Käsittelijävastuut-osio on oleellisin henkilötietojen käsittelyyn suunniteltuja tuotteita kehittäville organisaatioille.
Käsittelijävastuut-osiossa tehdään sisäistä dokumentaatiota asioihin liittyen, joihin käsittelijä sitoutuu yleensä sopimusteitse rekisterinpitäjän suuntaan. Kun kehitätte henkilötietojen käsittelyyn suunniteltuja tuotteita, teidän on tärkeää huolehtia esimerkiksi lokituksesta ja varmuukopioinnista. Lisäksi sopimuksessa rekisterinpitäjän kanssa on määriteltävä roolinne ja työnjako tiettyjen asioiden suhteen.
Järjestelmälokit
Loki tarkoittaa toiminnasta pidettävää tapahtumarekisteriä. Lokeja käytetään etenkin usean käyttäjän tietojärjestelmissä ja niihin tallennetaan normaalien tallennustietojen lisäksi esimerkiksi tietoja henkilötietojen muokkaustapahtumista (aikaleima, tapahtuma, käyttäjä, käyttöoikeus, jne.)
Lokien tarkoituksena on mm. auttaa tietoturvaloukkausten selvittämistä sekä ennakoivaa epänormaalin käytön tunnistamista.
Lokien suhteen käydään läpi seuraavat kysymykset:
- Mitkä tiedot loki sisältää?
- Kuinka ylläpidosta ja analysoinnista huolehditaan?
- Miten ja milloin kerätyt tiedot hävitetään?
Tärkeää on näiden kohtien avulla huolehtia ja dokumentoida, että tuotteissa tehtävistä henkilötietojen muutoksista kertyy tarpeeksi kattavat tiedot.
Varmuuskopiointi
Varmuuskopioinnissa jokin tärkeä tieto kopioidaan ja varastoidaan, yleensä fyysisesti eri paikkaan. Varmuuskopioinnin huolehtiminen on usein tietojärjestelmää kehittävän / ylläpitävän tahon vastuulla. Tietojärjestelmään voi liittyä monia eri tasoisia varmuuskopiointiprosesseja, mm. jatkuva tietokannan yleinen replikointi tai asiakaskohtaiset yölliset varmuuskopiot.
Varmuuskopioinnin avulla tärkeä tieto voidaan palauttaa varmuuskopioista alkuperäisen tiedon hävitessä tai tuhoutuessa syystä tai toisesta.
Tietosuojan näkökulmasta varmuuskopiot ovat hyvä tapa parantaa henkilötietojen käsittelyn turvallisuutta. Varmuuskopiointi ei kuitenkaa saa vaarantaa yksityisyydensuojaa tai estää rekisteröidyn oikeuksia toteutumista. Tämä voi tarkoittaa esimerkiksi sitä, että palautettaessa tietoja varmuuskopioista meidän ei tulisi palauttaa henkilön tietoja, joka on tällä välin vaikkapa perunut suostumuksensa tietojen käsittelyyn.
Varmuuskopioinnin suhteen käydään läpi seuraavat kysymykset:
- Minkä ajan välein ja miten tiedot hävitetään?
- Kuinka varmuuskopiot otetaan ja tallennetaan?
- Onko varmuuskopiot salattu ja miten?
- Missä varmuuskopiot sijaitsevat?
Näiden kohtien avulla dokumentoitte käytännöt ja voitte tehdä esipohdintaa, onko varmuuskopiointi tarpeeksi kattavaa turvatakseen asiakkaiden tarpeet ja toisaalta säilytysajat hallinnassa tietosuojan näkökulmassa.
Palvelukäytännöt
Palvelukäytäntöihin on kerätty käytäntöjä, joista on sovittava rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Sopimuksiin todennäköisesti kerätään ainoastaan lyhyt yhteenveto asiasta, mutta palvelukäytäntöjen avulla voitte sisäisesti tarkentaa, kuka vastaa mistäkin asiasta ja millaiset käytännöt ovat teille relevantteja.
Palvelukäytännöt-kohdan pohjalista antaa ideaa siitä, millaisiin käytäntasiakkaille joudutaan yleisesti tuotteisiin liittyen sitoutumaan.
Palvelukäytäntöjen suhteen käydään läpi seuraavat kysymykset:
- Kuinka käytäntö toteutetaan?
- Mihin tuotteisiin käytäntö liittyy?
Täydentäkää palvelukäytännöt-listaa vapaasti omilla käytännöillänne, jotka liittyvät tuotteita käyttävien asiakkaiden palvelemiseen.