Toimenpiteet

Tietosuoja-asetus koskee jokaista yritystä, jossa käsitellään henkilötietoja, mutta uuden asetuksen ei tarvitse olla yrityksellesi taakka tai ‘kivi kengässä’. Voit myös ajatella asian rekisteröidyn näkökulmasta: Miten itse haluaisit, että tietojasi eri yrityksissä käsitellään? Asetuksen velvotteisiin varautuminen myös parantaa organisaation tietoturvallisuuden tasoa ja usein tehostaa prosesseja.

Me Opsecilla olemme valmiina auttamaan teitä uuden tietosuoja-asetuksen velvoittamiin toimenpiteisiin. Rakennetaan yhdessä suunnitelma, millä kaikki yrityksesi käsittelemät henkilötiedot ovat turvassa. Kaikki lähtee alkukartoituksesta, jonka olemme teille rakentaneet.

Velvotteiden käyttöönotto

Tietosuoja-asetuksen velvoitteiden käyttöönotto on käytännössä projekti, jossa:

  • Tunnistetaan ja dokumentoidaan henkilötietorekisterit, henkilötietojen elinkaari sekä tietovirrat organisaatiossa
  • Suoritetaan riskienarviointi ja tietoturvatestaukset
  • Suunnitellaan ja tehdään käyttöönottosuunnitelma riskikontrolleille
  • Erityistilanteissa ja tarvittaessa voidaan joutua tekemään vaikutustenarviointi sekä nimeämään tietosuojavastaava.
Prosessikuva

Osoitusvelvollisuuden täyttäminen

Osoitusvelvollisuuden täyttymiseksi organisaatiosta olisi hyvä löytyä: (VAHTI-ohjetta 1/2016 mukaillen)

  • tietosuojapolitiikka ja -organisoituminen; roolit ja vastuut ja kokousten muistiot
  • tietosuojaselosteet, tarvittaessa seloste käsittelytoimista
  • henkilötietojen tietovirtakuvaukset ja tietosäilöjen kuvaukset
  • kuvaukset rekisteröityjen oikeuksien takaamiseksi tehdyistä toimenpiteistä
  • tehdyt tietosuojan riskien arvioinnit hallintakeinoineen ja seurantamuistioineen
  • tietoturvatestauksen tulokset
  • sisäänrakennetun ja oletusarvoisen tietosuojan toteuttaminen
  • henkilötietoja käsittelevälle henkilöstölle suunnattavat ohjeet ja koulutussuunnitelma
  • dokumentaatio mahdollisista henkilötietojen loukkauksista
  • mahdollisesti tietotilinpäätös keinona toteuttaa osoitusvelvollisuus