Tietosuojamalli.fi on selainkäyttöinen palvelu tietosuojatyön hallintaan ja uuteen EU:n laajuiseen tietosuoja-asetukseen vastaamiseen. Se tarjoaa valmiin projektisuunnitelman, jonka avulla kuljette askel askeleelta kohti GDPR-vaatimustenmukaisuutta. Ymmärrät vaatimukset, saat selkeän suunnitelman tietosuojatyöhön sekä työkalut kollegoidesi osallistamiseen hommiin.
Miksi Tietosuojamallia tarvitaan (nyt)?
Uusi GDPR-asetus astuu voimaan 05/2018 ja tuo paljon uutta henkilötietojen käsittelyyn. Se vaatii paitsi teknologista kehittämistä myös kulttuurillista muutosta siihen, miten ihmisten henkilötietojen keräämiseen ja käsittelyyn suhtaudutaan.
Asetus mm. laajentaa rekisteröityjen oikeuksia roimasti ja siirtää todistustaakan tietosuojavaatimusten noudattamisesta viranomaiselta rekisterin pitäjälle. Tämä kaikki tarkoittaa, että organisaatiot joutuvat kiinnittämään enemmän huomiota tietosuojaan liittyviin käytäntöihinsä sekä niiden kattavaan dokumentointiin ja ohjeistamiseen. Yleisemmin tavoitteena on parantaa EU-kansalaisen tietosuojaan liittyviä oikeuksia sekä harmonisoida kuluttajasuojaa EU-alueella.
Riippuen organisaation nykyisestä tietosuoja-asioiden tasosta, uutta opeltavaa, tekemistä ja huolehdittavaa on yleensä joko paljon tai erittäin paljon. Töiden aloittamisella alkaa olla kiire, jotta vältytään paniikinomaiselta tuskatilalta ensi keväänä.
Riippuen organisaation nykyisestä tietosuoja-asioiden tasosta, uutta opeltavaa, tekemistä ja huolehdittavaa on yleensä joko paljon tai erittäin paljon.
Tietosuojamalli on luotu, jotta liikkeelle ei tarvitse lähteä tyhjästä. Jokaisen ei ole järkevää kaivaa 100-sivuista pdf-asetusta esiin ja lähteä etsimään teille tärkeimpiä kohtia sieltä. Me olemme tehneet tämän pohjatyön. Tietosuojamallin avulla pääset hyvin liikkeelle ja saat teeman itse haltuun. Koulutusta ja konsultointia voit myöhemmin käyttää tarvittavissa avainkohdissa.
Jatka eteenpäin, jos haluat tietää palvelun toiminnasta hieman tarkemmin.
Miten Tietosuojamalli toimii?
Tietosuojamalli tarjoaa teille valmiiksi osiin jaotellun pohjasisällön, joka tekee tietosuojan hahmottamisen helpommaksi.
GDPR-asetuksessa osa vaatimuksista liittyy rekistereihin, osa kumppanien suorittamaan henkilötietojen käsittelyyn, osa tietojärjestelmiin, ja niin edelleen. Yhtenä klönttinä kokonaisuutta on vaikeaa hahmottaa, mutta osiin paloiteltuna työstä tulee selkeämpää.
Kun luot oman Tietosuojamalli-tilin, saat tässä kirjoituksessa kuvatunlaisen mallipohjan, jonka kautta voit lähteä edistämään tietosuojatyötä seuraavasti:
1. Hahmota tietosuojan kokonaisuus työpöydältä
Tietosuoja voi tuntua aluksi hankalasti hahmotettavalta teemalta. Yhteen listaan runtattu ja melko vaikeasanaisesti kirjoitettu GDPR-asetus ei tätä yhtään helpota.
Tietosuojamallissa tietosuoja on jaettu pienempiin palasiin. Tietojärjestelmät, kumppanit, rekisterit, turvallisuustoimenpiteet, vaikutustenarvioinnit... Ne ovat kaikki tärkeitä osasia hyvässä tietosuojan hallinnassa. Tietosuojamallin avulla ymmärrät heti, mitä kunkin osa-alueen suhteen on syytä käydä läpi ja dokumentoida.
Tietosuojamalli sisältää kattavan pohjasisällön, josta saat esimerkiksi valmiin projektisuunnitelman koko tietosuojatyöhön sekä omat tarkistustehtävät jokaista tietojärjestelmää, kumppania, rekisteriä, jne. kohtaan. Myös virallinen asetusteksti on jokaisessa kohdassa aina kätesi ulottuvilla. Sen varmistaa ilmainen Tietosuojatieto.fi-sivusto ja suorat linkitykset sen artikkeleihin Tietosuojamalli-palvelusta.
2. Etene valmiin projektisuunnitelman avulla
Tietosuoja on laaja kokonaisuus, jota lähestytään usein kouluttautumalla tai ottamalla konsultti neuvomaan, miten pitäisi toimia. Emme halua väheksyä näitä lähestymistapoja, mutta näissäkin tilanteissa varsinaiset toimenpiteet (omien tietosuojakäytäntöjen muodostaminen, dokumentointi, opettaminen henkilöstölle, jne.) jäävät lopulta omille harteille.
Laajasta teemasta voi olla omin avuin vaikeaa saada kiinni. Tietosuojamalli antaa valmiin projektisuunnitelman, joka antaa hyväksi todetun järjestyksen ja askeleet, joiden kautta kohti GDPR-vaatimustenmukaisuutta kuljetaan.
Kun etenette fiksusti, tietosuojatyö muodostaa ymmärrettävän kokonaisuuden, joka on helppoa opettaa muillekin. Haltuunne ei synny vaan epämääräistä kasaa erilaisia dokumentteja ja palaverimuistiinpanoja. Tietosuojan perusteet ovat yhteiset jokaiselle organisaatiolle, joten valmista projektisuunnitelmaa kannattaa hyödyntää.
3. Valmiit tehtävälistat tietosuojan avainasioita varten
Tietosuojamallissa dokumentaatio jakautuu pääosin kuuden tietosuojan avainasian alle. Näitä ovat tietojärjestelmät, kumppanit, rekisterit, turvallisuustoimenpiteet, rekisteröidyn oikeudet sekä vaikutustenarvioinnit.
Jokaisen avainasian suhteen Tietosuojamalli tarjoaa valmiin työlistan asioista, jotka pitäisi huolehtia kuntoon. Nämä ovat tehtäviä, jotka luodaan automaattisesti, kun esimerkiksi uusi tietojärjestelmä lisätään.
Tehtävät nostavat esille ne vaatimukset, jotka hyvän tietosuojan varmistamiseksi tai tietosuoja-asetuksen noudattamiseksi on oltava kunnossa. Tehtäviin vastataan kirjoittamalla muistiinpanoja, luomalla alitehtäviä, luomalla linkityksiä Tietosuojamallin muihin kohtiin, liittämällä selittäviä tiedostoja, ja niin edelleen. Näin tietosuojadokumentaationne muodostuu pala palalta yhteen paikkaan - ei erillisiksi tiedostoiksi sinne sun tänne.
Jokainen organisaatio törmää tietosuojatyössä asioihin, joissa vaatimuksia ei vielä pystytä täyttämään, vaan tarvitaan asioiden tarkistamista tai kehittämistä. Tietosuojamallin avulla voit listata nämä kehittävät toimenpiteet selvästi kunkin asiakohtdan alle alitehtävinä. Alitehtävien avulla hahmotatte konkreettisesti ns. "kuilua" nykytilan ja vaatimustenmukaisuuden välillä.
4. Luo älykästä dokumentaatiota klikkailemalla, älä turhaan "puurra wordissä"
Dokumentaation ei aina tarvitse tarkoittaa hankalasti löydettäviä ja hyödynnettäviä word- tai excel-dokumentteja. Tietosuojamallissa iso osa dokumentaatiosta luodaan linkityksinä. Henkilötieto liittyy tietojärjestelmään, tietojärjestelmä rekisteriin ja rekisteri sitä käsittelevään kumppaniin. Näin erilaisten tietojen välille syntyy älykkäitä yhteyksiä, eikä tätä tarvitse pitkästi sanallisesti jaaritella minnekään.
Laaja rekisteri voi pitää sisällään kymmeniä henkilötietoryhmiä, vetää yhteen monia tietojärjestelmiä ja sitä voidaan käsitellä useista eri organisaatioista. Tällaisten asiayhteyksien dokumentointiin on järkevää käyttää asiaan suunniteltua systeemiä.
5. Delegoi työtä ja ylläpidä hyvä tietosuojan taso - yhdessä.
Kun viette tietosuojatyötä eteenpäin, muodostuu eri osa-alueiden delegointi ja aikataulutus yhä tärkeämmäksi osaksi onnistumista. Tietosuoja on koko organisaation yhteinen asia, jossa yhteistyö yli yksikkörajojen on ensiarvoisen tärkeää. Tätä yhteistyötä ei kannata jättää heitteelle asiaan sopimattomien työkalujen takia.
Tietosuojamalli tukee sinua työn delegoinnissa. Sen avulla vastuutat kunkin tehtävän oikealle henkilölle ja annat määräpäivät työn etenemiselle. Tietosuojamallin "Minun työni" -osio pitää huolen siitä, että omalla vastuulla olevat asiat eivät pääse jäämään keneltäkään unholaan.
Hyvään tietosuojatyöhön liittyy lisäksi kiinteistä uskottava ylläpitotyö. Ensi toukokuun GDPR-voimaantulo saa tietosuojatyön tuntumaan projektilta, mutta muutos on todellisuudessa kokonaisvaltainen ja pysyvä. Ilman uskottavaa toimintamallia käytäntöjen päivittämiseen ja itsearviointiin hyvä työ menee hukkaan.
Tietosuojamallin GDPR-itsearvio auttaa toteuttamaan yleisen arvion siitä, ovatko toimintatavat yleisesti vaaditulla tasolla. Se sisältää asetuksesta puretun valmiin listan testauskysymyksiä, joiden avulla omia käytäntöjä voidaan arvioida. Lisäksi Tietosuojamallin vuosikello auttaa aikatauluttamaan kvartaalittaiset tai vuosittaiset toistuvat tehtävät, joiden avulla tietosuojatiimi huoltaa organisaation tietosuojakäytäntöjä.
Kiinnostuitko? Kokeile ilmaiseksi!
Mielestämme jokaisen meistä ei ole järkeä ottaa GDPR-asetusta käteen, lähteä pläräämään ja keksiä oma toimintamallinsa asetuksen haltuunottoon.
Tietosuojamallin avulla GDPR ei enää ole hahmottamaton möykky, vaan ymmärrät miten projekti etenee askel askeleelta. Kustannuskin on pieni, esim. 11-20 hengen organisaatiolle 45€/kk.