Sovelton GDPR-projekti päivitti henkilötietosuojakäytännöt

Sovelton GDPR-projekti päivitti henkilötietosuojakäytännöt

Ensi kesänä voimaan astuva EU:n laajuinen tietosuoja-asetus GDPR edellytti päivitystä myös Sovelton tietosuojakäytäntöihin. Toteutimme yrityksen sisällä viisivaiheisen uudistusprojektin, joka käynnistyi elokuussa lähtötilanteen selvittämisellä sekä nykytilakartoituksella.

Lähtötilanne ja projektin toteutus

Tavoitteenamme oli täyttää GDPR:n asettamat vaatimukset jokaisella osa-alueella. Syyskuussa projektin ensimmäisessä työpajassa kävimme yhdessä lakitoimiston edustajien kanssa läpi Soveltossa käsiteltäviä henkilötietoja sekä niiden käsittelemiseen liittyviä menettelytapoja. Listasimme niitä sisältävät tietojärjestelmät sekä tarkastimme henkilötietojen käsittelyyn liittyvät sopimukset ja dokumentit.

Tietoja kerätessämme oli avartavaa konkreettisesti huomata, kuinka laajalle henkilödata voi ulottua. Kun kuvioihin tulee jatkuvasti enemmän palveluita, palvelimia ja pilviä, yhä useammalta yrityksen ulkopuoliselta henkilöltä on pyydettävä lupa tietosuojaliitteeseen. Myös markkinointilupien asianmukaisuus sekä webinaareissamme mahdollisesti kertyvät osoitetiedot oli otettava huomioon.

Kun olimme saaneet kattavan käsityksen lähtötilanteesta, aloimme kartoittaa kehitystarpeita ja mahdollisia toimenpiteitä, joita uudet vaatimukset edellyttivät. Keräämämme datan pohjalta lakitoimisto laati lokakuussa yksityiskohtaisen väliraportin, jossa he kertoivat, mikä on tietosuoja-asioidemme nykytila ja mitä toimenpiteitä vaaditaan, jotta pääsisimme uuden asetuksen vaatimalle tasolle. Muutostoimenpiteet kohdistuivat pitkälti sopimuksiin, prosesseihin ja ohjeistuksiin, ja avainasemaan nousivat tietoturva- ja tietosuojavastaavien roolien ja vastuualueiden määrittelyt. Myös viestintästrategian määrittely sekä tiedotteiden ja ohjauksen varmistaminen olivat tärkeä osa prosessia, säännöllisten tietoturvakoulutusten ohella. Varsinaisessa implementointivaiheessa laadimme dokumentit sekä prosessisuunnitelman, ja lisäksi jokaisesta henkilötietoja sisältävästä rekisteristämme oli tehtävä seloste.

Tietotilinpäätös

Koko projekti tähtää kohti tietotilinpäätöstä. Se on organisaation laatima vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää, sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Isossa kuvassa tietotilinpäätös tarkoittaa lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä. Henkilötietojen käsittelyssä se tarkoittaa käyttötarkoitussidonnaisuutta, minimointia, täsmällisyyttä ja säilytyksen rajoittamista sekä eheyttä ja luottamuksellisuutta. Tietotilinpäätöksessämme käytämme 19:n kohdan listaa, joka täyttää GDPR:n edellyttämän osoitusvelvollisuuden.

Projektin myötä saimme luoduksi laadukkaan ja jatkuvan prosessin, joka takaa GDPR:n vaatimuksenmukaisuuksien täyttymisen myös jatkossa. Valtavan ja hajautuneen tietomäärän lisäksi olimme yllättyneitä siitä, kuinka paljon koko projektiin liittyi prosessin määrittelyä ja muita velvoitteita. Huomasimme, että oli korkea aika saada nämä kyseiset osa-alueet vaaditulle tasolle. Vaikka prosessi oli erittäin laaja-alainen ja työmäärä oli suuri, on silti huojentavaa tietää, että nyt asiat ovat hoidossa ja yrityksen sisällä kaikki on järjestyksessä ja selkeää.

Tutustu: GDPR Fast Track »