GDPR

EU:n tietosuoja-asetus (a.k.a. GDPR)

GDPR on lyhenne sanoista General Data Protection Regulation. Suomeksi lyhenne kääntyy muotoon EU:n tietosuoja-asetus.
GDPR on tehty vastaamaan teknologian kehittymisen ja globalisaation mukanaan tuomiin haasteisiin henkilötietojen suojaan liittyvissä asioissa. Asetus tulee voimaan 25.5.2018.

Jätä yhteystietosi, olemme sinuun pian yhteydessä

EU:n tietosuoja-asetus (GDPR)

GDPR on lyhenne sanoista General Data Protection Regulation. Suomeksi lyhenne kääntyy muotoon EU:n tietosuoja-asetus.

GDPR on tehty vastaamaan teknologian kehittymisen ja globalisaation mukanaan tuomiin haasteisiin henkilötietojen suojaan liittyvissä asioissa.

Asetus tulee velvoittavana voimaan 25.5.2018 ja se koskee kaikkia organisaatioita, jotka käsittelevät henkilötietoja. Henkilötiedoiksi luokitellaan kaikki yksityishenkilöön liittyvä informaatio, esimerkiksi nimi, sähköpostiosoite, potilastiedot, puhelinnumero, sosiaaliseen mediaan ladattu kuva tai IP-osoite.

Merkittävimmät muutokset, jotka tulee huomioida

  • Yleistä

    Henkilötietoja sisältävät tietokannat pitää salata. Toinen vaihtoehto on, että tiedot ovat sellaisessa formaatissa, ettei niistä selviä ketä yksittäistä henkilöä tiedot koskevat. Rekistereissä olevien henkilötietojen tulee olla selkeitä ja turhan tiedon määrä pitää minimoida. Turhalla tiedolla tarkoitetaan tietoja, jotka eivät ole olennaisia kulloinkin käytettävän palvelun osalta. Ensimmäisessä vaiheessa kaikki turha tieto pitää poistaa. Toisessa eli ylläpitovaiheessa pitää systemaattisesti pitää huolta siitä, että tiedot ovat ajan tasalla.

  • Yrityksen järjestelmät

    Jatkossa yrityksen järjestelmiä ja rekistereitä arvioidaan sen perusteella, kuinka nopeasti tiedot pystytään palauttamaan. Mahdollisista tietoturvaloukkauksista pitää ilmoittaa valvontaviranomaisille 72 tunnin kuluessa. Mikäli loukkauksesta aiheutuu todennäköisiä haittavaikutuksia rekisteröidyn henkilötietosuojalle tai yksityisyydelle, rekisterinpitäjän pitää ilmoittaa tapahtuneesta myös rekisteröidylle henkilölle.

  • Tietojen-käsittelyn turvallisuus

    Yrityksen tulee luoda prosessit, vastuumatriisit ja aikataulut, joilla se pystyy arvioimaan toimintaansa henkilötietojen turvallisuuden takaamiseksi.

  • Tietosuoja-vastaava

    Yritykset, jotka käsittelevät arkaluontoisia henkilötietoja tai joiden liiketoimintaan liittyy rekisteröityjen henkilöiden seuranta, tarvitsevat jatkossa tietosuojavastaavan. Tietosuojavastaava kehittää, suunnittelee ja varmistaa tietosuojan toteutumista yrityksen tuottamissa palveluissa.

  • Mahdolliset sanktiot

    Tietosuoja-asetuksen laiminlyönnistä seuraa sanktio. Mahdollisia sanktioita ovat huomautus tai sakko. Sakko voi olla enimmillään 20 M€ tai 4% yrityksen vuosittaisesta liikevaihdosta.

Asetus on tullut voimaan 24.5.2016 ja velvoittavana se on voimassa 25.5.2018 alkaen. Tähän mennessä henkilötietoja käsittelevillä organisaatioilla tulee olla tarvittavat toimenpiteet ja dokumentaatiot tehtynä.

Muistilista, jolla varmistat ettei mitään tärkeää unohdu

  • 1

    Selvitä nykytila

    • Miten keräämme henkilötietoja ja mihin säilömme ne?
    • Miksi keräämme näitä tietoja ja tarvitaanko niitä kaikkia?
    • Miten käsittelemme henkilötietoja ja kenelle luovutamme niitä?
    • Kuka on vastuussa rekistereistä ja niiden ajan tasalla pitämisestä?
  • 2

    Peilaa nykytilaa muuttuneisiin vaatimuksiin

    EU:n tietosuoja-asetuksen sisältö ja vaatimukset löytyvät kokonaisuudessaan täältä.

    Esimerkkejä muutoksista:

    • Todistustaakan siirtyminen viranomaiselta rekisterin pitäjälle
    • Tietomurroista raportointi 72 tunnin sisällä
    • Rekisteröidyn oikeuksien laajeneminen
    • Tiedon elinkaarenhallintaan on kiinnitettävä aiempaa enemmän huomiota

Nykytilan kartoituksen ja työlistan koostamisen jälkeen kehityskohteet tulee priorisoida konkreettisiksi toimenpiteiksi. Kun toimenpidelistaus on laadittu, on helpompi tehdä työnjako, nimetä vastuuhenkilöt ja päättää toteutusaikataulu.

  • 3

    Tietosuoja vai tietoturva?

    Tietosuoja ja tietoturva kulkevat yleensä käsi kädessä. Jotta organisaatio onnistuu tietosuojaan liittyvissä asioissa, on tärkeää kiinnittää huomiota myös tietoturvaan.

    Tietosuoja

    • Tarkoittaa henkilötietolain mukaista henkilötietojen käsittelyä ja sen keruuta koskevien vaatimusten huomioimista
    • Henkilötietoja ei saa kerätä ilman yksilön suostumusta
    • Yksittäisellä henkilöllä on oikeus tarkastaa mitä tietoja hänestä on tallennettu rekisteriin ja saada virheelliset tiedot korjatuksi pyynnöllään

     

    Tietoturva

    • Tarkoittaa laitteistojen, ohjelmistojen ja tietoliikenteen turvallisuutta
    • Tarkoitus on turvata yrityksen verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys
  • 4

    Ylläpidä tietosuoja- ja tietoturva-asioita

    • Tietosuojavaatimusten ja tietoturva-asioiden ylläpitäminen kannattaa vastuuttaa
    • Luo selkeä prosessi tarkistuksille ja ylläpitäville toimenpiteille

Tarvitsetko apua? Me autamme!

  • Tarjoamme ratkaisun nykytilan kartoittamiseen
  • Tarjoamme valmiit työkalut nykytilan dokumentoimiseen
  • Kaikki tarjoamamme tuotteet ja palvelut ovat GDPR-yhteensopivia