TIETOSUOJAOPAS 38 miksi henkilötietoja kerätään, mihin niitä käytetään, miten niitä käsitellään ja jaetaan sekä miten kauan tietoja säilytetään. Nykytilan selvittämisen sekä siitä saatavan gap-analyysin tuloksista voidaan laatia vaatimukset myös uusille, aloitettaville hankkeille. Näin varmistetaan tietosuoja-asetuksen vaatimusten täyttyminen myös tulevassa toiminnassa. Nykytila-analyysin tekemiseen voi ja usein kannattaa hankkia myös ulkopuolista apua, esimerkiksi konsultointipalveluja tarjoavilta tahoilta. Sopimusten läpikäynti Useimmat organisaatiot ostavat palveluja, joissa käsitellään henkilötietoja myös kolmansilta osapuolilta. Tietosuoja-asetuksen mukaan on tällöin usein kyse jaetusta vastuusta asiakkaan (rekisterinpitäjä) ja palveluntarjoajan (käsittelijä) välillä. Rekisterinpitäjä on kuitenkin vastuussa henkilötietojen käsittelystä myös ostopalvelujen osalta. Ostopalveluihin liittyvät palvelusopimukset pitääkin käydä läpi tietosuoja-asetuksen vaatimusten näkökulmasta ja korjata mahdolliset puutteet sopimuksissa uusimalla sopimukset tai tekemällä olemassa oleviin sopimuksiin uudet liitteet tietosuojan osalta. Lisäksi pitää varmistaa, mitä henkilötietojen siirtämisestä EU:n tai Euroopan talousalueen ulkopuolelle on sovittu. 12.2.2 Hallinta Hallintavaiheessa organisaatiolle luodaan henkilötietojen hallintasuunnitelma. Tietosuoja-asetus takaa rekisteröidyille mahdollisuudet hallita tapoja, joilla heidän henkilötietojaan kerätään, käytetään ja käsitellään. Rekisteröidyt voivat esimerkiksi pyytää, että organisaatio antaa heihin liittyvät tiedot, siirtää heidän henkilötietonsa muuhun palveluun, korjaa heidän henkilötiedoissaan olevat virheet tai poistaa heihin liittyvät henkilötiedot. Toinen vaihe on luoda organisaatiolle henkilötietojen hallintasuunnitelma, jossa määritellään henkilötietojen käyttöoikeudet, hallinta sekä käyttöön liittyvät käytännöt, käytänteet, roolit ja vastuut. Henkilötietojen hallintasuunnitelma Henkilötietojen hallintasuunnitelmassa kuvataan käytännön tasolla henkilötietojen hallinta organisaatiossa. Kartoitusvaiheessa luotu henkilötietoinventaari on ensimmäinen vaihe tämän suunnitelman laadinnassa. Suunnitelma auttaa varmistamaan, että henkilötietojen käsittelykäytännöt ovat tietosuoja-asetuksen asettamien vaatimusten mukaisia. Lisäksi henkilötietojen hallintasuunnitelma takaa, että organisaatio voi ja pystyy toteuttamaan rekisteröityjen mahdolliset tietojen korjaus-, siirto- tai poistopyynnöt. 12.2.3 Suojaus Suojausvaiheessa otetaan käyttöön tietoturvakontrollit haavoittuvuuksien havaitsemiseksi, tietomurtojen estämiseksi ja niihin reagoimiseksi. Organisaatiot tiedostavat nykyisin entistä paremmin tietoturvan ja tietojen suojauksen merkityksen. Tietosuoja-asetus nostaa tietoturvan ja tietosuojan toteuttamisen kuitenkin uudelle tasolle. Asetus edellyttää, että organisaatiot suojaavat henkilötiedot katoamiselta, luvattomalta käytöltä ja paljastumiselta riittävin ja soveltuvin teknisin ja hallinnollisin keinoin.
RkJQdWJsaXNoZXIy Mjk0MTY=