Näin selvität, ovatko tietosuojakäytäntösi ajan tasalla
Ihmisistä kerätään koko ajan enemmän tietoa. Siksi tietosuojalainsäädäntö pantiin uusiksi koko EU:n aluella. Tietojenkäsittelylle tulee yhteiset pelisäännöt.
EU:n vanha henkilötietojen käsittelyä koskeva lainsäädäntö tuli voimaan samaan aikaan, kun Suomi voitti ensimmäisen kerran jääkiekon maailmanmestaruuden. Vuonna 1995 internet-liittymät olivat vasta alkaneet jalkautua valtaväestön keskuuteen ja datan kerääminen oli täysin eri planeetalta kuin nykymaailmassa.
Kansalaisten digitaalisia oikeuksia vahvistava EU:n tietosuoja-asetus on oleellinen lisä lainsäädäntöön. Henkilötietoja käsittelevissä organisaatioissa uudistus voi aiheuttaa harmaita hiuksia.
Jos yrityksessäsi ei olla vielä pohdittu, miten sopeutua toukokuussa 2018 voimaan astuvaan uuteen tietosuoja-asetukseen, kannattaa pohtiminen aloittaa nyt.
Oletko pyytänyt asiakkailtasi luvan henkilötietojen käsittelyyn?
Jos yritys kerää ja käsittelee ihmisen henkilötietoja, on siihen pyydettävä kirjallinen lupa. Luvan on oltava vapaaehtoinen, yksiselitteinen ja yksilöity. Lupapyyntöä ei saa piilottaa muiden sopimusehtojen sekaan, eikä se saa olla valmiiksi ruksattuna pyyntölomakkeella. Alaikäisten henkilötietoja käsiteltäessä tulee lupa pyytää huoltajilta. Saadut luvat tulee säilyttää ja ne on tarvittaessa pystyttävä osoittamaan viranomaisille.
Toteutuvatko rekisterissä olevan ihmisen oikeudet?
Mikäli ihmisestä kerätään henkilötietoja, hänellä on oikeus tarkastaa tiedot, korjata niitä ja pyytää yritystä poistamaan tiedot tai siirtämään ne muualle. Näiden oikeuksien toteutumien edellyttää mahdollisia muutoksia yritysten tietojärjestelmissä ja toimintavoissa.
Oletko varautunut tietomurtoihin?
Tietoturva ei ole milloinkaan täysin varmaa. Siksi on hyvä varmuuden vuoksi sopia, miten menetellään, jos joku ulkopuolinen pääsee vahingossa henkilötietoihin käsiksi. Tietosuoja-asetuksen mukaan viranomaisille on ilmoitettava 72 tunnin sisällä tietoturvaloukkauksen huomaamisesta. Yrityksen sisäisesti on siis hyvä olla varma, että työntekijät tietävät, miten he toimivat loukkauksen sattuessa.
Oletko dokumentoinut, miten käsittelet tietoja?
Ennen EU:n tietosuoja-asetusta on riittänyt, että noudattaa lainsäädäntöä. Asetuksen voimaan astumisen jälkeen yritysten on viranomaisen kysyessä pystyttävä myös osoittamaan, että henkilötietojen käsittely on lainmukaista.
Selvitä ainakin nämä asiat:
- Mitä tietoa yrityksesi kerää? Mihin tarkoitukseen?
- Missä tietoa säilytetään?
- Kuka pääsee käsiksi tietoihin?
- Miten varmistatte, että ihmisten, joista tietoa kerätään, oikeudet toteutuvat?
Tarvitseeko yrityksesi DPIA-vaikutusten arvioinnin?
Mikäli henkilötietojen käsittelyyn kohdistuu korkea riski, on yrityksen tehtävä DPIA-arvio toiminnnastaan (Data Protection Impact Assasment). Tällainen tilanne on, jos yritys käsittelee arkaluontoisia tietoja, kuten ihmisen terveyteen, uskontoon tai työsuorituksiin liittyvää dataa. Arvio on tehtävä myös, jos henkilötietojen käsittely on laaja-alaista tai kerättyjen tietojen perusteella tehdään automatisoituja päätöksiä.
Teksti: Tomi Eklund
Kuva: Shutterstock
ASIAKASTIETOJEN UUDET SÄÄNNÖT
Lähes jokainen yritys ja organisaatio käsittelee henkilötietoja. Ne voivat olla esimerkiksi asiakas- tai markkinointirekistereitä. Tietosuoja-asetus koskee kaikkia henkilötietoja käsitteleviä organisaatioita.
Kartoita tilanteesi nyt ja selvitä, miten sinun pitää varautua EU:n uuteen tietosuoja-asetukseen. Saat meiltä nykytilan kartoituksen, analysoimme muutostarpeesi ja saat havaitut yrityskohtaiset toimenpidesuositukset.