TIETOSUOJAOPAS 37 Tämä tarkoittaa käytännössä sitä, että tietosuoja pitää huomioida jatkossa aina, esimerkiksi kun organisaation tietojärjestelmiä muutetaan tai otetaan käyttöön kokonaan uusi IT-järjestelmä. Seuraavissa luvuissa kuvataan organisaation tietosuojatoiminnan jatkuvan kehityksen malli. Mallin voidaan ajatella toimivan jatkuvan parantamisen kehänä, jossa edellisen vaiheen päätyttyä alkaa seuraava vaihe. Kehää toistamalla organisaatio varmistaa tietosuoja-asetuksen vaatimusten täyttymisen myös tulevaisuudessa. • Kartoitus – selvitä, mitä henkilötietoja organisaatiollasi on ja missä ne sijaitsevat • Hallinta – hallitse henkilötietojen käyttötapoja ja käyttöoikeuksia • Suojaus – ota käyttöön tietoturvakontrolleja haavoittuvuuksien ja tietoturvaloukkauksien estämiseksi, havaitsemiseksi ja niihin reagoimiseksi • Raportointi – reagoi tietopyyntöihin, ilmoita tapahtuneet tietoturvaloukkaukset ja säilytä vaadittu dokumentaatio. 12.2.1 Kartoitus Kartoitusvaiheessa käydään läpi koko organisaation toiminta henkilötietojen käsittelyn näkökulmasta. Kartoituksen lopputuloksena saadaan näkyvyys siihen, mistä henkilötiedot organisaatioon tulevat, missä ja miten niitä käsitellään ja säilytetään sekä miten ne poistuvat. Tietosuoja-asetuksen vaatimusten täyttäminen aloitetaan arvioimalla organisaation nykyiset tietosuoja- ja tiedonhallintakäytännöt. Ensimmäiseksi kartoitetaan organisaation henkilötietojen käsittelyn nykytila, laaditaan siihen kuuluva henkilötietoinventaario sekä käydään läpi henkilötietojen käsittelyyn liittyvät sopimukset mahdollisten ostopalvelujen osalta. Nykytilan selvittäminen ja henkilötietoinventaario Tietosuojatoiminnan nykytilan selvittämisellä tarkoitetaan organisaation nykyisen tietosuojaan liittyvän toiminnan arviointia verrattuna tietosuoja-asetuksen asettamiin vaatimuksiin. Sen lopputuloksena saadaan niin kutsuttu gap-analyysi tietosuojatoiminnan puutteista ja kehittämistarpeista. Gap-analyysilla tarkoitetaan nykytilan ja asetettujen vaatimusten täyttymisen välisiä kehitystoimenpiteitä. Tämän perusteella voidaan tehdä lista kehittämistoimista sekä kehittämissuunnitelma, jota toteuttamalla täytetään tietosuoja-asetuksen vaatimukset. Kehittämissuunnitelmaan on hyvä sisällyttää myös arviot kehittämistoimenpiteiden resurssitarpeista. Nykytila-analyysin osana organisaatio tunnistaa, mitä henkilötietoja se kerää, missä niitä säilytetään ja miten niitä käsitellään. Yksi analyysin osioista on organisaation henkilötietojen käsittelyn nykytila. Tähän kuuluu henkilötietoinventaario sekä tiedon elinkaariajattelun mukaisesti muun muassa seuraavat kokonaisuudet: • millaisia henkilötietoja käsitellään? • mistä, mitä kautta ja miten henkilötiedot tulevat organisaatioon? • missä henkilötietoja säilytetään? • millä (järjestelmät ja palvelut ml. ostopalvelut) henkilötietoja käsitellään? • kuka henkilötietoja käsittelee? • kuinka kauan henkilötietoja säilytetään? • milloin ja miten henkilötiedot hävitetään? Henkilötietoinventaario siis auttaa selvittämään, mitkä tiedot ovat henkilötietoja, ja tunnistamaan ne järjestelmät ja toiminnot, joissa kyseisiä tietoja kerätään, tallennetaan ja käsitellään. Inventaari pakottaa organisaation myös pohtimaan
RkJQdWJsaXNoZXIy Mjk0MTY=