GDPR tarkoittaa GDPR:tä – Oletko laatinut SAR-suunnitelmasi?

Britannia ottaa EU:n GDPR:n käyttöön Brexitistä huolimatta, joten toimia tarvitaan nyt. Yrityksille, jotka harkitsevat vastuullisesti, kuinka he täyttävät tämän eurooppalaisen asetuksen vaatimukset, Subject Access Request (SAR:t) on epäilemättä osa heidän harkintaan.

EU:n uuden GDPR:n mukaan organisaatioiden on vastattava SAR-ilmoituksiin "ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa". Tämä on lyhyempi aikaväli kuin nykyisessä DPA:ssa, jossa määrätään 40 päivää. Ehkä vielä vaativampaa on, että hakijoille on annettava henkilötietojensa lisäksi myös lisätietoa. Tämä sisältää mahdollisuuksien mukaan tiedot "suunnitellusta ajanjaksosta, jolle henkilökohtaiset tiedot tallennetaan tai, jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit”.

Lisätietoa tarvitaan myös, jotta selvitetään pyynnön esittäjien oikeudet vaatia tietojensa oikaisua tai poistamista, vastustaa käsittelyä sekä oikeus tehdä valituksia tietosuojaviranomaiset. Organisaatioiden on yksilöitävä, mistä ne ovat hankkineet pyynnön esittäjien henkilötiedot, jos niitä ei ole kerätty suoraan henkilöltä. Pyynnön esittäjällä on myös oikeus saada tietoja suojatoimista, joita sovelletaan, kun heidän tietojaan siirretään Euroopan talousalueen ulkopuolelle.

Mukaan Tietovaltuutetun toimisto (ICO) Vuosikertomus for tilikaudella 2015/16*, 42 % cheidän kanssaan esiin nostetut huolet keskittyivät SAR:iin. Tämä korostaa vaikeuksia, joita organisaatioilla on jo olemassa olevien, vähemmän rasittavien säännösten noudattamisessa. Se osoittaa, että organisaatioilla on vielä tehtävää asiakkaiden, henkilökunnan ja sääntelyviranomaisten odotusten täyttämisessä!

Plan

ICO:n alla Valmistautuminen Yleinen tietosuojadirektiivi (GDPR) – 12 askelta nyt**, 5. kuvailee toimenpiteiden tarvetta ja suunnitelmaa siitä, kuinka organisaatio käsittelee SAR:ita.

Uusien vaatimusten vuoksi on tärkeää, että henkilökunta on riittävästi koulutettu tunnistamaan pyynnön ja sen käsittelyprosessin. Päivien odottaminen ennen prosessin aloittamista ja tietojen hakemista järjestelmistä on riskialtista, koska sakot ovat todennäköisesti paljon tiukempia GDPR:n mukaan.

• Selvitä, kuinka hallitset GDPR-projektiasi siten, että näet selkeästi kaikki työt, jotka on saatava päätökseen saavuttaaksesi ja todiste noudattamisesta.
• Sovi sisäisesti käytännöistä, jotka kuvaavat pragmaattisia menettelyjäsi ja prosessejasi.
• Tunnista, ketkä tarvitsevat koulutusta ja miten osoitat, että koulutus on tapahtunut.
• sitoutuvat tietosuojavaikutusten seulonta ja arviointi.
• Tunnista ja osoita tiedot, fyysisiä ja lainsäädännöllisiä tietosuojariskejä.
• Luo menetelmä SAR:ien osoittamiseksi koulutetuille henkilöille sekä määräajat ja hälytykset säilyttäen samalla näkyvyys ja johdon raportointi.

Joten GDPR voi olla merkittävä organisaatioille aiheutuva riski ja suunnitelma SAR:t ja kaikki muut vaatimusten näkökohdat tarvitaan:

• Varmista, että heillä on selkeä työnkulku, jota he voivat seurata työstään.
• Anna heille mahdollisuus päästä nopeasti käsiksi versioohjattuihin mallivastauksiin standardoidulla sanamuodolla (tarjoamalla lisätiedot, jotka on ilmoitettava pyynnön esittäjän tietojen rinnalla).
• Varusta henkilökuntaa työkaluilla, joiden avulla muut tiimin jäsenet voivat helposti ja tehokkaasti antaa oman osansa prosessista.
• Integroi GDPR-työsi laajempaan ISMS tai tietoturva standardit.
• Osoita tehokasta hallintoa sääntelijälle tutkimuksen sattuessa.

Epäilemättä sääntelijät etsivät myös vahvaa asennetta osoittaakseen rekisterinpitäjien ja käsittelijöiden henkilötietojen turvallisuuden. Siksi ohjelmistoratkaisumme, ISMS.online, sisältää kaikki työkalut ja puitteet GDPR-vaatimustenmukaisuuden ja tietoturvan hallintaan ISO 27001 -standardin vaatimusten mukaisesti.

Tiedotuskomissaarin vuosikertomus ja tilinpäätös 2015/16

Yleisen tietosuoja-asetuksen (GDPR) opas