EU:n tietosuoja-asetus GDPR

EU:n tietosuoja-asetus GDPR

GDPR on lyhenne sanoista General Data Protection Regulation. Suomeksi lyhenne kääntyy muotoon EU:n tietosuoja-asetus. Tarjoamamme Tietosuojamalli on tehokas tapa ymmärtää mikä uudessa tietosuoja-asetuksessa on oleellista ja mitä toimenpiteitä se organisaatioltanne vaatii.

Mikä ihmeen GDPR? GDPR lyhyesti.

GDPR on lyhenne sanoista General Data Protection Regulation. Suomeksi lyhenne kääntyy muotoon EU:n tietosuoja-asetus.

GDPR on tehty vastaamaan teknologian kehittymisen ja globalisaation mukanaan tuomiin haasteisiin henkilötietojen suojaan liittyvissä asioissa.

Asetus tulee velvoittavana voimaan 25.5.2018 ja se koskee kaikkia organisaatioita, jotka käsittelevät henkilötietoja. Henkilötiedoiksi luokitellaan kaikki yksityishenkilöön liittyvä informaatio, esimerkiksi nimi, sähköpostiosoite, potilastiedot, puhelinnumero, sosiaaliseen mediaan ladattu kuva tai IP-osoite.

GDPR käytännössä:
Merkittävimmät muutokset, jotka tulee huomioida tietosuoja-asetuksen tullessa voimaan

Yleistä

Henkilötietoja sisältävät tietokannat pitää salata. Toinen vaihtoehto on, että tiedot ovat sellaisessa formaatissa, ettei niistä selviä ketä yksittäistä henkilöä tiedot koskevat. Rekistereissä olevien henkilötietojen tulee olla selkeitä ja turhan tiedon määrä pitää minimoida. Turhalla tiedolla tarkoitetaan tietoja, jotka eivät ole olennaisia kulloinkin käytettävän palvelun osalta. Ensimmäisessä vaiheessa kaikki turha tieto pitää poistaa. Toisessa eli ylläpitovaiheessa pitää systemaattisesti pitää huolta siitä, että tiedot ovat ajan tasalla.

Yrityksen järjestelmät

Jatkossa yrityksen järjestelmiä ja rekistereitä arvioidaan sen perusteella, kuinka nopeasti tiedot pystytään palauttamaan. Mahdollisista tietoturvaloukkauksista pitää ilmoittaa valvontaviranomaisille 72 tunnin kuluessa. Mikäli loukkauksesta aiheutuu todennäköisiä haittavaikutuksia rekisteröidyn henkilötietosuojalle tai yksityisyydelle, rekisterinpitäjän pitää ilmoittaa tapahtuneesta myös rekisteröidylle henkilölle.

Tietojen käsittelyn turvallisuus

Yrityksen tulee luoda prosessit, vastuumatriisit ja aikataulut, joilla se pystyy arvioimaan toimintaansa henkilötietojen turvallisuuden takaamiseksi.

Tietosuojavastaava

Yritykset, jotka käsittelevät arkaluontoisia henkilötietoja tai joiden liiketoimintaan liittyy rekisteröityjen henkilöiden seuranta, tarvitsevat jatkossa tietosuojavastaavan. Tietosuojavastaava kehittää, suunnittelee ja varmistaa tietosuojan toteutumista yrityksen tuottamissa palveluissa.

Mahdolliset sanktiot

Tietosuoja-asetuksen laiminlyönnistä seuraa sanktio. Mahdollisia sanktioita ovat huomautus tai sakko. Sakko voi olla enimmillään 20 M€ tai 4% yrityksen vuosittaisesta liikevaihdosta.

Asetus on tullut voimaan 24.5.2016 ja velvoittavana se on voimassa 25.5.2018 alkaen. Tähän mennessä henkilötietoja käsittelevillä organisaatioilla tulee olla tarvittavat toimenpiteet ja dokumentaatiot tehtynä.

Muistilista, jolla varmistat, ettei mitään tärkeää unohdu

1. Selvitä nykytila

  • Miten keräämme henkilötietoja ja mihin säilömme ne?
  • Miksi keräämme näitä tietoja ja tarvitaanko niitä kaikkia?
  • Miten käsittelemme henkilötietoja ja kenelle luovutamme niitä?
  • Kuka on vastuussa rekistereistä ja niiden ajan tasalla pitämisestä?

2. Peilaa nykytilaa muuttuneisiin vaatimuksiin

EU:n tietosuoja-asetuksen sisältö ja vaatimukset löytyvät kokonaisuudessaan täältä.

Esimerkkejä muutoksista:

  • Todistustaakan siirtyminen viranomaiselta rekisterin pitäjälle
  • Tietomurroista raportointi 72 tunnin sisällä
  • Rekisteröidyn oikeuksien laajeneminen
  • Tiedon elinkaarenhallintaan on kiinnitettävä aiempaa enemmän huomiota

Nykytilan kartoituksen ja työlistan koostamisen jälkeen kehityskohteet tulee priorisoida konkreettisiksi toimenpiteiksi. Kun toimenpidelistaus on laadittu, on helpompi tehdä työnjako, nimetä vastuuhenkilöt ja päättää toteutusaikataulu.

3. Tietosuoja vai tietoturva?

Tietosuoja ja tietoturva kulkevat yleensä käsi kädessä. Jotta organisaatio onnistuu tietosuojaan liittyvissä asioissa, on tärkeää kiinnittää huomiota myös tietoturvaan.

Tietosuoja

  • Tarkoittaa henkilötietolain mukaista henkilötietojen käsittelyä ja sen keruuta koskevien vaatimusten huomioimista
  • Henkilötietoja ei saa kerätä ilman yksilön suostumusta
  • Yksittäisellä henkilöllä on oikeus tarkastaa mitä tietoja hänestä on tallennettu rekisteriin ja saada virheelliset tiedot korjatuksi pyynnöllään

Tietoturva

  • Tarkoittaa laitteistojen, ohjelmistojen ja tietoliikenteen turvallisuutta
  • Tarkoitus on turvata yrityksen verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys

4. Ylläpidä tietosuoja- ja tietoturva-asioita

  • Tietosuojavaatimusten ja tietoturva-asioiden ylläpitäminen kannattaa vastuuttaa
  • Luo selkeä prosessi tarkistuksille ja ylläpitäville toimenpiteille

Tarvitsetko apua? Me autamme!

Capnova tarjoaa yrityksesi käyttöön Tietosuojamalli-palvelun, joka on markkinoiden paras sähköinen työkalu uuden tietosuoja-asetuksen ymmärtämiseen ja koko tietosuojatyön haltuun ottamiseen.

Voit myös asiakkaanamme luottaa siihen, että kaikki Capnovan käytössä olevat teknologiat, toimintamallit ja käytänteet vastaavat uuden tietosuoja-asetuksen lakimuutoksia nyt ja tulevaisuudessa.

Lue lisää Tietosuojamalli-palvelustamme!

Kerro ihmeessä muillekin: