GDPR astuu voimaan 25.5.2018 – tästä on kyse - Finnchat

GDPR astuu voimaan 25.5.2018 – tästä on kyse

  • 105
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    105
    Shares

Uutiset Facebookin ympärillä eivät olisi voineet valita parempaa aikaa EU:n osalta, kun EU:n tietosuoja-asetusta GDPR (General Data Protection Regulation) aletaan soveltamaan 25.5.2018.

Facebookin perustaja ja toimitusjohtaja Mark Zuckerberg pyysi julkisesti anteeksi, ettei Facebook ole ollut riittävän aktiivisesti estämässä käyttäjätietojen valumista vääriin käsiin. Myöhemmin Zuckerberg oli kongressin edessä grillattavana yli kymmenen tuntia. EU:ssa pian sovellettava GDPR nousi pinnalle esimerkkinä alan säätelystä.

noin 2 % vastaajista oli valmistautunut riittävällä tavalla

Myös Yhdysvalloissa on nyt herätty tietosuojan parantamiseen muuttuneessa yhteiskunnassa. Useat poliitikot Yhdysvalloissa ovat vaatineet yksityisyydensuojaa koskevien lakien tiukentamista. EU:ssa ollaan askelta edellä, vaikkakin Veritas Technologiesin toteuttaman tutkimuksen mukaan noin 2 % vastaajista oli valmistautunut riittävällä tavalla vuoden 2017 lopussa.

via GIPHY

Facebook tulee mielestäni kestämään helposti #DeleteFacebook-höykytyksen. “Skandaali” oli kuitenkin ajankohtainen ja loistava keskustelunavaaja.

Jos GDPR on yhä tuntematon käsite, niin nyt on aika napata homma hanskaan. Asetus koskettaa jollain tavalla joka ainoata yritystä EU:ssa.

GDPR sinulle

Tämä tarkoittaa mm. pääsyä omiin tietoihinsa (selkokielisenä)

Lyhykäisyydessään yrityksen tulee täyttää nämä kolme vaatimusta. Yksityiskohtaisemmat ohjeet kannattaa aina selvittää oman yrityksen lakiasiantuntijalta.

1. Rekisteröidyn oikeudet on taattava

Tämä tarkoittaa mm. pääsyä omiin tietoihinsa (selkokielisenä) ja oikeutta korjata, siirtää tai “tulla unohdetuksi” mistä tahansa tietojärjestelmästä yksinkertaisella pyynnöllä.

Mahdollisista tietomurroista on ilmoitettava valvontaviranomaiselle 72 tunnin sisällä tapahtuman tunnistamisesta.

2. Asetuksen noudattaminen on pystyttävä osoittamaan

Tähän ei asetus tarjoa valmista pohjaa, mutta yritystä suositellaan dokumentoimaan tietosuojaprosessinsa, tietovarantonsa ja -virtansa.

Yksi tietosuojavaltuutetun suosittelema tapa osoitusvelvollisuuden toteuttamiseksi on ns. Tietotilinpäätös; Laaja dokumentti jossa selvitetään henkilötietojen käsittelyä organisaatiossa. Eli mitä henkilötietoja käsitellään, missä, miten, miksi, miten tiedot on suojattu, miten tietoturva on toteutunut, mitä kehitystoimenpiteitä on tehty/suunnitteilla.

– Ville Rastas, Data Protection Officer | Finnchat Oy

3. Tietosuojavastaava – Data Protection Officer

Henkilötietoja järjestelmällisesti ja laajamittaisesti käsittelevien, sekä tietysti viranomaisen ja julkishallinnon, tulee nimetä tietosuojavastaava.

Jos yritykseen ei valita tietosuojavastaavaa, tulisi valitsematta jättämisen syyt avata ja nimittää asetuksen noudattamisesta vastaava henkilö.

Niin. Kuten aikaisemmankin henkilötietolain aikaan, muista myös aina pitää huoli että henkilötietojen käsittelylle on lainmukainen peruste.

Henkilötietojen käsittely on yksiselitteisesti Finnchatin ydintoimintaa

Finnchat ja GDPR

Henkilötietojen käsittely on, ei niin yllättäen, Finnchatin liiketoiminnan ytimessä. Tuotamme asiakkaillemme henkilökohtaista palvelua heidän verkkosivuillaan ja näin tulemme väkisinkin käsittelemään tietosuojan alaista informaatiota.

Finnchat Groupin tietosuojavastaava Ville Rastas kertoo tarkemmin, kuinka asiakkaidemme ja asiakkaidemme asiakkaiden tietosuoja pysyy myös jatkossa suojattuna kaikkien asetusten mukaisesti.

1. Henkilötietojen käsittely on yksiselitteisesti Finnchatin ydintoimintaa, joten tietosuojavastaavan nimittäminen oli ensimmäisten toimien joukossa.

2. Finnchat auditoi sisäisesti omat prosessinsa vastaamaan asetuksen vaatimuksia. Kävimme läpi koko käsittelyketjun selvittäen tarkalleen missä henkilötietoja sijaitsee ja miten missäkin vaiheessa niiden käsittely hoidetaan käytännössä. Tulemme tottakai myös omissa järjestelmissämme noudattamaan henkilötietojen käsittelyssä kansainvälistä ISO 27018 -tietosuojastandardia. Näiden vaiheiden kattava dokumentointi pitää huolen siitä, että täytämme asetuksen mukaisen osoitusvelvollisuuden.

3. Muodostamme jokaisen asiakkaamme kanssa asetuksen vaatimusten mukaisen kirjallisen sopimuksen käsittelytoimista (DPA, ‘Data Processing Agreement’) siirtymä-ajan päättymiseen mennessä. Sopimuksessa sovitaan mm. rekisterinpitäjän että henkilötietojen käsittelijän oikeudet ja velvollisuudet, rekisteröityjen oikeuksien toteutuminen ja miten henkilötietoja käsitellään käsittelysuhteen alusta sen päättymiseen saakka.

– Ville Rastas, Data Protection Officer | Finnchat Oy

/ / / /

Lisää aiheesta: