GDPR-vaatimukset – näin yrityksesi pitää valmistautua

Kirjoittanut Panu Palmu 8/2017

 

GDPR_tietoturva-1

 

GDPR tuo mukanaan vaatimuksia, joista yrityksen tulee olla tietoinen, jotta mahdollisilta sanktioilta vältytään. Katso lista käytännön toimenpiteistä, joiden tulee olla tehtynä siirtymävaiheen loppuun mennessä. tai organisaatio voi saada merkittäviä sanktiota ja sakkoja. 


Kuinka valmistautua EU-tietosuoja asetukseen

Viranomaisia varten tulee organisaatiolla olla tietyt dokumentit, joilla osoitetaan asiaan perehtyminen ja oikeiden askeleiden toteuttaminen. Pelkkiä dokumenttejä ei kuitenkaan voi tehdä ottamatta kantaa käytännön asioihin. Se mitä dokumenteissa luvataan, tulee olla käytännössä myös toteutettu.

Merkittävimmät dokumentit ja vaiheet ovat:

Lue tarkemmat tiedot dokumenttien sisällöstä tästä blogikirjoituksesta.

 

Miten vaatimusten toteuttaminen etenee?

Aluksi GDPR-projektin toteuttaja haastattelee yrityksen työntekijöitä, alihankkijoita sekä yhteistyökumppaneita. Hän kirjaa ylös toimintatapoja sekä käytännön ratkaisuja, joilla tietoja käsitellään. Samalla hän luo dokumentteja sekä listaa mahdollisia puutoksia ja tarvittavia toimenpiteitä.

Kartoituksessa voidaan esimerkiksi todeta, että tietoturvapolitiikkaa pitää täsmentää. Tällöin voi olla tarpeen toteuttaa seuraavia asioita:

  • Työntekijöille ohjeistetaan, ettei työasemaa saa jättää lukitsematta
  • Työasemat ja matkapuhelimet tyhjennetään tietoturvallisesti IT-osaston (tai tukifirman) toimesta
  • Asiakasrekisteriin pääsy rajataan vain oleellisille henkilöille
  • Tilitoimistolta pyydetään rekisteriseloste palkanlaskentajärjestelmän henkilörekisteristä

Pääosin monet toimenpiteet ja tietoturvan kiristykset ovat hyödyllisiä ja jopa vahvasti suositeltuja kaikille organisaatioille.

 

Voiko GDPR-projektin toteuttaa itse?

Yrityksen on mahdollista toteuttaa GDPR-projekti itse, jolloin tietosuoja-asetuksen vaatimat dokumentit, kartoitukset ja toimenpiteet käydään omatoimisesti läpi. Täältä löydät viranomaisten PDF-dokumentin, jossa on käyty lakiuudistus läpi. Täältä löydät ohjeita tietotilinpäätöksen toteuttamiseen.

Projektiin on hyvä varata aikaa kolmesta neljään viikkoa. Perehtymiseen* voi varata ainakin viikon tai kaksi, minkä jälkeen kolmas viikko kuluu asioiden läpikäynnissä. Tehokkaasti tehtynä itse työssä kulunee vain muutamia päiviä. Tämä on kuitenkin vain minimiarvio pienelle yritykselle, sillä tarpeet kasvavat yrityksen koon mukana.

*Perehtymisellä tarkoitetaan, että projektin toteuttava henkilö ei ole kuullut aiheesta tätä blogia juurikaan enempää ja joutuu paneutua asiaan kunnolla. 

 

Projektin ostaminen on suositeltavaa

Mikäli yrityksellä ei ole omaa lakiosastoa, voi GDPR-projektin ostaminen olla viisas päätös. Asiaan perehtynyt konsultti/lakimies/tietohallinto-osaaja tietää, miten tulee toimia ja osaa toteuttaa projektin tehokkaasti. Tällöin organisaatiolle ei myöskään jää pelkoa siitä, että asioita olisi käsitelty väärin.

Projektin voi saada toteutettua jopa muutamassa päivässä, riippuen toki organisaatiosta. Kustannukset voivat olla matalimmillan vain 3000 – 5000 euroa. On kuitenkin hyvä huomioida, että jotkin käytännön toteutukset organisaatio joutuu tekemään / teetättämään erikseen. 

 

Eteva GDPR

Lue myös:

 

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa

 

Kaipaatko apua GDPR-vaatimuksien toteuttamisessa? Ota yhteyttä!

GDPR termit – ota GDPR kunnolla haltuun

GDPR tarkoittaa suomeksi EU tietosuoja-asetusta. Aiheeseen liittyy myös useita muita termejä ja sanoja, jotka on hyvä olla hallussa asetuksesta puhuttaessa...

Vastaamo - Tietomurto joka kaatoi koko yrityksen

Psykoterapiakeskus Vastaamon liiketoiminta on myyty konkurssiuhan takia. Tämä on pahin mahdollinen tilanne, jonka tietomurto voi aiheuttaa...

Mikä on GDPR EU-tietosuoja-asetus? Apua?

GDPR eli General Data Protection Regulation on vuonna 2016 voimaan tullut EU:n tietosuoja-asetus, joka korvaa vuoden 1995 henkilödirektiivin.