Siirry sisältötekstiin

8 vinkkiä, joilla yrityksesi voi valmistautua yleiseen tietosuoja-asetukseen (GDPR)

EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) on tärkein tietosuojalainsäädännön muutos yli 20 vuoteen. Tutkimuksen mukaan monet yritykset ovat edelleen täysin tietämättömiä yleisestä tietosuoja-asetuksesta. Aloita yleiseen tietosuoja-asetukseen valmistautuminen viimeistään nyt ja varmista, että yrityksesi on ajan tasalla tietosuojaan liittyvissä asioissa ja myös kaikki yrityksesi avainhenkilöt ovat perehtyneet siihen.

EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) on tärkein tietosuojalainsäädännön muutos yli 20 vuoteen. Se tulee voimaan 25. toukokuuta 2018 ja korvaa EU:n tietosuojadirektiivin vuodelta 1995. Sen tavoitteena on yhdenmukaistaa Euroopassa käytettävää tietolainsäädäntöä, suojata ja tehostaa kaikkien EU-kansalaisten tietosuojaa sekä muokata eurooppalaisten yritysten asennoitumista tietosuojaan.  

Monet yleisen tietosuoja-asetuksen tärkeimmistä käsitteistä ja periaatteista vastaavat tällä hetkellä voimassa olevan tietosuojadirektiivin käsitteitä ja periaatteita. Yleinen tietosuoja-asetus on kuitenkin tietyiltä osin seikkaperäisempi ja yksityiskohtaisempi, ja siinä on huomioitu nopeasti kehittyvän digitalisaation haasteet, jotka lisäävät yksityisyydensuojaan liittyviä riskejä.

Yleinen tietosuoja-asetus (GDPR) on digiajan suurin lainsäädännöllinen muutos.”
Mark Lomas, Capgemini

EU:n yleistä tietosuoja-asetusta koskevassa portaalissa henkilötiedoiksi on määritelty mikä tahansa tieto, joka liittyy luonnolliseen henkilöön tai rekisteröityyn ja jota voidaan käyttää suoraan tai välillisesti kyseisen henkilön tunnistamiseen. Näitä tietoja voivat olla esimerkiksi nimi, valokuva, sähköpostiosoite tai pankkitiedot.

Jos yrityksesi toimintatavat ovat jo nyt yhdenmukaiset voimassa olevan lainsäädännön kanssa, ne täyttävät pääosin myös uuden lainsäädännön vaatimukset ja ovat hyvä lähtökohta toimintatapojen kehittämiseen. Yritystoiminnassa on kuitenkin huomioitava tietyt uudet tekijät ja merkittävät parannukset, jotta toiminta on yhdenmukaista uusien standardien kanssa.

Kyberturvallisuusyritys NTT teki 1 350 yritykselle suunnatun maailmanlaajuisen kyselytutkimuksen , jonka mukaan monet yritykset ovat täysin tietämättömiä yleisestä tietosuoja-asetuksesta. Tutkimusten mukaan pienyritykset ovat valmistautuneet kaikista heikoiten uuteen lainsäädäntöön.

Ottamalla tietoturvaan liittyvät seikat vakavasti ja osoittamalla, että noudatat uutta lainsäädäntöä ja määräyksiä, voit muodostaa luottamuksellisen suhteen asiakkaisiisi. Yleinen tietosuoja-asetus tuo myös uusia pitkän aikavälin mahdollisuuksia, sillä pilviteknologia ja uusi tekniikka mahdollistavat suurten tietomäärien noutamisen, tallentamisen ja analysoimisen. Sen avulla yrityksesi voi täyttää asiakkaiden odotukset ja tarpeet entistä paremmin.

Aloita yleiseen tietosuoja-asetukseen valmistautuminen viimeistään nyt ja varmista, että yrityksesi on ajan tasalla tietosuojaan liittyvissä asioissa ja myös kaikki yrityksesi avainhenkilöt ovat perehtyneet siihen.

8 vinkkiä, joilla yrityksesi voi valmistautua yleiseen tietosuoja-asetukseen (GDPR)

Tiedotus
Varmista, että kaikki yrityksesi työntekijät ovat tietoisia lainmuutoksesta ja ymmärtävät yleisen tietosuoja-asetuksen vaikutukset. Lisätietoja on EU:n yleisen tietosuoja-asetuksen portaalissa.

Dokumentointi
Dokumentoi kaikki yrityksen hallussa olevat henkilötiedot, niiden lähde ja tahot, jotka tietoja käsittelevät ja joille tietoja siirretään. Yleisen tietoturva-asetuksen vaatimuksen mukaisesti tietojen säilytys- ja käsittelytoimista on pidettävä rekisteriä ja niiden on täytettävä vastuuvelvollisuuteen ja tietosuojaan liittyvät periaatteet.

Roolitus
Tunnista, missä roolissa yritys milloinkin toimii ja mitä vastuita ja velvollisuuksia tähän rooliin liittyy. Yleensä ottaen jokainen yritys toimii ainakin rekisterinpitäjänä, mutta usein myös tietojenkäsittelijänä

Tarkistus
Tarkista käytössä olevat tietosuojailmoitukset ja tee suunnitelma siitä, miten ne päivitetään ajoissa yleisen tietosuoja-asetuksen mukaisiksi. Asetuksen myötä yrityksen on oltava valmis antamaan tietoja ja kertomaan tietojen käsittelyyn ja yksilön oikeuksiin liittyvistä lainmukaisista perusteista. Yleisen tietosuoja-asetuksen mukaan nämä tiedot on ilmoitettava selkeällä, tiiviisti esitetyllä ja helposti ymmärrettävällä tavalla. Lisätietoja tietosuojailmoituksista ja yleisestä tietosuoja-asetuksesta on täällä.

Suostumus
Yleisen tietosuoja-asetuksen myötä suostumukseen liittyvät vaatimukset tiukkenevat huomattavasti, ja niitä käytetään lähtökohtana asiakastietojen hyödyntämisessä esimerkiksi markkinointi-, ylläpito-, petostarkistus- ja tukitoimissa. Tarkista siis suostumukseen liittyvät haku-, rekisteröinti- ja hallintakäytännöt ja mahdolliset muutostarpeet. Jos nykyiset suostumuskäytäntösi eivät täytä yleisen tietosuoja-asetuksen standardeja, päivitä ne heti.Suostumuksen on oltava vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä, eikä valmiiksi rastitettuja ruutuja saa käyttää. Asiakkaan on annettava suostumus itse, eli hän tekee valinnan osallistumisestaan ja antaa luvan tietojen käyttöön. Suostumus on dokumentoitava asianmukaisesti, ja se on pystyttävä perumaan helposti.

Oikeudet
Tarkista nykyiset toimintatapasi varmistaaksesi, että ne kattavat kaikki yksilön oikeudet, mukaan lukien oikeus tietojen oikaisemiseen ja poistamiseen.

Lapset
Yleisessä tietosuoja-asetuksessa huomioidaan erityisesti lasten henkilötietojen suojaus. Alle 16-vuotiaiden lasten henkilötietojen käsittelyyn verkkopalveluissa vaaditaan vanhempien suostumus. Jäsenvaltiot voivat säätää itse alemman suostumusikärajan, mutta se ei saa olla alle 13 vuotta. Jos yrityksesi siis tarjoaa lapsille suunnattuja verkkopalveluja, tarvitset tietojen käsittelytoimintaan liittyviä järjestelmiä, joilla voidaan tarkistaa käyttäjän ikä ja vanhempien tai huoltajien suostumuksen saaminen.

Tietosuojaloukkaukset
Varmista, että käytössäsi on asianmukaiset menetelmät henkilötietojen tietosuojaloukkausten havaitsemiseen, raportointiin ja tutkintaan. Tietosuojaloukkauksesta ilmoittaminen on uuden yleisen tietosuoja-asetuksen mukaan pakollista.

Suosituimmat