GDPR tuli ja meni? Ei, vaan tietosuojaa täytyy ylläpitää jatkuvasti. Tässä koottuja vinkkejä, miten huolehdit organisaatiosi tietosuojasta myös ensimmäisen GDPR-huuman jälkeenkin.
Toukokuussa useat ammattiliitot, järjestöt ja organisaatiot ottivat GDPR-loppukirin. Sähköpostilaatikot täyttyivät uudistetuista sopimusehdoista ja pyynnöistä tietojen käsittelyn sallimiseen jatkossakin.
Toimistoissa ahkeroitiin, jotta kaikki olisi valmista 25.5.2018 mennessä. Ehkä jossakin kuultiin helpotuksen huokauskin – nyt se on ohi.
Väärin. Tietosuoja-asetus on tullut jäädäkseen, eivätkä organisaatioiden velvollisuudet loppuneet tähän.
Tässä muutamia vinkkejä, miten pidät tietosuojaa yllä jatkossakin.
Dokumentoi ja ylläpidä tietosuojakäytäntöjäsi
Tietosuoja-asetus velvoittaa dokumentoimaan henkilötietojen käsittelyprosessit. Tämä on erityisen tärkeää ammattiliitoissa, sillä ammattiliiton jäsenyys on erityinen henkilötieto eli niin sanottu arkaluonteinen henkilötieto, joita koskeva käsittely on erikseen säänneltyä. Dokumentaatio täytyy pitää kaikissa tapauksissa ajantasaisena ja totuudenmukaisena. Hyvä tapa huolehtia käsittelyn asianmukaisuudesta on esimerkiksi järjestää määräajoin ohjattuja siivouspäiviä. Käykää läpi, missä kaikkialla tietoja säilytetään ja siirtäkää tiedot kootusti sovittuihin paikkoihin.
Huolehdi myös, että organisaatiollasi on käytössä asianmukainen ja tarkka tietosuojan vuosikello, jossa kuvataan kuukausittain toteuttavat toimenpiteet tietosuojan ylläpitämiseksi.
Ennakoi riskit ja päivitä sopimukset
Varaudu muutoksiin. Laki ja teknologia kehittyvät ja yritysten lisäksi liittojen ja järjestöjen tulee löytää itselleen parhaat ratkaisut muutokseen vastaamiseksi.
Tietosuoja-asetuksen uudet vaatimukset ovat voineet aiheuttaa lisätyötä esimerkiksi järjestelmätoimittajille. He vyöryttävät mielellään kustannukset edelleen asiakkailleen.
Ole tarkkana uusien tietosuojaliitteiden ehtojen kanssa ja arvioi eri sopimusten tosiasialliset kustannukset. Joskus voi olla jopa järkevää ottaa sopimuksen irtisanomisehdot käyttöön ja neuvotella kokonaan uudesta järjestelmätoimittajasta. Tietosuojan tärkeys korostuu erityisesti jäsenrekisteri- ja CRM-hankkeissa, joiden kilpailutuksissa, sopimustuessa ja käyttöönotoissa olemme Rubicissa olleet mukana auttamassa jo kahdeksan vuotta. Autamme arvioimaan, ovatko tosialliset GDPR:n vaatimat muutoskustannukset niin suuret kuin toimittaja pyytää.
Ohjeista ja kouluta
Varmista, että kaikki työntekijät tiedostavat tietosuoja-asetuksen keskeiset vaatimukset.
On sanottu, että varminkin suojausteknologia pystyy turvaamaan tietoturvaloukkauksilta vain 20-prosenttisesti. Heikoin lenkki tietosuojassa on edelleen ihminen. Minimoi inhimillisten virheiden mahdollisuus.
Parhaat tietosuojaohjeet voivat olla hyvinkin yksinkertaisia. Tietosuojan ylläpito ei ole vaikeaa, mutta se vaatii, että siihen suhtaudutaan vakavasti.
Toimi läpinäkyvästi
Ammattiliittojen ja järjestöjen toiminnan läpinäkyvyys on yksi tärkeimpiä jäsenyyttä ja lahjoituksia ohjaavia tekijöitä. Luotettavuus ja eettisyys tietojen käsittelyssä ovat tulevaisuudessa yhä merkittävämpi kilpailuetu.
Huolehdi, että se mitä kerrot tietosuojasta vastaa myös todellisuutta.
Laadi huolelliset prosessit rekisteröityjen pyyntöihin vastaamiseen ja vastaa pyyntöihin rehellisesti. Kerro asiakkaillesi avoimesti, miten ja missä he voivat pyytää tietojaan tarkastettavaksi.
Älä hätäile
Tietosuoja-asetuksen tarkoitus on yhtenäistää EU:n sisäisiä käytäntöjä. Kun pelisäännöt ovat samat kaikille, ihmisten on helpompi luottaa ja toimia digitalisoituvassa maailmassa.
Hyvä tietosuoja on palveluntarjoajan etu. Siksi siihen kannattaa suhtautua suunnitelmallisesti ja rauhallisesti.
