GDPR - Yleinen tietosuoja-asetus

Selkeä suunnitelma, jonka avulla otat GDPR-vaatimukset haltuun

EU:n yleinen tietosuoja-asetus (GDPR) antaa vaatimukset lailliselle henkilötietojen käsittelylle ja tietosuojan osoittamiselle.

Kokeile ilmaiseksi

Toteutussuunnitelma

Vaihe 1: Aloita dokumentoimalla hallinnoidut henkilötiedot

Tietosuojatyö alkaa ymmärtämällä organisaation hallinnassa olevat henkilötiedot. Samalla luodaan pohja automatisoidulle raportoinnilla ja tulevalle työlle.

Listaa ja vastuuta tietovarannot

85% vastattu

Listaa ja vastuuta tietojärjestelmät

65% vastattu

Dokumentoi henkilötietoaineistot

75% vastattu

Vaihe 2: Kuvaa tietojen käsittelyä ja siihen osallistuvia tahoja

Henkilötietojen käsittelyä suoritetaan yhdessä kumppanien kanssa, joihin on päätetty luottaa. Rekisterinpitäjä on kuitenkin vastuussa koko käsittelyketjusta.

Dokumentoi tietojen käyttötarkoitukset

87% vastattu

Listaa ja vastuuta henkilötietojen käsittelijät

85% vastattu

Listaa ja vastuuta järjestelmätoimittajat

75% vastattu

Vaihe 3: Ohjeista henkilöstöä yleisimpien tietosuojaongelmien välttämiseksi

Henkilöstön rooli tietosuojassa on ensisijaisen tärkeä. Luo automatisoitu ohjeistus- ja koulutusprosessi, joka estää yleisimpiä tietosuojaongelmia.

Ohjeista henkilötietojen käyttöön liittyen

82% lukenut

Ohjeista häiriöiden ilmoittamiseen liittyen

75% lukenut

Ohjeista tiedostojen käyttöön liittyen

65% lukenut

Vaihe 4: Varmista lainmukainen ja selkeä tietosuojaviestintä

Tietosuoja-asetus vaatii tiettyjen kuvausten olemassaoloa sekä yleisesti selkeää ja avointa tietosuojaviestintää rekisteröidyille.

Dokumentoi tietoluovutukset

87% vastattu

Julkaise tietosuojaselosteet

Viimeksi päivitetty 22.3.2021

Muodosta seloste käsittelytoimista

Viimeksi päivitetty 4.3.2021

Vaihe 5: Käsittele häiriöt ja loukkaukset järjestelmällisesti

Organisaation on valmistauduttava ongelmatilanteisiin ennalta, jotta vaatimukset voidaan täyttää. Herkkä häiriöiden havannointi sekä järjestelmällinen käsittely on myös tapa kehittää omaa tietosuojatasoa.

Vastuuta häiriöiden havaitseminen, reagointi sekä käsittely

Kaikki tehtävät listassa
on vastuutettu
.

Dokumentoi ja analysoi tietoturvahäiriöt

85% vastattu

Vastuuta tietoturvaloukkausten hallintaan liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Dokumentoi ja analysoi tapahtuneet loukkaukset

85% vastattu

Vaihe 6: Tarkista käsittelysopimusten tila ja tietosiirtojen laillisuus

Kumppanilistauksia hyödynnetään, kun käsitellään henkilötietojen käsittelysopimusten tilaa sekä tietosiirtoja EU:n ulkopuolelle.

Tarkista käsittelysopimukset kumppaneiden kanssa

65% vastattu
52% vastattu

Vastuuta muut kumppaneihin ja sopimuksiin liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vaihe 7: Suunnittele toimintatavat rekisteröidyn oikeuksien toteuttamiseen

Aina käsitellessämme henkilötietoja rekisteröidyillä on tiettyjä oikeuksia tietojaan kohden. Meidän on valmistauduttava käsittelemään nämä asiallisesti.

Vastuuta informointiin ja tietopyyntöihin liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Dokumentoi tietolähteet

52% vastattu

Vaihe 8: Varmista käytettyjen oikeusperusteiden riittävä arviointi ja edellytykset

Tietosuojatyön avainasioita on eri käyttötarkoitusten ja niihin liittyvien oikeusperusteiden tunnistaminen. Tietyt oikeusperusteet (mm. suostumus tai oikeutettu etu) vaativat rekisterinpitäjältä lisädokumentaatiota.

Vastuuta tehtävä suostumusten edellytysten läpikäynnistä

75% vastattu

Vastuuta tehtävä tasapainotestien toteuttamisesta

85% vastattu

Vastuuta tehtävä oikeusperusteiden arvioinnista

52% vastattu

Vaihe 9: Luo toimintatavat ennakoivaan riskien arviointiin ja hallintaan

Riskienhallintaa tietosuojatyössä on tehtävä kahdesta näkökulmasta - rekisteröidyn näkökulmasta vaikutustenarviointien kautta sekä organisaation näkökulmasta käsittelyn turvallisuustoimien kohdistamiseksi.

Toteuta ja dokumentoi tarvittavat vaikutustenarvioinnit

85% vastattu

Vastuuta riskien hallinnan tehtävät

Tehtävälistassa on 5 odottavaa tehtävää.

Arvioi, käsittely ja dokumentoi tunnistetut tietoturvariskit

52% vastattu

Vaihe 10: Organisoi tietosuojavastaavan tehtävät ja muu osoitusvelvollisuus

Kartoita vielä muut vaatimukset (mm. osoitusvelvollisuuteen liittyen) ja niihin liittyvät tehtävät.

Vastuuta tietosuojavastaavan toimenkuvaan liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta käsittelyperiaatteet ja osoitusvelvollisuus -kohdan tehtävät

Tehtävälistassa on 8 odottavaa tehtävää.

Vaihe 11: Jatka halutessasi seuraavien suositeltujen vaatimuskehikkojen pariin

Suosittelemme GDPR-vaatimuskehikon rinnalla käytettävän esimerkiksi ISO 27001 -tietoturvastandardia. Hyvää tietosuojaa ei synny ilman vahvaa tietoturvaa.

Suositeltu vaatimuskehikko - ISO 27001: Core

Kehikko keskittyy mm. oman toimintaympäristön kuvaamiseen sekä henkilöstön ohjeistamiseen yleisimmissä tietoturvaongelmissa (mm. tietojenkalastelu).

Suositeltu vaatimuskehikko - ISO 27001: Full

Kehikko keskittyy kattavasti tietoturvariskien hallintaprosessiin sekä mm. ohjelmistokehityksen, teknisen tietoturvan sekä kumppanihallinnan osa-alueisiin.
Tämä on esimerkki toteutussuunnitelmasta, jota suosittelemme Digiturvamallissa.
Saat oman aktiivisen suunnitelmanne ja näet kaikki sisällöt aloittamalla kokeilun.
Hahmota oma tietosuojaympäristö

Dokumentoi tehokkaasti

Digiturvamalli sisältää valmiit työpohjat tietosuoja-asetuksen vaatiman dokumentaation keräämiseen.

Digiturvakirjasto tarjoaa runsaasti esimerkkisisältöä, joka säästää merkittävästi aikaa dokumentoinnissa.

Tietovarannot ja käyttötarkoitukset
Tietoaineistot ja henkilötietoryhmät
Henkilötietoja käsittelevät kumppanit
Tietojärjestelmät
Osaava henkilöstö

Luo automatisoitu henkilöstön ohjeistus- ja koulutusprosessi

Henkilöstö on nykyajan tietoturvassa avainasemassa. Siirry yleiskoulutuksesta varmennettuun ohjeistamiseen.

Luo ohjeistukset valmiiden esimerkkien avulla ja tarkenna halutessasi eri yksiköille. Ohjekirja-näkymän kautta jokainen hyväksyy ohjeensa suoraan Teams-ympäristössä.

Henkilötietojen käyttö
Etätyö
Tiedostojen ja paperien käyttö
Häiriöiden ilmoittaminen
seloste käsittelytoimista, informointi ja muut

Automatisoi asetuksen vaatimat kuvaukset

Seloste käsittelytoimista on organisaation sisäinen kuvaus henkilötietojen käsittelystä. Tietosuojaselosteilla voidaan hoitaa yleinen informointivaatimus.

Digiturvamalli sisältää valmiit raporttipohjat, joihin tiedot kerätään automaattisesti dokumentaatiosta. Selosteet voidaan julkaista upotuksena suoraan omalle verkkosivustolle.

Seloste käsittelytoimista
Tietosuojaselosteet
Tietotilinpäätös
Muu osoitusvelvollisuus
GDPR:n muut päävaatimukset

Vastuuta tietosuojan tärkeimmät erityistehtävät

GDPR vaatii monien tehtävien vastuuttamista, jotka edellyttävät tietosuojan erityisosaamista. On käytävä läpi sopimuksia, arvioitava käsittelyn lainmukaisuutta ja mahdollistettava rekisteröidyn oikeudet.

Digiturvamalli sisältää tehtävät eri osa-alueille, jotka listaavat vaatimukset, ohjeistava ja auttavat vastuuttamaan kunkin teeman. Dokumentaatio tukee tehtävin toteutusta.

Sopimukset ja tietosiirrot
Tasapainotestit
Suostumuksen edellytykset
Tietopyyntöjen käsittely
Riskilähtöinen tietosuojatyö

Kohdista resursseja kriittisiin kohtiin

Vaikutustenarviointeja on tehtävä tilanteista, joissa käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidylle.
Arviointi tehdään rekisteröidyn näkökulmasta.

Yleisellä riskienhallinnalla voidaan saada kohdistettua käsittelyn turvallisuutta kehittäviä toimenpiteitä tärkeimpiin kohtiin.

Molemmissa teemoissa Digiturvamalli ohjeistaa ja tarjoaa mallin, jolla dokumentoida työn tulokset uskottavasti.

Vaikutusten-arvioinnit
Yleinen tietoturvariskien hallinta
Pian jokainen ymmärtää oman roolinsa

Tehtäväkirja sisältää kunkin omat vastuut

Jokainen tietosuojatyön osallistuja näkee Tehtäväkirja-näkymästään kaikki hänen omistamat digiturvasisällöt suoraan Teams-ympäristössä.

Kun joku tehtävä tai sen tarkistus erääntyy, tehtävät pomppaavat esille "Huomiotasi vaativat" -kategoriaan.

Tehtäväkirja ja Ohjekirja ovat Digiturvamallin käyttäjäkohtaiset näkymät.

Jatka tietoturvaa kehittävään työhön

Tietoturvavaatimukset samassa paikassa

Tietosuojatyössä yhteistyö tietohallinnon ja teknisemmän tietoturvan kanssa on ensisijaisen tärkeää. Tietosuojaongelmat johtuvat monesti tietoturvan pettämisestä.

Ottamalla GDPR:n rinnalle tietoturvan standardin (kuten ISO 27001: Core) saatte tietoturvan systemaattisen hallinnan tuotua myös Digiturvamallin pariin.

Liity 250+ Digiturvamallia hyödyntävän organisaation joukkoon

Tietosuojamalliin luottavat isot ja pienet, yritykset, kunnat ja järjestöt.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.