Blogi

GDPR-vaatimukset – näin yrityksesi pitää valmistautua

Kirjoittanut Panu Palmu 29.8.2017 10:23

GDPR tuo mukanaan vaatimuksia, joista yrityksen tulee olla tietoinen, jotta mahdollisilta sanktioilta vältytään. Katso lista käytännön toimenpiteistä, joiden tulee olla tehtynä siirtymävaiheen loppuun mennessä. 

eteva-illustration_deadline-large.svg

Siirtymävaihe loppuu 25.5.2018, minkä jälkeen organisaatio voi saada merkittäviä sanktiota ja sakkoja, mikäli seuraavaksi mainitut toimenpiteet eivät ole tehtyinä. GDPR-yhteensopivuuden saavuttaminen ja toteutettavat muutokset voivat vaatia yritykseltä paljon työtä.

Toteuta nämä toimenpiteet

Viranomaisia varten tulee organisaatiolla olla tietyt dokumentit, joilla osoitetaan asiaan perehtyminen ja oikeiden askeleiden toteuttaminen. Pelkkiä dokumenttejä ei kuitenkaan voi tehdä ottamatta kantaa käytännön asioihin. Se mitä dokumenteissa luvataan, tulee olla käytännössä myös toteutettu.

Merkittävimmät dokumentit ja vaiheet ovat:

Lue tarkemmat tiedot dokumenttien sisällöstä tästä blogikirjoituksesta.

Miten vaatimusten toteuttaminen etenee?

eteva-illustration_Prosess.svg

Aluksi GDPR-projektin toteuttaja haastattelee yrityksen työntekijöitä, alihankkijoita sekä yhteistyökumppaneita. Hän kirjaa ylös toimintatapoja sekä käytännön ratkaisuja, joilla tietoja käsitellään. Samalla hän luo dokumentteja sekä listaa mahdollisia puutoksia ja tarvittavia toimenpiteitä.

Kartoituksessa voidaan esimerkiksi todeta, että tietoturvapolitiikkaa pitää täsmentää. Tällöin voi olla tarpeen toteuttaa seuraavia asioita:

  • Työntekijöille ohjeistetaan, ettei työasemaa saa jättää lukitsematta
  • Työasemat ja matkapuhelimet tyhjennetään tietoturvallisesti IT-osaston (tai tukifirman) toimesta
  • Asiakasrekisteriin pääsy rajataan vain oleellisille henkilöille
  • Tilitoimistolta pyydetään rekisteriseloste palkanlaskentajärjestelmän henkilörekisteristä

Pääosin monet toimenpiteet ja tietoturvan kiristykset ovat hyödyllisiä ja jopa vahvasti suositeltuja kaikille organisaatioille.

Voiko GDPR-projektin toteuttaa itse?

Yrityksen on mahdollista toteuttaa GDPR-projekti itse, jolloin tietosuoja-asetuksen vaatimat dokumentit, kartoitukset ja toimenpiteet käydään omatoimisesti läpi. Täältä löydät viranomaisten PDF-dokumentin, jossa on käyty lakiuudistus läpi. Täältä löydät ohjeita tietotilinpäätöksen toteuttamiseen.

Projektiin on hyvä varata aikaa kolmesta neljään viikkoa. Perehtymiseen* voi varata ainakin viikon tai kaksi, minkä jälkeen kolmas viikko kuluu asioiden läpikäynnissä. Tehokkaasti tehtynä itse työssä kulunee vain muutamia päiviä. Tämä on kuitenkin vain minimiarvio pienelle yritykselle, sillä tarpeet kasvavat yrityksen koon mukana.

*Perehtymisellä tarkoitetaan, että projektin toteuttava henkilö ei ole kuullut aiheesta tätä blogia juurikaan enempää ja joutuu paneutua asiaan kunnolla. 

Projektin osto on suositeltavaa

Mikäli yrityksellä ei ole omaa lakiosastoa, voi GDPR-projektin ostaminen olla viisas päätös. Asiaan perehtynyt konsultti/lakimies/tietohallinto-osaaja tietää, miten tulee toimia ja osaa toteuttaa projektin tehokkaasti. Tällöin organisaatiolle ei myöskään jää pelkoa siitä, että asioita olisi käsitelty väärin.

Projektin voi saada toteutettua jopa muutamassa päivässä, riippuen toki organisaatiosta. Kustannukset voivat olla alimmillaan vain 3000 – 5000 euroa. On kuitenkin hyvä huomioida, että jotkin käytännön toteutukset organisaatio joutuu tekemään / teetättämään erikseen. 

Lue myös:

 

Eteva GDPR