Viitisen vuotta valmisteilla olleen Euroopan unionin tietosuoja-asetuksen voimaantulopäivä lyötiin lukkoon viime keväänä. Asetus astuu voimaan 25.5.2018, eli organisaatioilla on noin puolitoista vuotta aikaa saattaa toimintamallinsa vaaditulle tasolle. H-hetken selvittyä kiinnostus on kasvanut nopeasti, ja useat organisaatiot ovat siirtyneet odottelumoodista selvittämään järkevintä etenemistapaa. – Asiakkaamme ovat viime kuukausina heränneet tilanteeseen joukolla. Se on hyvä asia, sillä asetusta aletaan lopulta soveltaa varsin pian. Jos organisaatiossa herää aavistus siitä, että ulkopuolista apua tarvitaan, liikkeelle on syytä päästä ajoissa, suosittelee KPMG:n tietosuoja-asiantuntija Mikko Viemerö.

Muutos on iso, ja tietosuojan hallinnoinnin sekä henkilötietojen käsittelynkäytäntöjen päivittäminen vie aikansa. KPMG:n asiantuntijatiimi lähestyy asiakkaidensa muutostarpeita kolmivaiheisella käytännönläheisellä kehitysprosessilla, jossa tarkastelunäkökulma on sekä juridinen, hallinnollinen että tekninen. Ensimmäisellä etapilla kartoitetaan organisaation ydintoimintaan liittyvät toimintatavat tietosuojan hallinnoinnissa ja henkilötietojen käsittelyssä. Erilaiset tietosuojariskit analysoidaan, jotta korjaussuositukset kyetään priorisoimaan ja aikatauluttamaan oikein. Toimeksiannon toisessa vaiheessa korjattavista kohteista hahmotellaan helposti hallittavia kokonaisuuksia ja laaditaan tiekartta varsinaista kehitystyötä varten. Urakan kolmas vaihe – itse kehitystyö –saattaa kestää organisaatiosta riippuen muutamista kuukausista yli vuoteen. 

 

Tietosuoja-asetuksen ydinperiaatteita ovat muun muassa henkilötietojen käsittelyn lainmukaisuus ja osoitusvelvollisuus. Osoitusvelvollisuus velvoittaa rekisterinpitäjän täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä organisatorisesti että teknisesti, ja tarvittaessa osoittamaan, että näin on todella toimittu. Pelkkä asetuksen uskollinen noudattaminen ei siis riitä: organisaation on myös aktiivisesti dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset. Osoitusvelvollisuus yhdistää tietosuoja-asetuksen kaikkia osa-alueita. Sen tärkein funktio on ohjata organisaatioita käsittelemään henkilötietoja läpinäkyvästi, huolellisesti ja turvallisesti sekä toimimaan todisteellisesti ja riskilähtöisesti. Tehtävät suojausvalinnat on siis suhteutettava suojattavien tietojen luonteeseen ja niihin liittyviin riskeihin.

Lue artikkeli kokonaan täältä. Voit myös ladata View-lehden pdf-muodossa sivun oikean ylälaidan linkistä.