luottamus on yrityksesi arvokkainta omaisuutta – ethän laiminlyö tietosuojan vaatimuksia

EU:n tietosuoja-asetus GDPR astui voimaan jo 25.5.2018. Asetuksesta on keskusteltu paljon, mutta yhä edelleen tilanne on huono – useat yritykset eivät vieläkään yllä lain vaatimalle tasolle.

Piittaamattomuus tietosuojaa kohtaan voi pahimmassa tapauksessa johtaa äärimmäisiin riskitilanteisiin. Kohtalokkaista seurauksista tuoreimmat ovat varmasti vielä kaikkien mielissä. Psykoterapiakeskus Vastaamon tietomurto on toistaiseksi laajuudessaan ainoa maassamme, mutta viimeistään nyt jokaisen henkilötietoja käsittelevän yrityksen on syytä ottaa tietosuoja tosissaan.

kaikilla yrityksillä on rekistereitä

Yllättävän moni kokee, ettei juuri heidän yritykseensä synny lainkaan rekistereitä, eikä asetus näin siis koske omaa yritystoimintaa. Henkilötietoa on kuitenkin kaikki sellainen tieto, mistä ihminen voidaan tunnistaa.

Tällaisia henkilötietotunnisteita ovat esimerkiksi koko nimi, puhelinnumero, sähköpostiosoite, IP-numero, rekisteritunnus tai kuva. Henkilörekistereitä ovat siis muun muassa sähköpostilistat, tilaajaviitteitä sisältävät laskutusrekisterit sekä alihankkijoiden ja toimittajien tietoja sisältävät sopimusrekisterit.

Jos siis yrityksellä on asiakkaita, työntekijöitä, alihankkijoita, tavarantoimittajia tai vaikkapa kulunvalvontaa, käsittelee yritys silloin henkilötietoja ja sille syntyy henkilötietorekistereitä. GDPR-asetuksen velvoitteet koskevat siis suurinta osaa yrityksistä.

Vastuu on rekisterinpitäjällä

 Usein rekisteritietoja luovutetaan myös henkilötietoja käsittelevän ja niistä vastuussa olevan yrityksen ulkopuolelle. Sitä tahoa, joka määrittelee käsittelyn tarkoituksen ja keinot, kutsutaan tietosuoja-asetuksessa rekisterinpitäjäksi.

Henkilötietoja rekisterinpitäjän lukuun käsittelevää tahoa puolestaan kutsutaan henkilötietojen käsittelijäksi. Tämä jako on vastuun näkökulmasta tarkasteltuna varsin merkityksellinen, sillä asetuksen mukaan rekisterinpitäjä saa käyttää henkilötietojen käsittelyyn ainoastaan GDPR-kelpoisia toimijoita.

Käytännössä tämä tarkoittaa sitä, että tilaaja–toimittaja-mallissa tilaaja on aina vastuussa henkilötietojen käsittelystä. Tilaajan on siis varmistettava, että myös alihankkijat täyttävät GDPR-asetuksen vaatimukset.

Vastuuta ei voi ulkoistaa, mutta apua on saatavilla

 Toimialasta riippumatta asiakkaat ja heidän tietonsa ovat monen yrityksen olemassaolon edellytys. Henkilötietojen turvallinen käsittely onkin merkittävä luottamuksen rakentaja yrityksen ja asiakkaiden välillä. Vaali siis tätä kallisarvoista luottamusta myös tulevaisuudessa ja huolehdi GDPR-asetuksen vaatimuksista viipymättä.

Asetuksen vaatimukset otat vaivattomasti haltuun luotettavan Easy GDPR -palvelun avulla. Helppokäyttöinen verkkopalvelu tarjoaa yrityksellesi valmiin kokonaisuuden velvoitteiden hoitamiseen sekä jatkuvaan ylläpitoon. Valmis dokumentaatio auttaa ymmärtämään vaatimukset ja noudattamaan niitä. Palvelu tarjoaa myös kuukausittaisen tilaraportin ja rajattoman asiantuntijatuen.

Palvelun tarjoaa D-Fence Oy, joka on tehnyt työtä tietoturvan etulinjassa jo 20 vuoden ajan. D-Fence Oy varmistaa yrityksellesi tietoturvatason, jonka avulla saavutat paremman kilpailukyvyn ja kustannussäästöjä.

Olemme laatineet maksuttoman viiden kohdan oppaan yleisimmistä tietosuojan sudenkuopista.

5 GDPR-sudenkuoppaa -opas –

Juha Oravala

D-Fence Oy