GDPR eli General Data Protection Requlation on yleinen EU:n tietosuoja-asetus, jota aletaan soveltaa 25.5.2018 alkaen. Asetus korvaa henkilötietolain ja koskee kaikkia EU:n alueella toimivia organisaatioita. Hallitus esittää säädettäväksi uutta tietosuojalakia henkilötietojen käsittelyä koskevaksi yleislaiksi. Tietosuojalakia sovellettaisiin rinnakkain EU:n tietosuoja-asetuksen kanssa ja sillä täydennettäisiin ja täsmennettäisiin EU:n yleistä tietosuoja-asetusta.
Toukokuussa 2018 organisaationne tietosuojaprojektin tulee olla valmis. Oletteko oikeilla raiteilla? Vai tuntuuko, että lakipykälät vilisevät silmissä ja tehtävälista muistuttaa post-it-lappujen kaatopaikkaa?
Mitä, jos kertoisin sinulle, että tietosuojaprojektiin löytyy valmis malli, jonka pohjalta tietosuojaprojekti on helppo toteuttaa?
Arter ARC tarjoaa tietosuojan hallintamallin, jonka toteutuksessa on noudatettu valtiohallinnon VAHTI-ohjeistusta. Hallintamallin avulla selviät tietosuojakäytäntöjen päivittämisprojektista määräpäivään mennessä, dokumentoit yrityksesi tietosuojan yhteen paikkaan, päivität tietosuojaa sivuavat prosessit, huolehdit säännöllisistä tietosuojakatselmoinneista ja varmistat työntekijöittesi ulottuville jatkuvasti ajan tasalla pidettävän tietosuojamateriaalin.
Arter ARC-ohjelmiston tietosuojan hallintamalli sisältää tietosuojaprojektin kuvaukset, periaatteet ja tehtävät jaoteltuna viiteen osa-alueeseen:
Rekisteröidyn oikeudet ja rekisterinpitäjän velvollisuudet
Asetusta käsittelevä osio sisältää tietosuoja-asetuksen erittelemät rekisterinpitäjän vaatimukset ja rekisteröidyn oikeudet, sekä asetuksen antamat toimenpidesuositukset.
Tietosuojaprojekti
Tietosuojaorganisaatio // Tietosuojatehtävät
Tietosuojaorganisaatio-osio sisältää tietosuojaorganisaation roolien vastuut ja vaatimukset. Tietosuojatehtävät-osio sisältää mm. tietosuojatehtävät, vaadittavat toimenpiteet, vastuuhenkilöt ja toimenpiteiden edistymisen seurannan.
Tekniset kuvaukset
Rekisterit // Tietojärjestelmäsalkku // Tietovarannot // Informaatiosalkku // Rekisterien tietovirtakuvaukset
Rekisterit-osio sisältää mm. rekisterien kuvaukset, oikeus- ja rekisterivastuut, suojaustasot ja selosteet. Tietojärjestelmäsalkku käsittää mm. järjestelmien elinkaaren, käyttötavan, turvallisuusluokituksen ja suhteet muihin järjestelmiin. Tietovarannot-osioon sisällytetään mm. lokitiedot, tiedon sijainti, tiedon säilytysmuoto ja käyttäjien pääsynhallinta. Informaatiosalkkuun kuvataan tietoelementit ja niiden master-järjestelmät. Rekisterien tietovirtakuvaukset selkiyttävät henkilötietojen matkaa tiedonkeruukanavista tietovarantoihin ja sieltä eteenpäin luovutusten tai integrointien kautta.
Dokumentaatio
Tietosuojapolitiikka // Tietosuojaprosessit // Tietotilinpäätös
Tietosuojapolitiikkaosio sisältää mallin organisaation tietosuojapolitiikalle, joka kattaa mm. organisaation tietosuojaperiaatteet, tietojen hankinnan, käsittelyn ja luovuttamisen periaatteet sekä yhteistyökäytännöt viranomaisten kanssa. Tietosuojaprosessit-osio tarjoaa mahdollisuuden kuvata organisaation tietosuojaprosessit osaksi kokonaisarkkitehtuurikuvausta. Tietotilinpäätös on kooste organisaation hallitsemasta, säilyttämästä ja käsittelemästä tiedosta sekä arvio siitä, miten yritys on onnistunut toteuttamaan tietosuojapolitiikkaansa.
Tietoturva
Tietoturvaohjeistus // Riskienhallinta // Tietoturvaloukkaukset
Tietoturvaohjeistus on yksityiskohtainen ohjeistus, joka kattaa niin digitaalisen kuin fyysisen tietoturvan antaen organisaatioille eväät toteuttaa asetuksen vaatimusten tasoista tietoturvallista toimintaa. Riskienhallinta on osa yrityksen kannattavaa ja tietopohjaista strategista suunnittelua. Riskienhallintaosio sisältää mm. riskien kuvaukset ja vaikutus- ja todennäköisyysarviot sekä hallintakeinot tunnistettujen riskien hallintaan. Tietoturvaloukkaukset-osio sisältää toimenpiteet ja dokumentaation mahdollisten tietoturvaloukkausten varalle.
Käsiteltyänne organisaationne toiminnan tietosuojan hallintamallin mukaisesti, voitte todeta olevanne tietoturvallinen kumppani.
