GDPR tuo mukanaan vaatimuksia, joista yrityksen tulee olla tietoinen, jotta mahdollisilta sanktioilta vältytään. Katso lista käytännön toimenpiteistä, joiden tulee olla tehtynä siirtymävaiheen loppuun mennessä. tai organisaatio voi saada merkittäviä sanktiota ja sakkoja.
Kuinka valmistautua EU-tietosuoja asetukseen
Viranomaisia varten tulee organisaatiolla olla tietyt dokumentit, joilla osoitetaan asiaan perehtyminen ja oikeiden askeleiden toteuttaminen. Pelkkiä dokumenttejä ei kuitenkaan voi tehdä ottamatta kantaa käytännön asioihin. Se mitä dokumenteissa luvataan, tulee olla käytännössä myös toteutettu.
Merkittävimmät dokumentit ja vaiheet ovat:
-
-
-
-
- Tietotilinpäätös
- GAP-analyysi
- Rekisteriselosteet
- Tietosuojapolitiikka
- Käytännön tietoturvan toimenpiteet
-
-
-
Lue tarkemmat tiedot dokumenttien sisällöstä tästä blogikirjoituksesta.
Miten vaatimusten toteuttaminen etenee?
Aluksi GDPR-projektin toteuttaja haastattelee yrityksen työntekijöitä, alihankkijoita sekä yhteistyökumppaneita. Hän kirjaa ylös toimintatapoja sekä käytännön ratkaisuja, joilla tietoja käsitellään. Samalla hän luo dokumentteja sekä listaa mahdollisia puutoksia ja tarvittavia toimenpiteitä.
Kartoituksessa voidaan esimerkiksi todeta, että tietoturvapolitiikkaa pitää täsmentää. Tällöin voi olla tarpeen toteuttaa seuraavia asioita:
- Työntekijöille ohjeistetaan, ettei työasemaa saa jättää lukitsematta
- Työasemat ja matkapuhelimet tyhjennetään tietoturvallisesti IT-osaston (tai tukifirman) toimesta
- Asiakasrekisteriin pääsy rajataan vain oleellisille henkilöille
- Tilitoimistolta pyydetään rekisteriseloste palkanlaskentajärjestelmän henkilörekisteristä
Pääosin monet toimenpiteet ja tietoturvan kiristykset ovat hyödyllisiä ja jopa vahvasti suositeltuja kaikille organisaatioille.
Voiko GDPR-projektin toteuttaa itse?
Yrityksen on mahdollista toteuttaa GDPR-projekti itse, jolloin tietosuoja-asetuksen vaatimat dokumentit, kartoitukset ja toimenpiteet käydään omatoimisesti läpi. Täältä löydät viranomaisten PDF-dokumentin, jossa on käyty lakiuudistus läpi. Täältä löydät ohjeita tietotilinpäätöksen toteuttamiseen.
Projektiin on hyvä varata aikaa kolmesta neljään viikkoa. Perehtymiseen* voi varata ainakin viikon tai kaksi, minkä jälkeen kolmas viikko kuluu asioiden läpikäynnissä. Tehokkaasti tehtynä itse työssä kulunee vain muutamia päiviä. Tämä on kuitenkin vain minimiarvio pienelle yritykselle, sillä tarpeet kasvavat yrityksen koon mukana.
*Perehtymisellä tarkoitetaan, että projektin toteuttava henkilö ei ole kuullut aiheesta tätä blogia juurikaan enempää ja joutuu paneutua asiaan kunnolla.
Projektin ostaminen on suositeltavaa
Mikäli yrityksellä ei ole omaa lakiosastoa, voi GDPR-projektin ostaminen olla viisas päätös. Asiaan perehtynyt konsultti/lakimies/tietohallinto-osaaja tietää, miten tulee toimia ja osaa toteuttaa projektin tehokkaasti. Tällöin organisaatiolle ei myöskään jää pelkoa siitä, että asioita olisi käsitelty väärin.
Projektin voi saada toteutettua jopa muutamassa päivässä, riippuen toki organisaatiosta. Kustannukset voivat olla matalimmillan vain 3000 – 5000 euroa. On kuitenkin hyvä huomioida, että jotkin käytännön toteutukset organisaatio joutuu tekemään / teetättämään erikseen.
Lue myös:
09 - 42 550 338
