The Winter (GDPR) Is Coming

15.12.2017
Headstart

arnoldas-dogelis-460269

Tuntuuko siltä, että 25.5.2018 voimaan tuleva EU:n tietosuoja-asetus on kuin TV-sarja Game of Thronesin sinisilmäinen armeija lohikäärmeineen – välttämätön paha, jota vastaan tulee valmistautua? Asetus tuo mukanaan yksityishenkilölle runsaasti oikeuksia henkilötietojensa käsittelyn suhteen, ja vastaavasti henkilötietoja käsitteleville tahoille paljon velvollisuuksia. Jos tietosuoja-asiat eivät ole olleet olennainen osa organisaation toimintaa tähän mennessä, asetuksen voimaan tuloon valmistautuminen saattaa aiheuttaa päänvaivaa.

Tietosuoja-asetusta ei kuitenkaan pidä nähdä negatiivisena, ylimääräistä työtä teettävänä asiana, vaan tervetulleena uudistuksena teknologioiden kehittyessä ja henkilötietoja käsiteltäessä laajenevassa määrin. Henkilöillä itsellään tulee jatkossa olemaan paremmat mahdollisuudet valvoa omien henkilötietojensa käsittelyä, oikaista tietoja, sekä pyytää tietojensa poistamista kokonaan. Henkilötietoja käsittelevät organisaatiot puolestaan pystyvät toimimaan läpinäkyvämmin ja herättävät luottamusta, koska henkilötietojen käsittelyn prosessit on määritelty ja dokumentoitu, tietoturva on keskeisessä roolissa kaikessa henkilötietojen käsittelyssä, ja tietojen käsittelylle on aina olemassa perusteet. Organisaatiot pystyvät pyydettäessä osoittamaan, että henkilötietojen käsittely noudattaa asetusta.

Jotta tämä ”sota” voitetaan, täytyy organisaatiolla olla strategia (projekti), miten tietosuoja-asetuksen vaatimuksiin voidaan vastata. Alussa mainitussa Game of Thronesissa sotajoukkoja johtaa Pohjoisen kuningas, the King in the North. GDPR-projekti sitä vastoin ei ole yhden henkilön show, vaan organisaation monen eri tahon yhteinen ponnistus. Jos omat resurssit, kyvyt tai aika ei riitä, kannattaa hankkia liittolaisia. Valmistautumisessa on hyvä käyttää ulkopuolista asiantuntija-apua, kuten tietoturvakonsultointia, lakipalveluita, järjestelmätoimittajia jne. Ja tietenkin tarvitaan riittävästi aseita! Miekkojen ja keihäiden sijaan varustaudutaan mm. henkilötietojen käsittelyyn liittyvien prosessien määrittelyllä ja dokumentoinnilla, tietoturvapolitiikalla, sertifikaateilla, henkilötietojen käsittelyn huomioimisella sopimuksissa, rekisteriselosteilla, ja henkilöstön ohjeistuksella ja koulutuksella.

Tarvitsetteko apua GDPR:n mukanaan tuomiin vaatimuksiin valmistautumisessa? Ota yhteyttä – me voimme auttaa!

Marika Sampo, marika.sampo (at) headstart.fi