EU:n tietosuoja-asetus tulee. Miten valmistautua?

 

EU:n tietosuoja-asetus GDPR tulee muuttamaan tietosuojakäytäntöjä ja korvaamaan nykyisen henkilötietolain. Asetus tuo mukanaan muutoksia yritysten toimintatapoihin astuessaan voimaan kahden vuoden siirtymäajan jälkeen keväällä 2018.

Tietosuojan ja -turvan saattaminen uuden asetuksen edellyttämälle tasolle ei ole pieni muutos mutta se koskee aivan jokaista yritystä, joka käsittelee henkilötietoja. Hyvin hoidettu ja myös dokumentoitu tietosuoja ja tietoturva tulee jatkossa olemaan paitsi lainsäädännön velvoitteiden täyttämistä myös todellinen kilpailuetu.

Asetus perustuu pitkälti tilivelvollisuuteen. Selkein yrityksiä koskeva muutos on se että pelkkä sääntöjen noudattaminen ei enää riitä. Uusi asetus velvoittaa osoittamaan ja todistamaan, että tietosuojasäännökset on huomioitu. Tulevaisuudessa ei siis enää riitä, että rekisterinpitäjä vain noudattaa lakia, vaan se on kysyttäessä pystyttävä myös todistamaan. Tämä edellyttää organisaatiolta riskilähtöistä, ennakoivaa suuunnittelua, prosesseja, dokumentointia sekä ennen kaikkea toimivaa tietoturvaa.

Asetus tuo mukanaan myös ilmoitusvelvollisuuden henkilötietoihin kohdistuvista tietoturvaloukkauksista. Rekisterinpitäjä on velvollinen ilmoittamaan tietoonsa tulleesta tietoturvaloukkauksesta viranomaisille 72 tunnin kuluessa tapahtuneesta. Jos loukkauksesta on todennäköisiä haittavaikutuksia rekisteröidyille, on rekisterinpitäjän ilmoitettava tapahtuneesta myös rekisteröidylle itselleen.

Myös kansalaisten oikeudet lisääntyvät. Tulevaisuudessa jokaisella on oikeus tulla unohdetuksi. Kun henkilötietoja ei enää tarvita, rekisteröidyllä on oikeus vaatia tietojensa poistoa. Lisäksi rekisteröidyllä on oikeus siirtää omat tietonsa palveluntarjoajalta toiselle.

Asetuksen laiminlyöminen on myös liiketoiminnallinen riski: sekä hallinnolliset että rahalliset seuraamukset ovat suuret. Asetus antaa viranomaiselle mahdolisuuden määrätä sakkomaksu yrityksille, jotka eivät noudata määräyksiä. Sakon määrä voi olla jopa 4% globaalista liikevaihdosta. Myös maineriski on todellinen.

Näiden ja muiden asetuksessa määriteltyjen rekisteröityjen oikeuksien toteuttaminen vaatii lukuisissa yrityksissä muutoksia ja uudenlaista suhtautumista niin toimintatapoihin kuin tietojärjestelmiinkin. Isommissa hankkeissa on syytä varautua muutoksiin jo nyt, sillä niiden edellyttämien ominaisuuksien hankkiminen jälkikäteen on huomattavasti hankalampaa ja kalliimpaa.

Asiakkailta tulevien yhteydenottojen määrä saattaa vielä yllättää monen asiakaspalvelun. Miten ja kuinka nopeasti kaikki asiakkaan tai työntekijän henkilötiedot saadaan toimitettua hänelle, kun hän haluaa tarkastaa ne?

Aloita suunnittelu nyt: vinkkejä valmistautumiseen

 

1. Käy läpi prosessit ja rakenna yritykselle kattava tiedonhallintamalli.

Ensimmäisenä kannattaa selvittää mitä tietoja on kerätty ja miten niitä käsitellään, miksi niitä kerätään, kuka niitä käsittelee, mitä sovelluksia käytetään, mistä tietoa tulee ja minne sitä luovutetaan.

  • Mitä tietoja on kerätty?
  • Miten niitä käsitellään?
  • Miten on määritelty, ketkä pääsevät tietoihin käsiksi?
  • Mikä on peruste, jolla käsittelette mitäkin henkilötietoja?
  • Missä kaikkialla yrityksenne henkilötietoja säilytetään?
  • Miten tietojen käsittelystä informoidaan asiakkaita ja työntekijöitä?
  • Koska tietoja poistetaan ja saadaanko ne oikeasti poistettua järjestelmistä?

 

Jotta yritys voisi vastata EU:n tietosuoja-asetuksen vaatimuksiin, sen täytyy tietää hallussaan olevien henkilötietojen alkuperä, tietojen oikeellisuus sekä sovellukset, joissa tietoja käsitellään ja säilytetään.

Tietosuoja on pidettävä johdon agendalla. Yritysjohdon ymmärrys asian tärkeydestä, tuki ja riittävien resurssien varmistaminen ovat avainasemassa, jotta tietosuoja-asetuksen vaatimukset saadaan onnistuneesti toteutettua. Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla.

2. Tarkista sopimukset

Oletteko käyneet jo läpi ulkoistamissopimuksenne ja alkaneet neuvotella niihin tietosuoja-asetuksen edellyttämiä asioita?

Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: syntyä, käsittelyä, arkistointia ja siirtämistä eteenpäin. Osallistuuko tiedon käsittelyyn mahdollisesti kolmas osapuoli? Jos näin on, yrityksen on varmistettava että tietojen säilytystä ja käyttöä koskevat sopimukset ovat kunnossa.

Myös ulkoistamissopimukset tulevat kuulumaan asetuksen piiriin. Jos henkilötietoja on pilvipalveluissa tai palveluntuottajalla, on sopimukset saatava vastaamaan asetuksen vaatimuksia. Erityisesti pilvipalveluiden suhteen on otettava huomioon määräykset, joka koskevat tietojen siirtoa EU:n ulkopuolelle.

3. Varaudu ilmoittamaan tietoturvaloukkauksista

Onko yrityksessänne suunniteltu prosessi, jolla ilmoitetaan tietoturvaloukkauksista?

Aikaa on 72 tuntia. Tästä syystä prosessi pitää olla valmiina. Se on järkevää luoda yhteistyössä lakiasioiden, tietohallinnon, liiketoiminnan ja viestinnän kanssa.