GDPR:n osoitusvelvollisuus tarkoittaa, että pelkkä hyvä tahto ei riitä, vaan pitää pystyä näyttämään, että asiat ovat kunnossa.
GDPR-vaatimukset yritykselle
Tässä on karkea katsaus siitä, mitä GDPR edellyttää yritykseltä. Nämä ovat niitä osa-alueita, joista useimmin löytyy puutteita:
- Käsittelytoimien kartoitus ja dokumentointi (käsittelyrekisteri, art. 30)
- Oikeusperusteen määrittäminen jokaiselle käsittelytoimelle
- Tietosuojaselosteet rekisteröidyille (art. 13–14)
- Henkilötietojen käsittelijäsopimukset eli DPA:t (art. 28)
- Tietosuojapolitiikka ja sisäiset ohjeet
- Henkilöstön koulutus
- Tekniset ja organisatoriset suojatoimenpiteet (art. 32)
- Tietosuojavastaavan nimeäminen, jos laki edellyttää
- Vaikutustenarviointi (DPIA) riskialttiissa käsittelyissä
- Tietoturvaloukkausprosessi (72 h ilmoitusvelvollisuus)
- Rekisteröidyn oikeuksien toteuttamisprosessit
Jos lista tuntuu pitkältä, se johtuu siitä, että GDPR on laaja asetus. Hyvä uutinen on, että kaikkea ei tarvitse tehdä kerralla. Aloita tärkeimmistä ja jatka siitä systemaattisesti.
Mitä tietosuojadokumentaatio sisältää
Tietosuojadokumentaatio ei ole yksi dokumentti, vaan kokonaisuus. Sen tärkein tehtävä on täyttää osoitusvelvollisuus: pystyä todentamaan viranomaiselle, asiakkaille ja kumppaneille, että asiat ovat kunnossa.
Tyypillinen kokonaisuus sisältää tietosuojapolitiikan (sisäinen linjadokumentti), käsittelyrekisterin (kaikki käsittelytoimet kuvattuna), tietosuojaselosteet (yksi per käyttötarkoitus), DPA-sopimukset palveluntarjoajien kanssa, tietoturvaloukkausrekisterin, tietopyyntörekisterin, vaikutustenarvioinnit tarvittaessa ja sisäiset ohjeet henkilöstölle.
Dokumentaation suurin haaste ei ole sen laatiminen, vaan sen pitäminen ajan tasalla. Siksi on tärkeää, että jollakin on nimetty vastuu päivityksestä.
Tietosuojapolitiikka – mitä siihen kuuluu
Tietosuojapolitiikka on yrityksen sisäinen linjadokumentti, jonka johto hyväksyy. Se ei ole sama asia kuin tietosuojaseloste (joka on rekisteröidyille suunnattu), vaikka nämä sekoitetaan jatkuvasti.
Hyvä tietosuojapolitiikka kattaa: tietosuojaperiaatteet ja -tavoitteet, vastuut ja roolit, käsittelyn periaatteet, rekisteröidyn oikeuksien toteuttamisen, loukkausprosessin, kolmansien osapuolten hallinnan, koulutuskäytännöt ja päivitysprosessin.
Politiikan arvo on nolla, jos se jää pöytälaatikkoon. Se pitää jalkauttaa – käydä läpi henkilöstön kanssa ja päivittää vähintään vuosittain.
Rekisteriseloste vs. tietosuojaseloste
"Rekisteriseloste" on vanhan henkilötietolain (523/1999) termi. Se on korvattu GDPR:n mukaisella tietosuojaselosteella, joka on sisällöltään laajempi ja korostaa rekisteröidyn oikeuksia.
Jos verkkosivuillasi lukee vielä "rekisteriseloste" – se on merkki siitä, että dokumentti on todennäköisesti vanhentunut ja kaipaa päivitystä.
GDPR:n mukainen tietosuojaseloste sisältää rekisterinpitäjän yhteystiedot, käsittelyn tarkoitukset ja oikeusperusteet, käsiteltävät tietoryhmät, vastaanottajat, siirrot EU:n ulkopuolelle ja niiden suojamekanismit, säilytysajat sekä rekisteröidyn oikeudet.
Tietosuojaseloste
Tietosuojaseloste on usein ensimmäinen asia, jonka asiakas, kumppani tai viranomainen yrityksestäsi näkee. Siksi sen pitää olla sekä juridisesti pätevä että ymmärrettävä, ei lakitekstiä, jonka lukemiseen tarvitsee juristin tutkinnon.
Vinkit hyvään selosteeseen: kirjoita selkeällä suomen kielellä, älä kopioi toisen yrityksen selostetta, laadi erillinen seloste eri käyttötarkoituksille, mainitse oikeusperusteet ja säilytysajat konkreettisesti ja julkaise seloste helposti löydettävässä paikassa.
Tietosuojaseloste on usein myös liidien lähde, sillä sen löytää ihminen, joka miettii tietosuoja-asioita omassa yrityksessään.