Suomessa on vuoden 2018 tietosuoja-asetuksen voimaan tulon jälkeen ollut useita tietosuojavuotoja. Olemme laatineet lukuisia tietosuojaselosteita ja muita tietosuoja-asiakirjoja asiakkaillemme, auttaen laittamaan organisaatioiden tietosuoja asiat kuntoon. Tietosuoja-asetuksen mukaan tietosuojan taso on oltava kirjallisesti todennettava. Tässä kirjoituksessa käydään läpi, mitä asiakirjoja olisi hyvä laatia, jotta GDPR:n mukainen velvollisuus todentaa tietosuojan taso täyttyy. Kaikki niistä eivät ole pakollisia,
Tietosuojan varmistaminen on olennainen osa jokaisen organisaation vastuullista ja lainmukaista toimintaa. EU:n yleinen tietosuoja-asetus (GDPR) edellyttää, että henkilötietojen käsittely on läpinäkyvää, hallittua ja dokumentoitua. Monelle organisaatiolle tietosuoja on kuitenkin edelleen hajallaan oleva kokonaisuus – tai pahimmillaan lähes kokonaan huomioimatta. Tässä artikkelissa käydään läpi keskeiset asiakirjat, joiden avulla tietosuojatyö saadaan hallintaan ja todennettavaksi. Kunnossa oleva tietosuoja vahvistaa myös yrityksen kilpailukykyä.
Tietosuojapolitiikka
Tietosuojapolitiikka toimii koko organisaation tietosuojatyön perustana. Se on johdon hyväksymä linjaus siitä, miten henkilötietoja organisaatiossa käsitellään, millaisia tavoitteita tietosuojalle on asetettu ja miten niitä seurataan. Kyseinen ohjeistus on liikesalaisuus, eikä sitä tulisi jakaa sellaisenaan yrityksen ulkopuolelle. Tietosuojapolitiikka voi myös sisältää yksityiskohtaiset ohjeet tietosuojan ja tietoturvan toteuttamisesta. Politiikka osoittaa sitoutumisen tietosuojaan ja luo raamit käytännön toimille. Tietosuojapolitiikka toimii perusasiakirjana kaikille muille tietosuoja-asiakirjoille.
Tähän asiakirjaan voi sisällyttää myös toipumissuunnitelman. Toipumissuunnitelma on selostus vastuista ja tahoista, joille ilmoitetaan mahdollisten tietoturvaloukkausten tilanteissa. Siinä kuvataan, miten organisaatio reagoi, ilmoittaa ja korjaa tilanteen, jos henkilötietoja päätyy vääriin käsiin tai menetetään. Tietosuojapolitiikka voi sisältää myös rekisteröityjen oikeuksien toteuttamismenettelyt, eli kuinka pyynnöt oikaisuun, poistoon, tai tietojen siirtoon käsitellään käytännössä. Myös mahdolliset lokiseurannan ja valvonnan periaatteet voidaan kirjata tähän asiakirjaan. Tässä asiakirjassa voidaan myös käydä läpi keskeiset kirjalliset sopimukset, jotka määrittävät osapuolten vastuut.
Riskianalyysi
Riskianalyysi eli Data Protection Impact Assessment (DPIA) eli vaikutustenarviointi tehdään, kun henkilötietojen käsittely aiheuttaa korkean riskin rekisteröidyn oikeuksille. DPIA auttaa tunnistamaan ja lieventämään riskejä ja se voidaan tehdä ennen uuden järjestelmän käyttöönottoa tai tunnistamaan suurimmat riskit olemassa olevassa ympäristössä. Vaikutustenarvioinnin yhteydessä löydetyt riskit tulee minimoida.
Tietoinventaario
Tietoinventaario on kuvaus tietosuojan nykytilasta ja se on yhtiön sisäinen asiakirja. Tietoinventaario kokoaa yhteen kaikki käsiteltävät henkilötiedot ja niiden käyttötarkoitukset. Se auttaa ymmärtämään, mitä tietoa kerätään, missä se sijaitsee ja kuka sitä käsittelee. Tietoinventaario tarjoaa ajantasaisen tilannekuvan henkilötietojen käsittelyn nykytilasta sekä arvion tietosuojan toteutumisesta. Tietoinventaario on yksi raportoinnin muoto yhdistyksille ja yhteisöille ja se keskittyy tietosuojakysymyksiin, tietovarantoihin ja tietoturvallisuuteen. Tietoinventaariossa selvitetään, mikä on henkilötietojen lähde, mitä tietoja tallennetaan ja missä tietoja säilytetään sekä kenellä on tietoihin pääsyoikeus. Lisäksi siinä tulisi selvittää, mikä taho on tietojen käsittelijä ja mikä rekisterinpitäjä sekä minne tietoja siirretään. Inventaario on tärkeä työkalu riskienhallinnan ja lakisääteisten velvoitteiden toteuttamisessa.
Tietosuojaohjeet henkilökunnalle
Tietosuojatyö onnistuu vain, jos henkilöstö tietää, miten toimia arjessa. Sisäiset ohjeet voivat sisältää käytännön toimintamalleja esimerkiksi sähköpostin, salasanojen, asiakasrekisterin tai mobiililaitteiden käytöstä. Ohjeiden on oltava selkeitä ja helposti saatavilla. Tietosuojaohjeet tulee perehdyttää työntekijöille ja niiden noudattamista tulee valvoa sekä kouluttaa henkilökuntaa tarvittaessa. Koulutuksen ja tietoisuuden osoittaminen auttaa myös viranomaisvalvonnassa.
Tietosuojaselosteet
Tietosuojaselosteet ovat läpinäkyvyyden väline asiakkaille ja työntekijöille. Asiakkaille suunnattu tietosuojaseloste on yleensä nähtävillä yhtiön verkkosivuilla ja sen tehtävänä on kertoa asiakkaille tai muille toimijoille, miten heidän luovuttamiaan henkilötietoja käsitellään. Työntekijöille on yleensä hyvä tehdä oma tietosuojaseloste, joka kertoo, miten henkilötietoja käsitellään ja mitä tarkoitusta varten. Tietosuojaselosteet kertovat, mitä henkilötietoja kerätään, mihin tarkoituksiin, kuka niitä käsittelee ja mitä oikeuksia rekisteröidyllä on. Selosteita siis laaditaan erikseen eri rekistereille ja yleensä niitä tarvitaan vähintään nämä kaksi.
Tietotilinpäätös
Tietotilinpäätös on ulkoinen asiakirja, eli se on yhteenveto tietosuojatyöstä, jonka avulla organisaatio voi osoittaa avoimuutta sidosryhmille, eli asiakkaille, yhteistyökumppaneille ja viranomaisille. Se sisältää kuvauksen henkilötietojen käsittelystä, riskeistä, toteutetuista toimenpiteistä ja kehityskohteista. Tietotilinpäätöksen julkaiseminen tukee luottamuksen rakentamista. Tietotilinpäätöstä tai osia siitä voidaan käyttää myös markkinointiin, eli viestimään siitä, että tietosuoja-asiat ovat korkealla yhtiön arvoissa. Hyvin laadittu tietosuojaviestintä, kuten nettisivujen tietosuojakuvaukset ja asiakasviestit, vahvistavat luottamusta. Ulkoiset materiaalit viestivät selkeästi, että organisaatio ottaa yksityisyyden suojan vakavasti. Ne toimivat myös asiakaspalvelun tukena kysymyksissä, jotka koskevat henkilötietojen käsittelyä.