GDPR - EU:n tietosuojauudistus lähestyy

GDPR-asetus muuttaa tietosuojakäytäntöjä ja vaatii yrityksiä kiinnittämään tietoturvaan nykyistä enemmän huomiota. Muutokset ja GDPR-yhteensopivuuden saavuttaminen vaativat monissa yrityksissä paljon työtä.

Tietosuoja-asetus astuu voimaan perjantaina 25.5.2018 ja käytännössä aikaa täyttää vaatimuksenmukaisuus on vielä 30 päivää

Hyvä paikka perehtyä asiaan tarkemmin on tietosuojauudistuksesta kertova nettisivu: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#tietosuoja-asetus

Muutama käsite on syytä tietää asetusta tutkiessa:

Rekisterillä tarkoitetaan mitä tahansa henkilötietoja sisältävää jäsenneltyä tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Tämä tarkoittaa sitä, että rekisterissä olevan tiedon ei fyysisesti tarvitse olla samassa paikassa, vaan henkilötiedot voivat olla myös hajallaan esimerkiksi eri tietokoneilla ja eri maissa. Teknisesti rekisteri voi olla esimerkiksi paperinen rekisteri, Excel-tiedosto tai asiakastietojen hallintaan käytetty ohjelmisto.

Rekisterinpitäjä on yritys, joka säilyttää henkilötietoja ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Rekisteröity tarkoittaa henkilöä, jonka tietoja on tallennettu rekisteriin.

Henkilötietojen käsittelijä on itsenäinen elinkeinon- tai toiminnanharjoittaja, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällaisesta on kysymys esimerkiksi silloin, kun yritys siirtää työntekijätietoja palkanmaksusta vastaavalle tilitoimistolle. Tällöin henkilötietojen katsotaan siirtyvän henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

Alla on lista tehtävistä, jotka jokaisessa yrityksessä tulee suorittaa:

1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.

6. Huolehdi tietoturvasta.  Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.

Muutama käytännön vinkki tai asia, mihin IT näkökulmasta yrityksessä pitää kiinnittää huomiota:

1. Jos yrityksessä käsitellään henkilötietoja sähköpostilla, tiesitkö että sähköposti on kuin postikortti. Henkilötietoja varten pitää hankkia salattu sähköposti!

2. Onko yrityksen laitteet suojattu asianmukaisesti päivitykset ajan tasalla ja ylläpidettynä?

3. Onko virustorjunta ohjelma valvonnassa ja onko koneen kovalevy salattu/kryptattu?

4. Onko yrityksen käyttämät pilvipalvelut tai palvelinratkaisut suojattu asianmukaisesti?

5. Onko yrityksen IT estänyt esim. henkilötietojen tallentamisen julkisiin pilvipalveluihin? Tai onko työntekijöitä ohjeistettu miten dokumentteja yrityksessä käsitellään?

Jos viimeiset viisi kohtaa jäävät askarruttamaan, ota yhteyttä myyntiimme niin tehdään teille tietosuojaturvakartoitus, josta saatte selvällä suomenkielellä nykytilan ja kehitysehdotukset dokumentoituna.