Kartoita tilanne ja hoida perusasiat kuntoon. Olennaista uuden tietosuoja-asetuksen voimaan astuessa on, että yrityksessä käydään läpi henkilötietojen suojaamiseen liittyviä asioita ja hoidetaan velvoitteet kuntoon.
Jos, ja kun, kaikkea ei ole ehditty hoitaa loppuun saakka asetuksen voimaan astuessa, pitäisi olla olemassa suunnitelma, jossa kerrotaan toimenpiteet sekä miten asioita viedään eteenpäin. Pitkälti tietosuoja-asetuksen noudattamisessa pärjää maalaisjärjellä ja on hyvä muistaa, että 25.5.2018 jälkeen tärkeää on, että asioita viedään eteenpäin suunnitelmallisesti. Opastavaa materiaalia löytyy verkosta pilvin pimein ja toki me Tremediassa autamme asiakkaitamme, jos tarpeita on!
Vastaamalla seuraaviin kysymyksiin, saa jo hyvän käsityksen siitä, millä tolalla yrityksen asiat ovat:
Mitä henkilötietoja yrityksellä on käytössä ja missä ne sijaitsevat?
Hallitaan ja kontrolloidaan henkilötietojen käyttöä ja niihin pääsyä.
Luodaan turvallisuuskäytännöt ja valvontamekanismit estämään ja havaitsemaan tietomurrot ja vastaamaan haavoittuvuuksiin.
Pidetään yllä vaadittua dokumentaatiota, vastataan tietopyyntöihin ja hallitaan tietosuoja- ja tietomurtoilmoituksia.
Muutama asia tulee huomioida, kun yrityksellä on verkossa jokin verkkosivusto tai -palvelu. Nämä asiat koskevat kaikkia, eivät vain esim. verkkokauppoja.
Toistaiseksi ei ole muodostunut maan tapaa käsitellä GDPR-asetuksen vaatimuksia. Kun yllämainitut asiat ovat kunnossa, täytetään nykytiedon mukaan minimivaatimus. Jatkossa tilanne tulee hyvin todennäköisesti muuttumaan evästeiden käytön osalta ja mikäli vaatimukset tiukentuvat, tulee sivustoilla olevaa toiminnallisuutta muuttaa asiaankuuluvasti.
Tietosuoja-asetus sisältää paljon asiaa. Joitain seikkoja on tullut useissa keskusteluissa esille. Tässä muutama valittu pala.
GDPR-asetus koskee yksityishenkilön tietoja. Kuluttaja-asiakasta pyritään suojaamaan paremmin tietosuojarikkomuksilta.
Markkinointiviestien ja uutiskirjeiden lähettäminen yrityksille ei kuulu yksityishenkilöiden tietojen suojaamisen piiriin. Jos henkilöille osoitetuissa viesteissä käytetään yrityksen osoitteita (sähköposti, perinteinen posti) ja vastaanottajalle kohdennettu viestintä liittyy henkilön asemaan yrityksessä ja sisältö on aiheeltaan asiaan kuuluvaa, ei erillistä lupaa viestien lähettämiseen tarvitse pyytää. Suotavaa ja vastaanottajaa huomioivaa on kuitenkin antaa selkeä tieto, miten esim. uutiskirjeen jakelusta saa poistettua omat tietonsa.
GDPR-asetus koskee koko Euroopan Union aluetta. Myös Euroopan ulkopuolella toimivien kansainvälisten toimijoiden tulee noudattaa säädöksiä 25.5.2018 alkaen.
Tilaustiedot ja muut mahdolliset kirjanpitoon liittyvät henkilötiedot eivät kuulu GDPR-asetuksen piiriin. Esim. tilaustietoja ei voida poistaa verkkokaupan tilaustietokannasta, vaikka asiakas pyytäisi poistamaan omat henkilötietonsa asiakasrekisteristä ja muista mahdollisista paikoista, joissa myyjällä voi asiakkaan tietoja olla tallennettuna.
Asiakkaiden henkilötietojen suojaamisen lisäksi yrityksissä tulee muistaa oman henkilöstön henkilötietojen suojaaminen asianmukaisesti. On siis syytä tarkistaa, että työntekijöiden henkilötietoja käsitellään asianmukaisesti ja pitää yllä dokumentaatiota myös työntekijöiden tietojen käsittelystä.
Olemme koonneet valikoiduista palveluistamme tietopaketit. Tutustu niihin alla olevista linkeistä.