Mikä on GDPR-tietosuoja-asetus ja mitä siitä tulisi tietää?

19.12.2017

Toukokuussa 2018 voimaan astuva EU:n tietosuoja-asetus voi tuntua isolta muutokselta ja uudistukselta, jonka käyttöönotto vaatii asiaan perehtymistä. Halusimme tehdä tästä asteen verran helpompaa ja käydä kanssanne läpi pääkohdat muutosta vaativista asioista.
Vietimmme käytännönläheistä GDPR-iltapäivää City Dev Labsin toimistolla Vallilassa tiistaina 5.12 OpsHost:in ja Nixu :n johdolla. Tutustuimme uusiin henkilötietojen käsittely- ja tietosuojakäytäntöihin ja siihen, kuinka asetus tulee vaikuttamaan eri organisaatioihin. GDRP- tietosuoja-asetus ja sen vaatimat toimenpiteet käsittävät kuitenkin vielä paljon enemmän – voit lukea aiheesta tiivistettynä tästä artikkelista sekä vielä yksityiskohtaisemmin esim. Oikeusministeriön tietosuojavaltuutetun toimiston ohjeesta; ”Miten valmistua EU:n tietosuoja-asetukseen” , jota olemme käyttäneet myös lähteenä tässä artikkelissamme.

Tallenne tilaisuudesta

Täältä pääset katsomaan tallenteen tilaisuudestamme. Tilaisuuden ensimmäisenä puhujana aloitti Matti Suominen Nixu Corporationilta tietoturvan näkökulmasta, jonka jälkeen Lupu Pitkänen OpsHostilta jatkoi mm. sillä, mitä rekisterinpitäjien tulee ottaa huomioon sujuvan ja säädöksenmukaisen tiedonkulun ylläpitämiseksi muutoksen astuessa voimaan.

Lue alta mikä GDPR -tietosuoja-asetus oikein on ja mitä siitä tulisi tietää?

General Data Protection Regulation, eli GDPR, on EU:n uusi tietosuoja-asetus. Asetus tulee yhtenäistämään eri maiden nykyiset tietosuojasäännöt määritellen sen, miten henkilötietoja saa ja tulee käsitellä EU:ssa. Asetuksen tarkoituksena on antaa kuluttajille enemmän valtaa omien henkilötietojensa hallintaan sekä harmonisoida EU-alueen käytäntöjä. Tämä uusi direktiivi koskee kaikkia yrityksiä ja organisaatiota (EU:n sisällä että ulkopuolella) jotka käsittelevät nimeomaan EU-alueen henkilötietoja. GDPR tulee aiheuttamaan haasteita useimmille organisaatiolle, vaikka onneksemme Suomi onkin tunnettu hyvin toimivasta tietoturvasta ja aktiivisuudesta sekä kiinnostuksesta aihetta kohtaan. (lue lisää)

Listasimme alle vaadittavia käytäntöjä, joiden käyttöönotto onnistuu kun niihin tutustuu jo siirtymäajan aikana.

Yrityksesi tulee asetuksen astuessa voimaan kyetä näyttämään, että kaikki tallennetut tiedot on kerätty henkilön suostumuksella
Henkilötietoja on usein tallennettuna useissa eri järjestelmissä ja näin ollen tiedoissa saattaa olla eroavaisuuksia. GDPR -asetuksen myötä ko. epäjärjestelmällisyys henkilötietojen hallinnassa ei enää ole sallittua
Ylläolevaan hallinnalliseen haasteeseen liittyen, organisaatioiden tiedosta suuri osa voi olla tietokantojen tai järjestelmien ulkopuolelle tallennettua dataa; kuten Word ja PDF dokumenteissa hajanaisesti olevaa tietoa, lokitietoihin tallentunutta tekstiä, tai esim. kuvien alt-teksteinä tai kuvauksina ja edelleen useasti jopa perinteisen paperisen arkiston syövereissä. Kaikki tällainenkin tallennettu tieto on GDPR:n alaista henkilötietoa ja näin tietoturvan kannalta merkittävää.
Organisaation tulisi voida käyttää resursseja prosesseihin, joilla saadaan varmistettua että tietojen käsittely on lainmukaista, turvallista ja nopeaa.
Valvovalla viranomaisella on oikeus käskeä toimijaa korjaamaan tai lopettamaan tietojenkäsittely tyystin,
jos se ei ole lain ja asetuksen mukaista
Jos toiminta ei korjaannu tai rike on merkittävä, voi viranomainen määrätä seuraamuksena hallinnollisen maksun.

Seuraavat vinkit toivottavasti auttavat organisaatiotasi pääsemään alkuun tulevan muutoksen läpiviennissä.

Henkilöiden nimeäminen, jotka ovat vastuussa tietojenkäsittelyn oikeellisuudesta viimeistään asetuksen voimaantullessa. Rekisterinpitäjien ja henkilötietojen käsittelijöiden on lisäksi varmistuttava siitä, onko organisaatioon asetuksen mukaan nimettävä tietosuojavastaava
Prosessien päivittäminen asetuksen vaatimusten mukaisiksi
Luvan hankkiminen tietojen kaikenlaiseen keräämiseen
Tietokantojen ja järjestelmien kokonaisuudesta tulisi pystyä:
1. Muodostamaan kokonaiskuvan tietojen sijainnista
2. Viedä ulos yksittäisen henkilön tietoja
3. Poistaa yksittäisen henkilön tietoja pyydettäessä/ tarvittaessa
Tarpeettoman ja mahdollisesti laittoman tiedon poistaminen

GDPR-tietosuoja-asetus_ City_dev_labs

Tags: GDRP, tietosuoja-asetus

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Duration	Description
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.