PWC Uutishuone
PWC Uutishuone

EU:n tietosuoja-asetuksen siirtymäaika päättyi – Mitä nyt?

Monet organisaatiot ovat työskennelleet kovasti viimeisen vuoden ajan EU:n tietosuoja-asetukseen liittyvien tehtävien parissa. Tietovarannot on identifioitu, dokumentoitu ja siivottu. Tietosuojaselosteita on päivitetty ja toimintamalleja organisaatioissa uudistettu. Henkilötietojen käsittelijät ja toivottavasti myös muu osa organisaatiosta on saanut ensimmäiset koulutuksensa uuteen tietosuoja-asetukseen liittyen.

Tietosuoja-asetuksen siirtymäaika päättyi 25.5.2018. Nyt on hyvä hetki hengähtää ja arvioida mitä muutoksia on tullut matkan varrella tehtyä.

Seuraava looginen kysymys pienen hengähdystauon ja itsearvioinnin jälkeen on: Mitä nyt?

Asianmukainen käyttö ja suojaus pystyttävä osoittamaan

Tietosuoja-asetus toi mukanaan erittäin tärkeän muutoksen organisaatioiden henkilötietojen käsittelyyn. Asetuksessa viitataan useaan otteeseen osoitusvelvollisuuteen.

Tällä tarkoitetaan sitä, että organisaatioiden on tarvittaessa pystyttävä osoittamaan henkilötietojen asianmukainen käyttö ja suojaus kaikissa toiminnoissaan. Käytännössä tämä ilmenee tietosuoja- ja tietoturvaprosessien, -käytänteiden ja -koulutuksien jatkuvana tarkasteluna ja kehittämisenä. Rekisteröityjen oikeuksien toteutuminen sekä entistä laajempi tiedotusvelvoite tietosuojaloukkauksista tuo mukanaan paineen määräajoista koko tietosuojaorganisaatiolle.

Vuosikello, tietotilinpäätös ja varmennelausumat avuksi

Monissa organisaatioissa tästä on huolehdittu perustamalla tietosuojaryhmä, joka varmistaa tietosuojan toteutumisen organisaation omassa toiminnassa, alihankkijoilla sekä tulevissa hankinnoissa. Työkaluna tietosuojaryhmällä on yleensä tietosuojan vuosikello. Tietosuojaryhmä raportoi havainnoistaan organisaation johdolle. Kerran vuodessa on hyvä tehdä laajempi katselmus tietosuojan toteutumiseen tietotilinpäätöksen muodossa.

Hyvän tietosuojan ylläpito vaatii siis jatkuvaa huomiota ja työtä. Tämä aiheuttaa monissa organisaatioissa resurssihaasteita. Operatiivisen toiminnan ohessa pyritään myös vastaamaan tietosuojan tuomiin haasteisiin. Varsinkin alihankintaa tekevissä organisaatioissa on tyypillistä, että samat tietosuojaan liittyvät neuvottelut ja varmenteet on tehtävä monien eri päämiesten kanssa.

Tätä helpottamaan on onneksi mahdollista hankkia luotettavan kolmannen osapuolen tekemiä varmennelausumia, jotka osoittavat organisaation tietosuoja- ja tietoturvan täyttävän tietosuoja-asetuksen mukaiset vaatimukset.

Varmennelausuma toimii hyvin myös minkä tahansa organisaation todisteena siitä, että esimerkiksi henkilötietoja sisältävien tietovarantojen suojaamiseksi osoitetut kontrollit ovat tarkoituksenmukaisia, ne on implementoitu ja että ne myös toimivat tehokkaasti.

Tämä on erinomainen osoitus vaatimustenmukaisuuden toteutumisesta tältä osin.

25.5.2018 tuli ja meni. Työn tietosuojan ylläpitämiseksi ja parantamiseksi on kuitenkin jatkuttava.