Useimmat meistä, jotka työskentelevät henkilötietoja käsittelevissä yrityksissä, ovat jo tietoisia GDPR:n aiheuttamasta pommituksesta. Tämä kauan odotettu tietosuoja-asetus tulee voimaan vain kahdentoista kuukauden kuluttua 25. toukokuuta 2018. Monissa organisaatioissa herää suuri kysymys siitä, miten GDPR:n valmistelukampanja kannattaa aloittaa ja mihin avainalueisiin keskittyä. Tehtävä voi tuntua pelottavalta, kun otetaan huomioon, että vaatimusten noudattamatta jättämisen seuraukset ovat niin vakavat: sakot voivat olla jopa 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta vuosiliikevaihdosta.
Mutta älä pelkää! Olemme laatineet pikaoppaan, joka sisältää viisi tärkeintä haastetta, joita monet yritykset kohtaavat GDPR-kampanjaa aloittaessaan, sekä neuvoja siitä, miten ne voidaan parhaiten voittaa.
1. Tietoisuuden lisääminen GDPR:stä koko organisaatiossa
Neuvomme: Hanki avainhenkilöt mukaan ja laadi tiedotussuunnitelma.
Kuten vanha sanonta kuuluu: Valmistaudu epäonnistumaan, valmistaudu epäonnistumaan. Varmista, että organisaatiosi päättäjät ja tärkeimmät sidosryhmät ovat tietoisia lain muutoksesta, ja varmista, että ylempi taso hyväksyy sen. On erittäin hyödyllistä, että sinulla on johtava sponsori, jonka tehtävänä on puolustaa kampanjaa ja varmistaa sen sujuvuus.
GDPR-hankkeen käynnistämiseksi suosittelemme myös, että aloitat tarkastelemalla organisaatiosi riskirekisteriä, jos sinulla on sellainen. Jos sellaista ei ole, se on kätevä apuväline GDPR-matkasi alussa.
Muista, että aika on ratkaisevaa. Aloita mahdollisimman pian, jotta vältyt viime hetken paniikilta, ja käytä seuraava vuosi tietoisuuden lisäämiseen tulevista muutoksista. GDPR:n eLearning-kurssimme on hyvä paikka aloittaa tietoisuuden lisääminen työntekijöidesi keskuudessa.
2. Arvioidaan nykyiset tietojenkäsittelymenetelmät ja mukautetaan ne vastaamaan GDPR:n odotuksia.
Neuvomme: Aloita tunnistamalla ja kirjaamalla, mitä henkilötietoja sinulla on, mistä ne ovat peräisin ja kenen kanssa jaat niitä. Dokumentoi myös kaikki jo käytössä olevat vaatimustenmukaisuustoimenpiteet.
Suosittelemme tiedotustarkastuksen suorittamista. Jos sinulla on esimerkiksi epätarkkoja henkilötietoja ja olet jakanut ne toisen organisaation kanssa, sinun on ilmoitettava siitä toiselle organisaatiolle, jotta se voi muuttaa omia tietojaan. Siksi on tärkeää tietää, mitä tietoja sinulla on ja mihin tarkoitukseen käytät niitä. On myös tärkeää seurata muutoksia, joita teet tietojenkäsittelytoimiin, jotta GDPR:n noudattaminen olisi mahdollista. Näin voit todistaa, että noudatat GDPR:n vastuullisuusperiaatetta.
3. Tietosuojavastaavan nimeäminen
Neuvomme: Selvitä, onko tietosuojavastaavan nimeäminen pakollinen tai toivottava vaatimus organisaatiollesi. Ihannetapauksessa olisi määriteltävä joku, joka ottaa vastuun tietosuojan noudattamisesta, kun otetaan huomioon, että tietosuoja-asetuksen mukaisen rikkomuksen riski on niin suuri, että siitä voidaan määrätä tuntuva sakko.
Organisaatioita, joiden on nimitettävä tietosuojavastaava, ovat muun muassa viranomaiset ja organisaatiot, joiden toimintaan kuuluu rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mittakaavassa. On tärkeää varmistaa, että joku organisaatiossasi tai ulkopuolinen tietosuojaneuvoja ottaa täyden vastuun tietosuojan noudattamisesta. Tehtävään vaadittavia keskeisiä ominaisuuksia ovat tietämys, tuki ja valtuudet hallita tietosuojaa tehokkaasti.
On myös suositeltavaa laatia viestintäkehys heti, kun olet nimittänyt tietosuojavastaavan. Siinä olisi määriteltävä, kuka raportoi kenelle ja missä tämä tehtävä sijoittuu organisaatiorakenteeseen, jotta vältytään sekaannuksilta.
4. Uusien tietojenkäsittelymenetelmien käyttöönotto
Neuvomme: Dokumentoi ja toteuta uudet vaatimustenmukaisuusperiaatteet ja -menettelyt ja kouluta tietojenkäsittelytiimisi näiden uusien toimenpiteiden mukaisesti. Tarkista kaikki nykyiset sopimukset ja suostumukset ja päivitä ne GDPR:n mukaisesti.
Niissä on otettava huomioon keskeiset muutokset, kuten yksityisyyden suojaa koskevat tiedot, yksilön oikeuksien vahvistaminen ja rekisteröidyn henkilön käyttöoikeuspyynnöt sekä suostumus.
Tarkista nykyiset tietosuojailmoitukset ja laadi suunnitelma tarvittavien muutosten tekemiseksi ajoissa GDPR:n täytäntöönpanoa varten.
Tarkista menettelyt varmistaaksesi, että ne kattavat kaikki GDPR:n mukaiset uudet, parannetut yksilön oikeudet, mukaan lukien sen, miten poistat henkilötietoja tai toimitat tiedot sähköisesti ja yleisesti käytetyssä muodossa.
Päivitä menettelyt ja suunnittele, miten käsittelet tietopyynnöt uuden kuukauden määräajan kuluessa.
Tarkista, miten haet, hankit ja kirjaat suostumuksen, ja onko sinun tehtävä muutoksia. Muista dokumentoida kaikki tehdyt muutokset. Muista myös, että GDPR muuttaa myös sitä, miten lasten henkilötietoja käsitellään. On suositeltavaa alkaa miettiä jo nyt, mitä järjestelmiä voit ottaa käyttöön henkilöiden iän tarkistamiseksi ja vanhempien tai huoltajien suostumuksen keräämiseksi tietojenkäsittelytoimiin.
5. Tietoturvaloukkauksen tunnistaminen ja ymmärtäminen sen käsittelyssä.
Neuvomme: Ota käyttöön selkeät menettelyt tietoturvaloukkauksista ilmoittamiseksi, jotta voit havaita tietoturvaloukkauksen ja ilmoittaa siitä uuden 72 tunnin määräajan kuluessa.
Luo sisäinen tietoturvaloukkausrekisteri, johon kirjataan ja jossa seurataan mahdollisia tietoturvaloukkauksia koskevia tutkimuksia. On myös tärkeää arvioida, mitkä hallussasi olevat tiedot edellyttävät ilmoitusta, jos tietoturvaloukkaus tapahtuu.
Varmista, että yhteistyökumppanisi ja toimittajasi ovat selvillä vastuustaan ilmoittaa sinulle kaikista mahdollisista ja vahvistetuista rikkomuksista omalta osaltaan.
Oletko yhä häkeltynyt? Älä hätäänny! Vielä on aikaa saada GDPR-ohjelmasi hallintaan. Sovi tapaaminen alan asiantuntijoidemme kanssa ja tutustu etuihin, joita uusi tuotteemme MetaPrivacy tarjoaa sinulle, kun valmistelet organisaatiotasi GDPR:n noudattamiseen. Tarjolla on myös kaksi GDPR:n eLearning-kurssia, joiden avulla voimme kouluttaa henkilökuntaamme ja tukea GDPR-tietoisuuskampanjaasi.