7 vinkkiä, joilla yrityksesi voi valmistautua yleiseen tietosuoja-asetukseen (GDPR)

Ei kommentteja

EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) on tärkein tietosuojalainsäädännön muutos yli 20 vuoteen. Se tulee voimaan 25. toukokuuta 2018 ja korvaa EU:n tietosuojadirektiivin vuodelta 1995. Sen tavoitteena on yhdenmukaistaa Euroopassa käytettävää tietolainsäädäntöä, suojata ja tehostaa kaikkien EU-kansalaisten tietosuojaa sekä muokata eurooppalaisten yritysten asennoitumista tietosuojaan.  

Monet yleisen tietosuoja-asetuksen tärkeimmistä käsitteistä ja periaatteista vastaavat tällä hetkellä voimassa olevan tietosuojadirektiivin käsitteitä ja periaatteita. Yleinen tietosuoja-asetus on kuitenkin tietyiltä osin seikkaperäisempi ja yksityiskohtaisempi, ja siinä on huomioitu nopeasti kehittyvän digitalisaation haasteet, jotka lisäävät yksityisyydensuojaan liittyviä riskejä.

EU:n yleistä tietosuoja-asetusta koskevassa portaalissa henkilötiedoiksi on määritelty mikä tahansa tieto, joka liittyy luonnolliseen henkilöön tai rekisteröityyn ja jota voidaan käyttää suoraan tai välillisesti kyseisen henkilön tunnistamiseen. Näitä tietoja voivat olla esimerkiksi nimi, valokuva, sähköpostiosoite tai pankkitiedot.

Jos yrityksesi toimintatavat ovat jo nyt yhdenmukaiset voimassa olevan lainsäädännön kanssa, ne täyttävät pääosin myös uuden lainsäädännön vaatimukset ja ovat hyvä lähtökohta toimintatapojen kehittämiseen.  Yritystoiminnassa on kuitenkin huomioitava tietyt uudet tekijät ja merkittävät parannukset, jotta toiminta on yhdenmukaista uusien standardien kanssa.

Kyberturvallisuusyritys NTT teki 1 350 yritykselle suunnatun maailmanlaajuisen kyselytutkimuksen , jonka mukaan monet yritykset ovat täysin tietämättömiä yleisestä tietosuoja-asetuksesta. Tutkimusten mukaan pienyritykset ovat valmistautuneet kaikista heikoiten uuteen lainsäädäntöön.

Voit itse aloittaa valmistautumisen seuraavan tarkistuslistan avulla ja siten varmistaa, että oma yrityksesi on ajan tasalla tietosuojaan liittyvissä asioissa. Aloita yleiseen tietosuoja-asetukseen valmistautuminen viimeistään nyt ja varmista, että kaikki yrityksesi avainhenkilöt ovat perehtyneet siihen.

Seitsemän vinkkiä, joilla yrityksesi voi valmistautua yleiseen tietosuoja-asetukseen (GDPR)

Tiedotus

Varmista, että kaikki yrityksesi työntekijät ovat tietoisia lainmuutoksesta ja ymmärtävät yleisen tietosuoja-asetuksen vaikutukset. Lisätietoja on EU:n yleisen tietosuoja-asetuksen portaalissa.

Dokumentointi

Dokumentoi kaikki yrityksen hallussa olevat henkilötiedot, niiden lähde ja tahot, jotka tietoja käsittelevät ja joille tietoja siirretään. Yleisen tietoturva-asetuksen vaatimuksen mukaisesti tietojen säilytys- ja käsittelytoimista on pidettävä rekisteriä ja niiden on täytettävä vastuuvelvollisuuteen ja tietosuojaan liittyvät periaatteet. 

Roolitus

Tunnista, missä roolissa yritys milloinkin toimii ja mitä vastuita ja velvollisuuksia tähän rooliin liittyy. Yleensä ottaen jokainen yritys toimii ainakin rekisterinpitäjänä, mutta usein myös tietojenkäsittelijänä

Tarkistus

Tarkista käytössä olevat tietosuojailmoitukset ja tee suunnitelma siitä, miten ne päivitetään ajoissa yleisen tietosuoja-asetuksen mukaisiksi. Asetuksen myötä yrityksen on oltava valmis antamaan tietoja ja kertomaan tietojen käsittelyyn ja yksilön oikeuksiin liittyvistä lainmukaisista perusteista. Yleisen tietosuoja-asetuksen mukaan nämä tiedot on ilmoitettava selkeällä, tiiviisti esitetyllä ja helposti ymmärrettävällä tavalla. Lisätietoja tietosuojailmoituksista ja yleisestä tietosuoja-asetuksesta on täällä.

Suostumus

Yleisen tietosuoja-asetuksen myötä suostumukseen liittyvät vaatimukset tiukkenevat huomattavasti, ja niitä käytetään lähtökohtana asiakastietojen hyödyntämisessä esimerkiksi markkinointi-, ylläpito-, petostarkistus- ja tukitoimissa. Tarkista siis suostumukseen liittyvät haku-, rekisteröinti- ja hallintakäytännöt ja mahdolliset muutostarpeet. Jos nykyiset suostumuskäytäntösi eivät täytä yleisen tietosuoja-asetuksen standardeja, päivitä ne heti.
Suostumuksen on oltava vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä, eikä valmiiksi rastitettuja ruutuja saa käyttää. Asiakkaan on annettava suostumus itse, eli hän tekee valinnan osallistumisestaan ja antaa luvan tietojen käyttöön. Suostumus on dokumentoitava asianmukaisesti, ja se on pystyttävä perumaan helposti.

Oikeudet

Tarkista nykyiset toimintatapasi varmistaaksesi, että ne kattavat kaikki yksilön oikeudet, mukaan lukien oikeus tietojen oikaisemiseen ja poistamiseen.

Lapset

Yleisessä tietosuoja-asetuksessa huomioidaan erityisesti lasten henkilötietojen suojaus. Alle 16-vuotiaiden lasten henkilötietojen käsittelyyn verkkopalveluissa vaaditaan vanhempien suostumus. Jäsenvaltiot voivat säätää itse alemman suostumusikärajan, mutta se ei saa olla alle 13 vuotta. Jos yrityksesi siis tarjoaa lapsille suunnattuja verkkopalveluja, tarvitset tietojen käsittelytoimintaan liittyviä järjestelmiä, joilla voidaan tarkistaa käyttäjän ikä ja vanhempien tai huoltajien suostumuksen saaminen.

Tietosuojaloukkaukset

Varmista, että käytössäsi on asianmukaiset menetelmät henkilötietojen tietosuojaloukkausten havaitsemiseen, raportointiin ja tutkintaan. Tietosuojaloukkauksesta ilmoittaminen on uuden yleisen tietosuoja-asetuksen mukaan pakollista.

Vastuuvapautus: Tämä ei ole täydellinen eikä EU:n vaatimusten mukainen tarkistuslista, eikä näitä tietoja katsota yrityksesi yleistä tietoturva-asetusta (GDPR) tai muuta EU:n tietoturvalainsäädäntöä koskevaksi lakineuvonnaksi. Tarkoituksena on vain antaa taustatietoja ja vinkkejä yleisestä tietoturva-asetuksesta. Yksityiskohtaisia tietoja on EU:n yleisen tietoturva-asetuksen portaalissa .

Lopuksi

Euroopan unioni suhtautuu uuteen yleiseen tietoturva-asetukseen erittäin vakavasti. Asetuksen noudattamatta jättämisestä voidaan määrätä yritykselle sakko, joka on enintään 4 % maailmanlaajuisesta liikevaihdosta.

Yleinen tietoturva-asetus (GDPR) otetaan käyttöön kaikissa EU- ja ETA-jäsenmaissa 25. toukokuuta 2018. Se koskee kaikkia EU-kansalaisista tietoja säilyttäviä yrityksiä, mukaan lukien Euroopan ulkopuolella toimivat yritykset.

Pienyrityksillä on usein rajallisemmat resurssit ja pienempi virhemarginaali verrattuna suuryrityksiin, joiden suuremmat kassavirrat helpottavat yleisen tietosuoja-asetuksen kaltaisten laaja-alaisten haasteiden toteutusta. Sen vuoksi kannattaakin harkita ulkoisen avun käyttämistä, jotta voit varmistaa yrityksesi olevan valmis uuteen lainsäädäntöön 25. toukokuuta 2018 lähtien.

Voit muodostaa luottamuksellisen suhteen asiakkaisiisi osoittamalla, että otat tietoturvaan liittyvät seikat vakavasti ja noudatat uutta lainsäädäntöä ja määräyksiä.

Yleinen tietosuoja-asetus tuo myös uusia pitkän aikavälin mahdollisuuksia, sillä pilviteknologia ja uusi tekniikka mahdollistavat suurten tietomäärien noutamisen, tallentamisen ja analysoimisen. Sen avulla yrityksesi voi täyttää asiakkaiden odotukset ja tarpeet entistä paremmin.

Lisätietoja on EU:n yleisen tietosuoja-asetuksen portaalissa, jossa on runsaasti aiheeseen liittyvää tietoa ja laaja usein kysyttyjen kysymysten osio.

Lainauksia:


Yleinen tietosuoja-asetus (GDPR) on digiajan suurin lainsäädännöllinen muutos.”
Mark Lomas, Capgemini

”Keskeisintä on vastuuvelvollisuus: kyky toimia oikein nyt, kyky toimia oikein toukokuussa 2018 ja kyky toimia oikein tulevaisuudessa.”
Elizabeth Denham, Information Commissioner

”Yleisessä tietosuoja-asetuksessa (GDPR) on yhteisiä piirteitä nykyisen lainsäädännön kanssa, mutta se tulee muuttamaan kaiken oleellisesti.”
Elizabeth Denham, Information Commissioner

Kategoriassa: Blogi