Mindcomin antamaan GDPR - konsultoinnin ja tietosuojaan liittyvien palvelujen kysyntä on ollut vilkasta.
EU:n uutta tietosuoja-asetusta (GDPR) aletaan soveltaa toukokuussa 2018. Tätä varten Mindcomin asiantuntijat tarjoavat palveluja, jossa selvitetään, miten henkilötietoja verkkopalveluissa käsitellään ja mitä muutoksia uusi tietosuoja-asetus velvoittaa tekemään.
Kartoitus sisältää muun muassa käytössänne olevissa järjestelmissä käsiteltävät henkilötiedot ja sen tallennuspaikat sekä tiedon hallintaan liittyvät prosessit. Kartoituksen jälkeen annamme selkeän raportin, jonka voit tarvittaessa antaa eteenpäin organisaatiosi tietosuojasta vastaavalle henkilölle. Raportin lisäksi laadimme toimintasuunnitelman havaittujen puutteiden korjaamiseksi tai lisäselvitysten tekemiseksi.
Kartoituksessa huomioitavat asiat
- Nykyisten rekisterien tunnistaminen ja ajantasaistaminen
- Riskilähtöinen arviointi
- Rekisteritietojen käsittelyn perusteiden tarkistamiseen
- Rekisterin omistaja ja henkilötietojen käsittelijä
Lisäksi palvelumme kattaa valmiin tietosuojaan liittyvän dokumentoinnin, joka toteutetaan yhdessä tietosuojasta vastaavan henkilön kanssa. Ohjeistuksen tarkoituksena on varautuminen tilintekokykyisyyteen. Joka tarkoittaa, että rekisterinpitäjä ei vain passiivisesti noudata lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilinteko/osoitusvelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa. Todistustaakka ja näyttövelvollisuus tietosuojakysymysten lainmukaisesta hoidosta ja velvoitteiden täyttymisestä tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla.
Dokumentointi
- Tietosuojaselosteet (sisältää rekisteriselosteen)
- Tietosuojapolitiikka
- Tiedon elinkaari
- Rekisterinpitäjän osoittamisvelvollisuus riskien hallinnasta
- Rekisterissä olevien oikeudet ja niihin vastaaminen
- Valmistautuminen tietovuotoihin ja valvontaan
Tietosuojavastaavan palvelut
Tietosuoja-asetus tulee koskemaan jokaista yritystä ja yhdistystä, jonka toiminnassa käsitellään henkilötietoja. Sanktioriski asettaa tietosuojasääntelyn aivan uudenlaiseen asemaan. Riippumatta siitä, onko yrityksellä tietosuoja-asetuksen perusteella velvollisuutta tietosuojavastaavan nimittämiseen, on yrityksellä aina täysimääräinen vastuu tietosuojasääntelyn noudattamisesta viime kädessä todella huomattavien taloudellisten sanktioiden ja maineriskin uhalla.
Valmistautumisen helpottamiseksi on suositeltavaa antaa tietosuoja-asioiden hoitaminen ja uuteen tietosuojasääntelyyn valmistautuminen selkeästi jonkin tahon hoidettavaksi. Yrityksen koosta ja toiminnasta riippuen taho voi olla joko yrittäjä itse, yrityksen työntekijä, tietty tiimi tai ulkoinen palveluntarjoaja. Tärkeintä on, että tulevan tietosuojasääntelyn toiminnalle asettamat uudet vaatimukset on tiedostettu ja niihin reagoitu riittävän ajoissa ennen asetuksen soveltamisen alkamista 25.5.2018.
Rekisterinpitäjän velvoitteita ovat:
- määritellä henkilötietojen keräämisen ja käsittelyn tarkoitus
- suunnitella henkilötietojen käsittelytoimet koko tiedon elinkaaren ajaksi
- analysoida, kirjata muistiin ja kuvata rekisterinpitäjän tehtävien hoitoon liittyvät henkilötietojen käsittelyt ja niihin liittyvät vastuut, toimivallat ja menettelyt
- varmistua henkilötietojen käsittelyn lainmukaisuudesta
- huolehtia tietojen laadusta, tarpeellisuudesta ja virheettömyydestä
- varmistua henkilötietojen suojaamisesta
- huolehtia rekisteröityjen oikeuksien toteutumisesta, erityisesti tarkastus-, tiedonkorjaus- ja kielto-oikeuden toteuttamisesta
- laatia tietosuojaseloste ja informoida rekisteröityjä
- huolehtia mahdollisesti tarvittavien viranomaisilmoitusten tekemisestä,
- laatia henkilöstön käyttöön tietosuoja-ohjeet
- seurata ja valvoa henkilötietojen käsittelyä
Tämä vaatii osaamista, aikaa ja kokonaisuuden hallintaa. Tähän työhön Mindcomin asiantuntijat antavat tietosuojavastaavan palvelua, jonka tehtävänä on auttaa rekisterinpitäjää tietosuojavelvoitteiden toteuttamisessa.
Tietosuojavastaavan toimenkuva
Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille. Näin ollen tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä.
Tietosuojavastaava
- osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan
- osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita koskevaan valmisteluun ja ylläpitoon
- seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä
- osallistuu rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen
- tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa
- toimii yhdyssiteenä valvontaviranomaisiin
- raportoi organisaation johdolle tietosuojan (ja tietoturvallisuuden) tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta)
- vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä.
Onnistuneen yrityksen tietosuojapolitiikan ja sitä tukevan dokumentoinnin merkitys on erittäin tärkeää tilintekokykyisyyden osoittamisessa.