GDPR

Miten uudistus vaikuttaa yritykseesi? Mitä toimenpiteitä tulee tehdä?

Kartoita tilanne ja hoida perusasiat kuntoon. Olennaista uuden tietosuoja-asetuksen voimaan astuessa on, että yrityksessä käydään läpi henkilötietojen suojaamiseen liittyviä asioita ja hoidetaan velvoitteet kuntoon.

Jos, ja kun, kaikkea ei ole ehditty hoitaa loppuun saakka asetuksen voimaan astuessa, pitäisi olla olemassa suunnitelma, jossa kerrotaan toimenpiteet sekä miten asioita viedään eteenpäin. Pitkälti tietosuoja-asetuksen noudattamisessa pärjää maalaisjärjellä ja on hyvä muistaa, että 25.5.2018 jälkeen tärkeää on, että asioita viedään eteenpäin suunnitelmallisesti. Opastavaa materiaalia löytyy verkosta pilvin pimein ja toki me Tremediassa autamme asiakkaitamme, jos tarpeita on!

Vastaamalla seuraaviin kysymyksiin, saa jo hyvän käsityksen siitä, millä tolalla yrityksen asiat ovat:

  • Mistä henkilötietoja saadaan?
  • Missä henkilötietoja on tällä hetkellä tallennettuna?
  • Missä henkilötietoja tällä hetkellä käsitellään?
  • Kuka käsittelee henkilötietoja?
  • Minne henkilötietoja luovutetaan?

Nämä kysymykset mielessä voi asioissa edetä esimerkiksi seuraavien vaiheiden mukaan.

1. Tunnista

Mitä henkilötietoja yrityksellä on käytössä ja missä ne sijaitsevat?

  • Mm. asiakasrekisterit, postitusrekisterit, työntekijärekisterit, lomakkeilla kerätyt tiedot (yhteydenottopyynnöt, kilpailuvastaukset…)
  • Onko dataa palvelimilla, onko dataa henkilökohtaisilla laitteilla, onko tietoja tulostettu mappeihin, onko tallennettu tietoja muistitikulle, ovatko tiedot sähköpostissa?
2. Hallitse

Hallitaan ja kontrolloidaan henkilötietojen käyttöä ja niihin pääsyä.

  • Dokumentoidaan mitä henkilötietoja kerätään,
  • miksi kyseisiä tietoja kerätään,
  • missä tiedot sijaitsevat
  • sekä nimetään ne tahot, joilla on pääsy em. tietoihin.
  • Henkilöstöllä tulee olla selkeä ohjeistus, kuinka kunkin omassa roolissaan tulee käsitellä henkilötietoja.
3. Suojaa

Luodaan turvallisuuskäytännöt ja valvontamekanismit estämään ja havaitsemaan tietomurrot ja vastaamaan haavoittuvuuksiin.

  • Poistetaan käytöstä kaikki epäoleellinen tieto, mm. kopiot rekistereistä, paperitulosteet pöydänkulmilta, vanhentuneet ja tarpeettomat tiedot, jotta aineistoa ei vahingossa joudu vääriin käsiin.
  • Selvitetään suojauksen taso (esim. palvelimet, tietokoneet, lukolliset kaapit)
  • Huolehditaan, että suojaus on riittävä.
  • Kirjataan ylös suojauksen taso ja kuinka toimitaan, jos ongelmia ilmenee.
4. Raportoi

Pidetään yllä vaadittua dokumentaatiota, vastataan tietopyyntöihin ja hallitaan tietosuoja- ja tietomurtoilmoituksia.

  • Säännöllinen ohjeiston ja eri dokumenttien tarkistus auttaa pysymään ajan tasalla.

GDPR ja verkkosivustot, -kaupat ja muut sähköiset sovellukset ja palvelut

Muutama asia tulee huomioida, kun yrityksellä on verkossa jokin verkkosivusto tai -palvelu. Nämä asiat koskevat kaikkia, eivät vain esim. verkkokauppoja.

  1. Yrityksellä tulee olla rekisteriseloste, joka löytyy verkkosivuilta. Tremedian rekisteriseloste >>
  2. Sivustoilla tulee olla ilmoitus evästeiden käytöstä ja evästeiden käytölle tulee pyytää hyväksyntä.
  3. Sivustolta tulee löytyä tiedot evästeiden käytöstä. Tremedian evästeinfo >>

Tarkista, että
  1. sivustoltasi löytyy ajan tasalla oleva rekisteriseloste.
  2. sivustoltasi löytyy informaatiota evästeiden käytöstä, joko rekisteriselosteen yhteydessä tai omalla sivullaan.
  3. sivustolle tullessa kävijää tiedotetaan evästeistä ja pyydetään hyväksyntä niiden käytölle.

Toistaiseksi ei ole muodostunut maan tapaa käsitellä GDPR-asetuksen vaatimuksia. Kun yllämainitut asiat ovat kunnossa, täytetään nykytiedon mukaan minimivaatimus. Jatkossa tilanne tulee hyvin todennäköisesti muuttumaan evästeiden käytön osalta ja mikäli vaatimukset tiukentuvat, tulee sivustoilla olevaa toiminnallisuutta muuttaa asiaankuuluvasti.

Hyvä tietää GDPR-asetuksesta

Tietosuoja-asetus sisältää paljon asiaa. Joitain seikkoja on tullut useissa keskusteluissa esille. Tässä muutama valittu pala.

GDPR-asetus koskee yksityishenkilön tietoja. Kuluttaja-asiakasta pyritään suojaamaan paremmin tietosuojarikkomuksilta.

Markkinointiviestien ja uutiskirjeiden lähettäminen yrityksille ei kuulu yksityishenkilöiden tietojen suojaamisen piiriin. Jos henkilöille osoitetuissa viesteissä käytetään yrityksen osoitteita (sähköposti, perinteinen posti) ja vastaanottajalle kohdennettu viestintä liittyy henkilön asemaan yrityksessä ja sisältö on aiheeltaan asiaan kuuluvaa, ei erillistä lupaa viestien lähettämiseen tarvitse pyytää. Suotavaa ja vastaanottajaa huomioivaa on kuitenkin antaa selkeä tieto, miten esim. uutiskirjeen jakelusta saa poistettua omat tietonsa.

GDPR-asetus koskee koko Euroopan Union aluetta. Myös Euroopan ulkopuolella toimivien kansainvälisten toimijoiden tulee noudattaa säädöksiä 25.5.2018 alkaen.

Tilaustiedot ja muut mahdolliset kirjanpitoon liittyvät henkilötiedot eivät kuulu GDPR-asetuksen piiriin. Esim. tilaustietoja ei voida poistaa verkkokaupan tilaustietokannasta, vaikka asiakas pyytäisi poistamaan omat henkilötietonsa asiakasrekisteristä ja muista mahdollisista paikoista, joissa myyjällä voi asiakkaan tietoja olla tallennettuna.

Asiakkaiden henkilötietojen suojaamisen lisäksi yrityksissä tulee muistaa oman henkilöstön henkilötietojen suojaaminen asianmukaisesti. On siis syytä tarkistaa, että työntekijöiden henkilötietoja käsitellään asianmukaisesti ja pitää yllä dokumentaatiota myös työntekijöiden tietojen käsittelystä.