskeihin. Me Grant Thorntonilla olemme olleet mukana GDPR -projekteissa luotettuna neuvonantajana varmistamassa, että tietosuojaprojekti toteutetaan kustannustehokkaasti keskeisiin riskialueisiin rajalliset resurssit kohdistaen. Iloksemme olemme myös huomanneet, että varautumisprojektit ovat antaneet organisaatioille myös muuta välillistä lisäarvoa. Organisaatioiden yleinen riskienhallinta, tietoturvallisuus ja toiminnan tehokkuus on kehittynyt, sillä GDPR on pakottanut organisaatiot arvioimaan laajalti liiketoimintaprosessejaan ja niihin sisältyviä riskejä.

Organisaatiot ovat myös mieltäneet, että laadukkaalla tietosuojalla voidaan vaikuttaa myös yhtiön maineeseen. Yhtiöön kohdistuvaa ulkoista luottamusta voidaan kasvattaa vakuuttamalla asiakkaille, toimittajille ja muille kriittisille sidosryhmille, että yhtiön hallussa oleva sensitiivinen tieto on aidosti tietoturvallisesti käsiteltyä. Nykypäivänä vakavien tietovuotojen määrä on myös Suomessa kasvanut huolestuttavaa tahtia, joten asianmukaiseen tietosuojaan ja -turvaan on kaikkien syytä suhtautua vakavasti.

Näin pääset alkuun

Oletko vasta tietosuojaprojektin alkuvaiheessa ja tuntuu, että osittain vielä tulkinnanvaraisuutta sisältävää laajaa vaatimusten määrää on haasteellista sisäistää ja hallita? Kokemuksiemme mukaan suurin osa yrityksistä on huomioinut tietosuoja-asetuksen ja aloittanut varautumisprojektin, mutta vain harvat ovat projektissaan täysin valmiina. Aloittamalla varautumisprojektin nyt ehdit vielä oikeisiin korkean riskin osa-alueisiin resurssit kustannustehokkaasti keskittäen saamaan oman organisaatiosi kannalta kriittisimpien osa-alueiden kehitystyön hyvään vauhtiin.

Olemme listanneet alle mielestämme keskeisiä osa-alueita, jotka tulee huomioida valmistautuessa tietosuoja-asetuksen mukaisiin vaatimuksiin:

 1. Johdon rooli --> Tietosuojatyö ei ole vain IT- tai muun tukitoiminnon vastuulla oleva kertaluonteinen projekti – varautumisen tulee lähteä johdosta, jonka vastuulla on osana yhtiön sisäistä valvontaa varmistaa kaikkien yhtiötä koskettavien lakien ja asetusten noudattaminen. Johdon tulee myöntää asianmukaiset resurssit tietosuojatyölle ja valvoa projektin etenemistä.

2. Nykytila-analyysi ja riskikartoitus --> Tietosuojatyöstä vastaava taho laatii nykytila-analyysin, jossa arvioidaan henkilötietojen käsittelyn nykytilaa suhteessa tietosuoja-asetuksen vaatimuksiin. Kaikki henkilötietoa käsittelevät henkilöt ja järjestelmät sekä käsittelyssä muodostuvat henkilörekisterit on suositeltavaa dokumentoida selkeästi. Riskiarviosta tulee käydä ilmi keskeisimmät henkilötietojen käsittelyyn liittyvät riskit ja niihin vastaavat toimenpiteet.

3. Sopimusten arviointi --> Yritykset hyödyntävät yhä enenevissä määrin ulkopuolisia palveluntoimittajia esimerkiksi IT-palveluissa ja digitaalisessa markkinoinnissa, jolloin organisaation rekisteröimiä henkilötietoja käsittelee kolmas osapuoli. Kaikki henkilötietojen käsittelyä sisältävät sopimukset tulee uudistaa vastaamaan GDPR:n vaatimuksia esimerkiksi erillisen sopimusliitteen muodossa. Huomioi, että esimerkiksi verkkosivujesi mahdollisten evästeiden suostumusten hallinta tulee hoitaa tietosuoja-asetusten vaatimusten mukaisesti.

4. Osoitusvelvollisuuden varmistaminen --> Organisaation tulee pystyä käytännössä todistamaan, että se toimii tietosuoja-asetuksen vaatimusten mukaisesti. Hyvä keino osoitusvelvollisuuden toteuttamiseen on tietotilinpäätöksen laadinta. Tietotilinpäätöksen sisällön laadintaa ei yksityiskohtaisesti tällä hetkellä sääntele mikään laki tai asetus, joten se voidaan laatia vapaamuotoisesti yhtiön oma liiketoiminta ja erityispiirteet huomioiden. Tärkeää on kuitenkin, että osoitusvelvollisuuden keskeiset perusperiaatteet huomioidaan osana tietotilinpäätöksen laadintaa. Tietotilinpäätöksestä voidaan laatia erilliset versiot esimerkiksi sisäiseen käyttöön ja asiakkaille.

Me Grant Thorntonilla autamme kustannustehokkaan ja laadukkaan tietosuojaprojektin läpiviennissä. Kun pohjatyö varautumisprojektissa tehdään huolellisesti, on tietosuojatyön jatkuva kehitys ja ylläpitäminen tulevaisuudessa huomattavasti helpompaa.

Mikäli haluat kuulla aiheesta lisää yksityiskohtaisemmin, ole yhteydessä ja käy katsomassa yhdessä OptimeSys Oy:n kanssa pitämäämme Webinaaria tietosuoja-asetukseen liittyen.