Ads 468x60px

torstai 9. kesäkuuta 2016

H-hetki lähestyy: yleisen tietosuoja-asetuksen soveltaminen alkaa 25.5.2018

Huhtikuussa koitti jokaisen tietosuoja-ammattilaisen hartaasti odottama päivä, kun Euroopan Unionin yleinen tietosuoja-asetus sai lopullisen hyväksyntänsä. Asetuksen tultua julkaistuksi Euroopan Unionin virallisessa lehdessä varmistui myös sen ensimmäinen soveltamispäivä: 25. päivänä toukokuuta 2018 jokaisen Euroopassa ja Euroopan ulkopuolella toimivan rekisterinpitäjän ja henkilötietojen käsittelijän pelikenttä mullistuu.


Asetukseen valmistautuminen näkyy kesän kynnyksellä niin yksityisissä kuin julkisissa suomalaisissa organisaatioissa. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) on julkaissut 2.6. raportin EU-tietosuojan kokonaisuudistuksesta (1/2016), joka selventää asetuksen keskeisimpiä muutoksia niin rekisterinpitäjän, henkilötietojen käsittelijän kuin rekisteröidynkin näkökulmasta. Raportti antaa myös suosituksia toimenpiteistä asetuksen vaatimusten täyttämiseksi. Päivityksiä raporttiin tehdään sitä mukaa kun tarkempia yksityiskohtia ja esimerkiksi lainsäädäntöön liittyvää kansallista liikkumavaraa tarkennetaan.


Kuten VAHTIn raportissa todetaan, tärkein pohjatyö asetuksen vaatimusten täyttämiseksi tehdään viimeistään nyt. Vaikka osa asetuksen artikloista jättää tulkitsijalleen runsaasti pelivaraa, tämän ei kannata antaa viivästyttää valmistelutyön aloittamista: valmiita vastauksia löydetään harvassa tapauksessa suoraan asetustekstiä tulkitsemalla. Huolellinen valmistautuminen edellyttää asetuksen vaatimusten tuntemisen lisäksi organisaation tietosuojan nykytilan kartoitusta, asetuksen vaatimuksiin liittyvien puutteiden tunnistamista ja vaiheistettua kehityssuunnitelmaa. Tietosuoja-asetus on suoraan kytköksissä myös henkilötietojen käsittelyssä käytettävien järjestelmien arkkitehtuuriin ja tietoturvaan: esimerkiksi paljon puhutun unohdetuksi tulemisen oikeuden toteuttaminen edellyttää, että käsiteltävistä henkilötiedoista voidaan tunnistaa niiden alkuperä, käyttötarkoitus ja käyttötarkoituksen vanhentuminen järjestelmätasolla. Lisäksi tiedot on kyettävä poistamaan tehokkaasti kaikista niistä järjestelmistä ja tietokannoista, joissa tietoja sijaitsee.


Useimmissa asetukseen varautuvissa organisaatioissa tarvitaan myös asetuksen vaatimusten huolellista priorisointia. Kahden vuoden valmistautumisajan ollessa lyhyt, organisaation tietosuojan kokonaishallinnasta riippuen voi olla syytä priorisoida kriittisimmät riskit ja muutoskohteet ja erottaa ne sellaisista uudistuksista, jotka voidaan riskit arvioiden ja huolellisesti dokumentoiden toteuttaa mahdollisimman pian asetuksen voimaantulon jälkeen. Perusteellisesti dokumentoidut riskianalyysit ja kehityssuunnitelmat paitsi auttavat valmistelutyössä ja toteuttavat tilivelvollisuuden periaatetta, myös toimivat näyttönä huolellisuudesta silloin kun jotakin odottamatonta sattuu. KPMG:n tietoturvapalveluiden tietosuoja-asiantuntijat avustavat tällä hetkellä useissa asiakkaidemme tietosuojan kehitysprojekteissa, joiden tavoitteena on saavuttaa vaaditun tietosuojan taso ajoissa ja käytännönläheisesti, sekä ylläpitää sitä asetuksen voimaantulon jälkeen.


Mullistus on siis tulossa vuonna 2018. Tärkein kysymys rekisterinpitäjille ja henkilötietojen käsittelijöille on, toteutuuko muutos hallitusti vai hallitsemattomana kaaoksena. Viimeistään nyt on aika tutustua siihen, mitä tietosuoja-asetus tarkoittaa omassa organisaatiossasi.

Ei kommentteja:

Lähetä kommentti