Tietosuoja-asetus laittaa organisaatioiden toimintatavat suurennuslasin alle

Tietosuoja-asetuksen soveltaminen

Lähtölaskenta Euroopan unionin tietosuoja-asetuksen soveltamiseen on käynnissä, ja aktiivisimmat organisaatiot ovat jo pitkällä kehitystyön kimpussa. Ensimmäiset kehityshankkeet ovat antaneet KPMG:n asiantuntijoille hyvän näkymän yleisimpiin tietosuojan kipukohtiin Suomessa.

1000
Tietosuojaa

Viitisen vuotta valmisteilla olleen Euroopan unionin tietosuoja-asetuksen voimaantulopäivä lyötiin lukkoon viime keväänä. Asetus astuu voimaan 25.5.2018, eli organisaatioilla on noin puolitoista vuotta aikaa saattaa toimintamallinsa vaaditulle tasolle. H-hetken selvittyä kiinnostus on kasvanut nopeasti, ja useat organisaatiot ovat siirtyneet odottelumoodista selvittämään järkevintä etenemistapaa. – Asiakkaamme ovat viime kuukausina heränneet tilanteeseen joukolla. Se on hyvä asia, sillä asetusta aletaan lopulta soveltaa varsin pian. Jos organisaatiossa herää aavistus siitä, että ulkopuolista apua tarvitaan, liikkeelle on syytä päästä ajoissa, suosittelee KPMG:n tietosuoja-asiantuntija Mikko Viemerö.

Muutos on iso, ja tietosuojan hallinnoinnin sekä henkilötietojen käsittelynkäytäntöjen päivittäminen vie aikansa. KPMG:n asiantuntijatiimi lähestyy asiakkaidensa muutostarpeita kolmivaiheisella käytännönläheisellä kehitysprosessilla, jossa tarkastelunäkökulma on sekä juridinen, hallinnollinen että tekninen. Ensimmäisellä etapilla kartoitetaan organisaation ydintoimintaan liittyvät toimintatavat tietosuojan hallinnoinnissa ja henkilötietojen käsittelyssä. Erilaiset tietosuojariskit analysoidaan, jotta korjaussuositukset kyetään priorisoimaan ja aikatauluttamaan oikein. Toimeksiannon toisessa vaiheessa korjattavista kohteista hahmotellaan helposti hallittavia kokonaisuuksia ja laaditaan tiekartta varsinaista kehitystyötä varten. Urakan kolmas vaihe – itse kehitystyö –saattaa kestää organisaatiosta riippuen muutamista kuukausista yli vuoteen. 

 

Mikä osoitusvelvollisuus?

Tietosuoja-asetuksen ydinperiaatteita ovat muun muassa henkilötietojen käsittelyn lainmukaisuus ja osoitusvelvollisuus. Osoitusvelvollisuus velvoittaa rekisterinpitäjän täyttämään henkilötietojen käsittelyssä asetuksen vaatimukset sekä organisatorisesti että teknisesti, ja tarvittaessa osoittamaan, että näin on todella toimittu. Pelkkä asetuksen uskollinen noudattaminen ei siis riitä: organisaation on myös aktiivisesti dokumentoitava, minkälaisilla toimenpiteillä se on täyttänyt vaatimukset. Osoitusvelvollisuus yhdistää tietosuoja-asetuksen kaikkia osa-alueita. Sen tärkein funktio on ohjata organisaatioita käsittelemään henkilötietoja läpinäkyvästi, huolellisesti ja turvallisesti sekä toimimaan todisteellisesti ja riskilähtöisesti. Tehtävät suojausvalinnat on siis suhteutettava suojattavien tietojen luonteeseen ja niihin liittyviin riskeihin.

 

Lue artikkeli kokonaan täältä. Voit myös ladata View-lehden pdf-muodossa sivun oikean ylälaidan linkistä.

© 2024 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved


For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance

Ota yhteyttä