19.12.2017

Toukokuussa 2018 voimaan astuva EU:n tietosuoja-asetus voi tuntua isolta muutokselta ja uudistukselta, jonka käyttöönotto vaatii asiaan perehtymistä. Halusimme tehdä tästä asteen verran helpompaa ja käydä kanssanne läpi pääkohdat muutosta vaativista asioista.
Vietimmme käytännönläheistä GDPR-iltapäivää City Dev Labsin toimistolla Vallilassa tiistaina 5.12 OpsHost:in ja Nixu :n johdolla. Tutustuimme uusiin henkilötietojen käsittely- ja tietosuojakäytäntöihin ja siihen, kuinka asetus tulee vaikuttamaan eri organisaatioihin. GDRP- tietosuoja-asetus ja sen vaatimat toimenpiteet käsittävät kuitenkin vielä paljon enemmän – voit lukea aiheesta tiivistettynä tästä artikkelista sekä vielä yksityiskohtaisemmin esim. Oikeusministeriön tietosuojavaltuutetun toimiston ohjeesta; ”Miten valmistua EU:n tietosuoja-asetukseen” , jota olemme käyttäneet myös lähteenä tässä artikkelissamme.

Tallenne tilaisuudesta

Täältä pääset katsomaan tallenteen tilaisuudestamme. Tilaisuuden ensimmäisenä puhujana aloitti Matti Suominen Nixu Corporationilta tietoturvan näkökulmasta, jonka jälkeen Lupu Pitkänen OpsHostilta jatkoi mm. sillä, mitä rekisterinpitäjien tulee ottaa huomioon sujuvan ja säädöksenmukaisen tiedonkulun ylläpitämiseksi muutoksen astuessa voimaan.

Lue alta mikä GDPR -tietosuoja-asetus oikein on ja mitä siitä tulisi tietää?

General Data Protection Regulation, eli GDPR, on EU:n uusi tietosuoja-asetus. Asetus tulee yhtenäistämään eri maiden nykyiset tietosuojasäännöt määritellen sen, miten henkilötietoja saa ja tulee käsitellä EU:ssa. Asetuksen tarkoituksena on antaa kuluttajille enemmän valtaa omien henkilötietojensa hallintaan sekä harmonisoida EU-alueen käytäntöjä. Tämä uusi direktiivi koskee kaikkia yrityksiä ja organisaatiota (EU:n sisällä että ulkopuolella) jotka käsittelevät nimeomaan EU-alueen henkilötietoja. GDPR tulee aiheuttamaan haasteita useimmille organisaatiolle, vaikka onneksemme Suomi onkin tunnettu hyvin toimivasta tietoturvasta ja aktiivisuudesta sekä kiinnostuksesta aihetta kohtaan. (lue lisää)

Listasimme alle vaadittavia käytäntöjä, joiden käyttöönotto onnistuu kun niihin tutustuu jo siirtymäajan aikana.

  • Yrityksesi tulee asetuksen astuessa voimaan kyetä näyttämään, että kaikki tallennetut tiedot on kerätty henkilön suostumuksella
  • Henkilötietoja on usein tallennettuna useissa eri järjestelmissä ja näin ollen tiedoissa saattaa olla eroavaisuuksia. GDPR -asetuksen myötä ko. epäjärjestelmällisyys henkilötietojen hallinnassa  ei enää ole sallittua
  • Ylläolevaan hallinnalliseen haasteeseen liittyen, organisaatioiden tiedosta suuri osa voi olla tietokantojen tai järjestelmien ulkopuolelle tallennettua dataa;  kuten Word ja PDF dokumenteissa hajanaisesti olevaa tietoa, lokitietoihin tallentunutta tekstiä, tai esim. kuvien alt-teksteinä tai kuvauksina ja edelleen useasti jopa perinteisen paperisen arkiston syövereissä. Kaikki tällainenkin tallennettu tieto on GDPR:n alaista henkilötietoa ja näin tietoturvan kannalta merkittävää.
  • Organisaation tulisi voida käyttää resursseja prosesseihin, joilla saadaan varmistettua että tietojen käsittely on lainmukaista, turvallista ja nopeaa.
  • Valvovalla viranomaisella on oikeus käskeä toimijaa korjaamaan tai lopettamaan tietojenkäsittely tyystin,
    jos se ei ole lain ja asetuksen mukaista
  • Jos toiminta ei korjaannu tai rike on merkittävä, voi viranomainen määrätä seuraamuksena hallinnollisen maksun.

Seuraavat vinkit toivottavasti auttavat organisaatiotasi pääsemään alkuun tulevan muutoksen läpiviennissä.

  • Henkilöiden nimeäminen, jotka ovat vastuussa tietojenkäsittelyn oikeellisuudesta viimeistään asetuksen voimaantullessa. Rekisterinpitäjien ja henkilötietojen käsittelijöiden on lisäksi varmistuttava siitä, onko organisaatioon asetuksen mukaan nimettävä tietosuojavastaava
  • Prosessien päivittäminen asetuksen vaatimusten mukaisiksi
  • Luvan hankkiminen tietojen kaikenlaiseen keräämiseen
  • Tietokantojen ja järjestelmien kokonaisuudesta tulisi pystyä:
    1. Muodostamaan kokonaiskuvan tietojen sijainnista
    2. Viedä ulos yksittäisen henkilön tietoja
    3. Poistaa yksittäisen henkilön tietoja pyydettäessä/ tarvittaessa
  •  Tarpeettoman ja mahdollisesti laittoman tiedon poistaminen
GDPR tietosuoja-asetus

GDPR-tietosuoja-asetus_ City_dev_labs

Tags: ,