Mikä on GDPR?

GDPR (General Data Protection Regulation) tulee kaikkien EU:n jäsenvaltioiden sovellettavaksi toukokuussa 2018. Asetuksen tarkoituksena on yhdenmukaistaa tietosuojakäytäntöjä EU:ssa ja parantaa kansalaisten yksityisyydensuojaa.

Asetus koskee kaikkia EU:n alueella toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja. Lähes kaikissa yrityksissä ja muissa organisaatioissa ylläpidetään asiakasrekisteriä tai jotain muuta rekisteriä joten asetuksen soveltamisala on varsin laaja.

GDPR-asetukseen on syytä suhtautua vakavasti, sillä asetuksen rikkominen voi aiheuttaa organisaatiolle sakon, joka on suuruudeltaan maksimissaan 20 miljoonaa euroa tai 4 % yhtiön edellisen vuoden kokonaisliikevaihdosta, riippuen siitä kumpi on suurempi. Tosiasiassa sakko ei ole kuitenkaan ainoa tai ensimmäinen sanktio vaan todellisuudessa huomautus, korjauspyyntö sekä mahdollinen tietojenkäsittelykielto voivat olla jo riittävän isoja toimia joiden seurauksena yrityksen tai organisaation liiketoiminta kärsii merkittävästi.

Käsitteet

Henkilötieto
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot) ovat henkilötietoja.

Henkilötietojen käsittely
Kaikki henkilötietoihin kohdistuvat toimet (tiedon elinkaari; suunnittelusta hävittämiseen).

Rekisterinpitäjä
Henkilö, yritys tai muu organisaatio, joka pitää listaa henkilöistä ja rekisteröi heidän tietojaan. Käytännössä lähes kaikki yritykset ovat siten rekisterinpitäjiä jo sillä perusteella, että heillä on omaa henkilökuntaa.

Henkilötietojen käsittelijä
Luonnollinen henkilö, viranomainen, virasto tai joku muu, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä on esimerkiksi yritys, joka tarjoaa taloushallinnon palveluja toisen yrityksille tai yritys, jonka pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja.

Mikä muuttuu?

GDPR-asetuksen mukanaan tuomat muutokset

GDPR-asetuksen mukaan eri rekisterihin tietojaan luovuttaneiden tahojen oikeudet kasvavat ja samalla henkilötietojen rekisterinpitäjien vastuut ja velvollisuudet lisääntyvät. Asetuksen mukaisesti rekisteröidyt voivat pyytää tietoja rekisteriin tallennetuista omista tiedoista ja lisäksi heillä on oikeus siirtää ja poistaa omia tietoja sekä vastustaa tietojensa käsittelyä.

Miten tulisi valmistautua?

Näin valmistaudut GDPR-tietosuoja-asetukseen:

1. Tiedosta roolisi: oletko rekisterinpitäjä vai henkilötiedon käsittelijä

Tiedosta, mikä on organisaationne rooli henkilötietojen käsittelyssä: toimiiko organisaatio rekisterinpitäjänä, henkilötietojen käsittelijänä vai ehkäpä molempina. Rooli vaikuttaa merkittävästi siihen millaisia vastuita organisaatioon kohdistuu.

2. Tarkista henkilötietojen käsittelyn laillisuus

Tarkista, mitä henkilötietoja organisaatiossanne kerätään, miten tietoja käsitellään ja mihin järjestelmiin ne on tallennettu. Huomioi mahdolliset henkilötietojen käsittelyn ulkoistukset.

Varmista, että rekisterissä olevat henkilöt ovat antaneet luvan tietojen tallentamiseen tai henkilötietojen käsittelylle on joku muu GDPR:n laillinen oikeusperuste.

Varmista, että käsittelet henkilötietoja GDPR-asetuksen periaatteiden mukaisesti ja päivitä tarvittaessa toimintatapoja vastaamaan oikeita periaatteita.

3. Tunnista rekisteröidyn oikeudet

Varaudu toimittamaan rekisteröidyille tiedot heidän omista henkilötiedoistaan ja niiden säilytyksestä sähköisessa muodossa. Tietojen tulisi olla tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa.

Varmista, että rekisteröidyillä on mahdollisuus sirtää itseään koskevia tietoja sekä poistaa tiedot rekistereöistä.

Jos henkilörekisteriä säilytetään EU:n ulkopuolella, varmista että rekisteröidyiltä on saatu lupa tietojen siirtoon EU:n ulkopuolelle.

4. Päivitä rekisteriselosteet ja sopimusehdot

Huolehdi, että kaikista henkilörekistereistä on olemassa rekisteriseloste

Lisää tietoturvakäytänöt osaksi sopimusehtoja. Tarkista sopimustilanne asiakkaiden, palvelutuottajien, alihankkijoiden ja järjestelmätoimittajien kanssa. Huomioi, että henkilötietojen käsittelijä ei saa käsitellä ilman rekisterinpitäjän kanssa solmittua kirjallista sopimus tai muuta oikeudellista asiakirjaa.

5. Nimeä tietosuojavastaava

Nimeä tietosuojavastaava, joka on pakollinen kun henkilötietojen käsittelyä suorittaa viranomainen tai julkishallinnon elin. Tietosuojavastaava tulee olla nimitettynä myös kun rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä.

6. Varmista tietoturva ja kouluta henkilöstöä

Varmista, että henkilötietoja säilyttävien järjestelmien tietoturvasta on huolehdittu asianmukaisesti ja tee riskiarvio mahdollisista uhista. Dokumentoi organisaation tietoturvakäytännöt tietoturvadokumenttiin, jossa kuvataan ainakin seuraavat seikat: miten henkilötietoja käsitellään ja millä perustein, miten tietoturvasta huolehditaan, miten mahdollisen tietomurron tapahtuessa toimitaan ja ketkä ovat tekemisissä henkilötietojen kanssa.

Varmista, miten järjestelmätoimittajat ovat valmistautuneet tietoturvaan liittyviin seikkoihin ja pyydä heiltä tieto kirjallisena dokumenttina.

Tarjoa henkilötietoja käsittelevälle henkilöstölle aiheeseen liittyvää koulutusta jotta he ovat perillä tietosuoja-asetuksen asettamista vaatimuksista ja muutoksista.

Kotisivut.com ja GDPR

Kotisivut.comin palveluiden valmius GDPR-asetukseen

Olemme kehittäneet hallinnollisia prosessejamme vastaamaan tietosuoja-asetuksen asettamia vaatimuksia ja tiukennamme jo aikaisemminkin korkeaa tietoturvatasoa palveluissamme.

Uudet tietoturvapalvelut asiakkaillemme

Olemme varautuneet uuden asetuksen vaatimuksiin mm. tarkentamalla prosessejamme sekä tuomalla myös uusia tietosuojatuotteita asiakkaittemme saataville. Näitä palveluita ovat mm. tietoturvan hallintapalvelut, kehittyneet tietoturvan valvonta- ja suojauspalvelut (IPS / IDS-palvelut sekä SOC-palvelut) sekä salattujen yhteyksien palvelut.