18 päivää jäljellä kaikkia yrityksiä koskevaan muutokseen. Varmista, että nämä viisi asiaa ovat valmiina.

D-Fence 07.05.2018

Vähiin käy ennen kuin loppuu. EU:n uutta tietosuoja-asetusta (GDPR) aletaan soveltaa 25.5.2018 kahden vuoden siirtymäajan jälkeen. Nyt viimeistään on aika toimia!

Asetus tuo muutoksia nykyiseen henkilörekisterilakiin. Yksi merkittävä muutos on osoitusvelvollisuus, joka tulee työllistämään hallinnollista puolta. 25.5 jälkeen organisaation tulee pystyä osoittamaan toimet, joilla henkilötietoja käsitellään ja suojataan. Myös rekisteröityjen oikeuksiin tulee uudistuksia. Alla tarvittavista toimenpiteistä puristettu viiden kohdan muistilista.

1. Osoitusvelvollisuus kuntoon

Osoitusvelvollisuus perustuu käytännössä olemassa olevaan dokumentaatioon. Kartoittakaa käytössänne olevat henkilörekisterit. Asetus koskee kaikkia, niin sisäisiä kuin ulkoisiakin tietojoukkoja, joissa on henkilötietoja.

Jokaisesta rekisteristä on tehtävä tietovirtakuvaus. Pelkät dokumentit eivät toki takaa turvallisuutta, vaan dokumentoidut toimet tulee olla myös käytössä.

2. Tiedosta käsitteet

Rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, henkilörekisteri, rekisteröity, opt-in. Näiden käsitteiden osaaminen on yksi keskeisiä onnistuneen tietosuojatuloksen tekijöistä.

Niin rekisterin käsittelylle kuin sen olemassaolollekin tulee olla perusteet. Käsittelyssä määritellään, kenellä organisaatiossa on oikeus ja tarve käsitellä mitäkin rekisteriä. Rekistereiden käyttöä tulee myös pystyä valvomaan. Mitä kriittisempää tietoa rekisterissä on, sitä tarkempaa tulee valvonnan olla.

3. Suostumuksen kerääminen

Ellei rekisteröidyn tietojen käsittelyyn ole muuta oikeutettua etua, on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa tietojensa käyttöön. Hyväksyntä tulee olla todennettavissa, joten esimerkiksi verkkosivujen lomakkeissa oleva hyväksymisvaihtoehto ei voi olla valmiiksi valittuna, vaan rekisteröidyn tulee valita se itse.

Tietosuojaselosteen tulee myös olla helposti saatavilla, joten linkki siihen kannattaa laittaa kaavakkeen yhteyteen.

4. Rekisteröityjen oikeudet

Prosessit rekisteröityjen oikeuksien toteuttamiseen on hyvä olla valmiina. Tätä varten järjestelmien tulee olla kartoitettuna, eli ne tehdyt tietovirtakuvaukset toimivat yhtenä osana prosessia. Rekistereitä saattaa löytyä yllättävistäkin järjestelmistä, esimerkiksi työasemilla olevat Excel/vastaavat -tiedostot kuuluvat niiden joukkoon.

Järjestelmistä tulee tehdä listaus sekä arviointi tiedon kriittisyydestä, eli kuinka arkaluontoista tietoa rekisteröidystä on kerätty. Rekisterin kriittisyys auttaa määrittelemään, minkälaisille suojaustoimille on tarvetta.

5. Selosteet kuntoon ja saataville

Rekisteriseloste on vaadittu jo nykyisessä lainsäädännössä, mutta vanha rekisteriseloste ei tulevaisuudessa enää riitä. Sen korvaa tietosuojaseloste, joka kertoo rekisteröidylle, kuinka tietoja käytettään, miksi tietoja kerätään, missä tietoja säilytetään, kuinka tietoturvaa hoidetaan ja mihin ottaa yhteyttä.

Tietosuojaselosteet on oltava rekisteröityjen helposti saatavilla, eli ne kannattaa viedä keskitetysti yrityksen verkkosivuille.

Tarvittavat toimenpiteet voi helposti hoitaa valmiiksi tehdyille pohjille ja ennenkaikkea kätevästi jatkossa ylläpidettävällä D-Fencen Easy GDPR –palvelulla.

 

Vaatimukset helposti haltuun? Kyllä: https://easygdpr.fi

Aiheet: Tietosuoja (GDPR)

Lue myös

Blogi: Paljon porua GDPR:stä

EU:n tietosuoja-asetuksen (GDPR) voimaantuloon on tänään 23.2.2018 aikaa 91 päivää. Asiaan liittyviä uutisointeja on alkanut mediavirrassa näkyä jatkuvasti enemmän. Yrityksissä käydyissä keskusteluissa asia herättää pelonsekaisia tunteita, ja asiasta on tehty useita virheellisiä tulkintoja..

Julkaistu 07.05.2018
Päivitetty viimeksi 970 päivää sitten

Lue lisää
Tietosuoja 2021 ja sen vaatimukset

luottamus on yrityksesi arvokkainta omaisuutta – ethän laiminlyö tietosuojan vaatimuksia.

Julkaistu 07.05.2018
Päivitetty viimeksi 622 päivää sitten

Lue lisää