Koska GDPR-säädöksen siirtymäajan loppuminen toukokuussa on ollut keskusteluissa yhä tiiviimmin eri toimialojen ja eri kokoisten yritysten kanssa, ja koska asia ei tunnu kovinkaan monelle olevan selvä, ajattelin kirjoittaa lyhyen artikkelin.

Näkökulmana minulla on kertoa mahdollisimman käytännönläheisesti mitä pienemmänkin yrityksen ainakin pitää tehdä valmistautuakseen GDPR-säädöksen mukaisesti.

GDPR-säädöksestä puhuttaessa käytetään usein GDPR-konsulttien tykkäämiä vaikeita sanoja, jotta saataisiin asiakkaat vakuutettua konsultin tarpeesta. GDPR-säädöksen aiheuttamat työt ovat mielestäni sen verran työläitä joka tapauksessa, että ilman asian vaikeammin esittämistäkin töitä näyttäisi olevan.

Jos kyseessä on isompi yritys, jolla tekemistä on luonnollisesti enemmän, tai haluat ymmärtää mitä kaikkea GDPR voi vaatia, löydät varmasti parempia kirjoituksia muualta. Tässä koitetaan avata mistä aloittaa ja mikä olennaisinta alussa, en yritäkään kertoa kaikkia yksityiskohtia.

GDPR-tarkastaja tulee ovelle

GDPR-säädöksen siirtymäajan loppumisen yhteydessä on peloteltu joka välissä säädökseen sisältyvällä uhkasakolla, joka on 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa, riippuen rikkomuksen vakavuudesta yms. No, kuinka helposti uhkasakko sitten tulee? En usko että kovin helposti. Mutta tarkastuksia tullaan tekemään ja puutteisiin tullaan puuttumaan.

Vähimmäisvaatimuksia mietittäessä voikin olla hyödyllistä lähestyä asiaa siltä kantilta, että jos EU-byrokraatti koputtelisi yrityksesi ovelle toukokuun lopussa nähdäkseen onko hommat kuosissa, niin mitä se tarkoittaa käytännössä.

Käytännössä se tarkoittaa, että tarkastaja haluaa nähdä kirjallista dokumentaatiota siitä, miten yritys on huolehtinut asiakkaidensa, henkilöstönsä ja muun aineiston tietosuojasta.

Mitä dokumentteja GDPR-tarkastaja haluaa nähdä?

Ennen kuin mennään käytännön yksityiskohtiin, niin on aika turvallista sanoa, että tärkeintä on varmaankin se, että homma on aloitettu ja on jotain näyttää aiheesta. Jos et edes tiedä yhtään mitään mitä näyttää kun tiukkailmeinen tarkastaja kyselee tietosuojasta, niin päätä ei silitellä.

Kirjailen tässä seuraavaksi tärkeimpiä dokumentteja, jotka pitäisi löytyä näytettäväksi kireälle EU-virkamiehelle:

Rekisteriseloste eli tietosuojaseloste = kuvaukset kaikista henkilörekistereistä

Jos yrityksellä on henkilötietoja jossakin, olisi niistä oltava kirjallinen kuvaus kustakin. Tämä tarkoittaa siis tietoja asiakkaistasi, henkilökunnastasi, potentiaalisia asiakkaita, markkinointirekistereitä jne. Rekistereiden sijainnilla ja muodolla ei ole merkitystä, kaikki olisi kirjattava. Tallennuspaikkana voi olla excel, pilvipalvelu, oma palvelin, kaikista pitäisi löytyä kuvaus.

Mitäs henkilörekisteristereistä pitäisi sitten kuvata? Valmiita pohjia löytyy, pääideana on kuitenkin kertoa:

  • miksi kyseistä rekisteriä tarvitaan yrityksen toiminnassa

  • mitä tietoja henkilöistä on tallennettu

  • miten tietojen turvallisuudesta on huolehdittu

  • mistä tiedot on hankittu

  • kuka on tietosuojasta vastaava henkilö yrityksessä

Tietotilinpäätös

Tietotilinpäätös on asia, josta puhutaan usein GDPR:n yhteydessä. Suomennettuna se on dokkari, jossa kuvataan miten yrityksessä on tietoturva hoidettu. Tärkein osio tässä on ehdottomasti riskianalyysi.

Siinä on kerrottu mm:

  • Miten tietoturva huomioitu fyysisesti, siis kulku luottamuksellisia tietoja sisältäviin tiloihin ja palvelintiloihin.

  • Yrityksen ohjelmistojen ja tietokoneiden tietoturva

  • Tietotuvasta vastaavat

  • Riskianalyysi, mitkä ovat todennäköisimmät ja suurimman riskin sisältävät tietoturvauhat yritykselle. Ja tietenkin suunnitelman miten niihin suhtaudutaan.

Sopimukset 

Yrityksen alihankinta- ja muiden sopimusten pitää kuvata miten tietosuojasta on huolehdittu ja vastuut. Tämä tarkoittaa sitä, että käytännössä monia olemassa olevia sopimuksia pitäisi päivittää vastaamaan GDPR-vaatimuksia.

Sinällään sopimusten vaatimat muutokset eivät ole suuria, periaatteessa lisäämällä muutaman asiaa selventävän asian joka sopimukseen asia on hoidettu. Mutta kuten kaikki sopimusten kanssa paljon puljanneet tietävät, käytännössä sopimusten uusiminen on tuskan tie.

Miten siis alkuun GDPR-säädöksen käytännön toteutuksessa:

  • Jos tässä kuvatut tuntuvat asiat tuntuvat siltä, että eivät tule syntymään omalla porukalla järjellisessä ajassa niin hanki ulkopuolista apua. Kuten mainittu, tämä on likipitäen vähimmäisvaatimus, jos yritys isompi tai käsiteltävät tiedot arkaluontoisia tulee muutakin.

  • Toteutat projektin sitten itse tai teetetään ulkopuolista apua, niin tee etenemissuunnitelma / nykytilan kuvaus

  • Sitten käydään läpi käytössä olevat henkilötietorekisterit, jolloin saadaan kirjoitettua tietosuojaselosteet kustakin rekisteristä

  • Tehdään kuvaus organisaation riskeistä tietosuojan osalta ja varautuminen riskeihin.

  • Sopimusten läpikäynti ja päivitys GDPR-säädöksen täyttämiseksi

mitk-kolme-asiaa-yrityksen-pitisi-ainakin-tehd-gdpr-sdksen-suhteen