GDPR:n vaatimuksiin valmistautuminen

1. Käsiteltävät henkilötiedot

1.1. Rekisterit: lainmukaisuuden tarkistaminen, vanhentuneiden tietojen poisto

1.2. Henkilötietojen kerääminen

1.2.1. Missä tilanteissa kerätään?

1.2.2. Millä oikeusperusteella ja mihin tarkoitukseen?

1.2.3. Mitkä tiedot ovat tarpeellisia?

1.3. Miten henkilötietoja käsitellään?

2. Sopimukset

2.1. Sopimukset, joiden perusteella käsitellään henkilötietoja

2.2. Sopimukset henkilötietojen käsittelystä (esim. yleiskäyttöinen sopimusliite)

2.3. Työsopimukset: vaitiolovelvollisuus henkilötietoja käsitteleville työntekijöille

3. Tietojen siirrot ja vastaanotot

3.1. Kenelle/keneltä ja mitä tietoja?

3.2. Onko siirroista informoitu rekisteröityjä etukäteen tai saatu suostumus?

3.3. Tietojen siirron salaus verkossa

4. Tietoturva ja tietojen eheys

4.1. Riskiarvio uhista

4.2. Käsittelyyn liittyvät tekniset suojatoimet ja toimintatavat

4.3. Varmuuskopioinnit ja tietojen palautus

4.4. Kyky havaita tietoturvaloukkaukset, tiedotus rekisteröidyille ja valvontaviranomaiselle

5. Suostumusten ja kieltojen hallinta

5.1. Onko nykyiset suostumukset kunnossa?

5.2. Mitä suostumuksia tulee pyytää jatkossa?

5.3. Miten suostumuksia ja kieltoja hallitaan?

6. Valmistautuminen pyyntöihin

6.1. Rekisteröityjen oikeuksiin liittyvät pyynnöt: tietojen tarkastus, korjaus ja poisto

6.2. Tietojen siirto muille rekisterinpitäjille

6.3. Kysymyksiin vastaaminen esim. käsittelyn oikeusperusteesta

6.4. Vastaaminen valvontaviranomaisen pyyntöihin

7. Tietojärjestelmät

7.1. Missä järjestelmissä henkilötietoja käsitellään?

7.2. Onko sopimukset ohjelmistojen toimittajien kanssa kunnossa?

7.3. Käyttäjien tunnukset ja käyttöoikeudet

7.4. Riittävät lokitiedot

8. Dokumentointi

8.1. Rekisteri- ja tietosuojaselosteet

8.2. Sisäiset suunnitelmat ja ohjeistukset

8.3. Vaikutustenarviointi, tasapainotesti ym.

8.4. Käsittelyyn liittyvät toimet

8.5. Tietoturvaloukkaukset

9. Harto Pönkä, 2018