Muistilista yleisen tietosuoja-asetuksen soveltamiseksi

Tietosuoja-asetuksen keskiössä on ihmisen oikeus henkilötietojen suojaan. Rekisterinpitäjällä on velvollisuus tehdä tarvittavat toimenpiteet, joilla voidaan varmistaa ja osoittaa että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta. Oheinen muistilista on tarkoitettu avuksesi alkaessasi soveltaa asetusta käytäntöön omassa organisaatiossasi.

Suosittelemme perehtymään myös sarjan edelliseen kirjoitukseen: Yleinen tietosuoja-asetus astuu voimaan puolen vuoden kuluttua

1. Perehdy tietosuoja-asetukseen

2. Kartoita käsiteltävät henkilörekisterit

Onko organisaatiossanne työntekijöitä, joiden henkilötietoja käsitellään työnantajavelvoitteiden hoitamiseksi? Hyvin todennäköisesti on, joten organisaatio toimii rekisterinpitäjänä. Ylläpidättekö asiakasrekisteriä, jossa käsitellään luonnollisten henkilöiden tietoja asiakassuhteen hoitamiseksi ja ylläpitämiseksi. Melko varmaa tämäkin, joten organisaatiollasi on toinenkin henkilörekisteri jossa se toimii rekisterinpitäjänä.

Suorittaako organisaatiosi henkilötietojen käsittelyä esimerkiksi asiakasorganisaation toimeksiannosta? Selvitä onko tällaista roolia, sillä silloin organisaatiosi on henkilötietojen käsittelijä. Esimerkiksi palkanlaskentapalveluita tuottava tilitoimisto toimii henkilötietojen käsittelijän roolissa.

Rooli henkilötietojen käsittelyssä vaikuttaa olennaisesti vastuisiin ja velvollisuuksiin.

Kartoita kaikki organisaatiossasi käsiteltävät henkilörekisterit ja muodosta kokonaiskuva. Mieti kunkin henkilörekisterin kohdalla

  • Onko organisaatiosi rooli rekisterinpitäjä vai henkilötietojen käsittelijä
  • Kuka on henkilörekisterin vastuuhenkilö organisaatiossasi
  • Mikä on käsittelyn oikeusperuste
  • Mitä henkilötietoja ne sisältävät
  • Mikä on tietojen säilytysaika tai sen määrittämiskriteeri
  • Missä järjestelmissä henkilötiedot sijaitsevat
  • Miten ja millaisen ohjeistuksen varassa organisaatiosi työntekijät käytännössä käsittelevät henkilötietoja
  • Onko käytössä henkilötietojen käsittelijää, kuten palkanlaskentapalveluja tuottava tilitoimisto
  • Säilytetäänkö jonkin järjestelmän osalta henkilötietoja EU:n ulkopuolella

3. Tee muutokset organisaatiosi toimintatapoihin

  • Pyri suhteuttamaan organisaatiosi toimenpiteet henkilötietojen käsittelyn luonteen, laajuuden, asiayhteyden ja riskien mukaisiksi.
  • Varmista, että käsittelette henkilötietoja tietosuoja-asetuksen perusperiaatteiden mukaisesti, ja päivitä tarvittaessa organisaatiosi toimintatavat. Tarkista myös, onko sinun helppo noudattaa näitä periaatteita kaikissa niissä järjestelmissä, joita käytätte henkilötietojen käsittelyyn. Muista rekisterinpitäjän osoitusvelvollisuus, jonka mukaan on pystyttävä osoittamaan että perusperiaatteita on noudatettu.
  • Varmistu siitä, että rekisterissäsi olevat henkilöt ovat antaneet luvan rekisterin keruuseen, tai että henkilötietojen käsittelylle on joku muu oikeusperuste.
  • Jos rekistereissäsi käsitellylle henkilötiedoille ei löydy selvää laillista perustetta, varaudu muuttamaan toimintatapojasi tai luopumaan osasta rekisterien tietosisällöstä.
  • Tee päätös tietojen säilytysajasta, esimerkiksi kuinka monta kuukautta edellisen tilauksen jälkeen on perusteltua säilyttää asiakkaan henkilötietoja. Jos asiakasrekisterissäsi on vuosikausia vanhoja henkilötietoja, tiedossa on siivoustöitä. Älä kuitenkaan poista sellaisten asiakkaiden tietoja joilta on avoimia saatavia tai jonka kanssa on muita selvittämättömiä asioita, kuten reklamaatioita.
  • Tiedosta lainsäädännön vaatimat säilytysajat, erityisesti palkanlaskennan osalta. Kun käsittelyn oikeusperustetta ei enää ole, voidaan osa henkilötiedoista poistaa tarpeettomina, mutta säädösten (kuten kirjanpitolain) vaatimat tiedot on edelleen säilytettävä.
  • Luo toimintamallit rekisteröidyn oikeuksien toteuttamiseksi
    • Täytä rekisteröityjen tiedonsaantioikeus laatimalla tietosuojaseloste kustakin henkilörekisteristä. Selosteesta tulisi ilmetä vaaditut tiedot kuten rekisterinpitäjän yhteystiedot, rekisteröidyt henkilöt, käsittelyn tarkoitukset, käsiteltävät henkilötiedot, tietolähteet, säilytysaika jne. Esimerkkinä voit tutustua Maestron asiakas- ja markkinointirekisterin tietosuojaselosteeseen. Huomioi kuitenkin ettei se välttämättä kata kaikkia oman organisaatiosi toimintaan kuuluvia piirteitä: Maestro ei esimerkiksi tuota palkanlaskentapalveluita, eikä Maestrolla ole kuluttaja-asiakkaita tai kanta-asiakasjärjestelmää.
    • Määritä toimintatavat rekisteröityjen tietopyyntöjen käsittelyyn. Voit esimerkiksi ohjata tietopyynnöt sähköpostiin ja nimetä henkilön jonka tehtävänä on vastata tietopyyntöihin. Muista ohjeistaa kuinka on tarkoituksenmukaista varmistua tietoja pyytävän henkilöllisyydestä, sekä mistä järjestelmistä tiedot löytyvät.
  • Tietoturva
    • Dokumentoi tietoturvakäytännöt yleisellä tasolla
  • Päivitä sopimusehdot
    • Tarkista sopimusehtojen ajantasaisuus esimerkiksi asiakkaiden palveluntuottajien, alihankkijoiden ja järjestelmätoimittajien osalta
    • Henkilötietojen käsittelijää käytettäessä edellytetään sopimusta, jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
  • Nimeä tietosuojavastaava
    • Jos organisaatiosi ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja laajamittaista seurantaa, on nimettävä tietosuojavastaava
    • Tietosuojavaltuutettu on antanut asiasta ohjeen
    • Kouluta henkilöstöä
    • Opasta henkilöstö käsittelemään henkilötietoja tietosuoja-asetuksen vaatimusten mukaisesti. Käsittelytavoissa on toteuduttava sisäänrakennettu ja oletusarvoinen tietosuoja.

    Mistä lisätietoja?

    Tässä joitakin laadukkaita lähteitä lisätietojen saamiseksi:

    Tiedotamme tietosuoja-asetuksen soveltamisesta ja siihen liittyvistä käytännön toimista lisää alkuvuoden 2018 aikana. Luvassa on tietoja ohjelmistojen käyttöohjeiden, sopimusten ja palvelukuvausten päivityksistä. Konesalipalvelun piiriin kuuluville asiakkaillemme tuotamme yleisen kuvauksen järjestelmien ja palveluiden jatkuvasta turvallisuustasosta, luottamuksellisuudesta, eheydestä, käytettävyydestä ja vikasietoisuudesta.

    Tarvittaessa lisätietoja antaa Maestron tietosuojavastaava Joona Kokkola, sähköposti joona.kokkola@maestro.fi

Edellinen artikkeli

Osallistu asiakastyytyväisyyskyselyyn – voita iPhone X!

Jaa LinkedInissä
Jätä yhteydenottopyyntö