GDPR tulee – Oletko dokumentoinut henkilötietojen käsittelyn?

Toukokuussa päättyvä EU:n tietosuoja-asetuksen (GDPR) siirtymäaika tarkoittaa, että yrityksissä on viimeistään nyt ryhdyttävä konkreettisiin toimenpiteisiin. Suomessa valmistellaan parasta aikaa uutta tietosuojalakia, joka täydentää ja täsmentää EU:n tietosuoja-asetusta.

Euroopan komissio julkaisi alkuvuodesta verkkotyökalun ja uusia ohjeita tietosuoja-asetuksesta. Työkalun on tarkoitus auttaa organisaatioita uuden lainsäädännön noudattamisessa.

Keskeisimpiä muutoksia uudessa EU:n tietosuoja-asetuksessa eli GDPR:ssä ovat ns. riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Riskiperusteinen lähestymistapa tarkoittaa käytännössä sitä, että rekisterinpitäjän eli henkilötietoja käsittelevän yrityksen velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy.

Uutta on myös se, ettei pelkkä lain noudattaminen riitä. Osoitusvelvollisuuden myötä rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Jatkossa henkilötietojen käsittely on suunniteltava ja myös dokumentoitava.

Miten hallita henkilötietoja GDPR:n vaatimalla tavalla?

Organisaatioissa tietosuoja-asetuksen määrittelemää henkilödataa kertyy omasta henkilöstöstä, asiakkaista, yhteistyökumppaneista, kontakteista ja niin edelleen. Monesti tämä tieto on hyvin hankalasti hajallaan eri paikoissa ja kokonaisuuden hahmottaminen on haastavaa.

"Uuden tietosuoja-asetuksen tuomia vaatimuksia ei kannata kuitata intraan vietävillä ohjeistuksilla siitä, kuinka jatkossa työntekijöiden halutaan toimivan henkilötietojen kanssa. Tietosuoja-asetusta koskevat ohjeet eivät hyppää osaksi rutiineja sen paremmin kuin muutkaan intraan hautautuneet ja unohtuneet ohjeistukset", Document Housen myyntijohtaja Erkki-Jussi Welling toteaa.

Document Housen tapa ratkaista GDPR:n haasteita pitää sisällään tiedonohjaussuunnitelman ja vakioidun metatietomallin, jolla voidaan helposti tunnistaa ja ohjata eteenpäin määritellyt henkilötiedot.

"Kuten järjestelmien käyttöönotossa, myös uusien toimintaohjeiden jalkauttamisessa onnistuminen on hyvin paljon kiinni siitä, kuinka helpoksi asian ihmiselle tekee. Mitä paremmin GDPR:n vaatimukset on huomioitu valmiiksi automatisoiduissa prosesseissa, sitä varmemmin ne tulevat arjen työskentelyssä täytettyä", Erkki-Jussi huomauttaa.

Katso webinaaritallenteestamme, kuinka ratkomme EU:n tietosuoja-asetuksen tuomat vaatimukset ja haasteet tiedonhallinnan näkökulmasta.