Nyt alkaa jo polttaa. 25.5.2018 astui voimaan GDPR eli EU:n uusi tietosuoja-asetus. Useissa organisaatioissa GDPR aiheuttaa vielä epävarmuutta, eikä lain vaatimuksiin ole sopeuduttu. Kokosimme tarkistuslistan asioista, joiden tulee olla kunnossa.
Mikä GDPR oikeastaan on? GDPR tarkoittaa yleistä tietosuojaa koskevaa asetusta. Laki koskee kaikkia EU-maita ja voimaan tullessaan tiukentaa yritysten ja organisaatioiden vaatimuksia tietosuoja-asioissa ja henkilötietojen käsittelyssä.
GDPR korvasi vanhan henkilötietolain. Tarkoitus on edelleen sama: suojella yksilön tietosuojaa. Laki koskee kaikkia yrityksiä, joilla on jonkinlainen henkilökohtainen rekisteri, kuten asiakasrekisteri. Toisin sanoen valtaosa yrityksistä kuuluu GDPR:n piiriin. Pahimmassa tapauksessa lain rikkomisesta voi joutua maksamaan huimia sakkoja. Tarpeettomien korvausten välttämiseksi seuraavia asioita on pidettävä silmällä:
Dokumentoi!
Varmista, että tiedät, minkälaisia henkilökohtaisia tietoja (sosiaaliturvatunnus, nimi, osoite, valokuvat jne.) yrityksesi rekistereistä löytyy, ja miten näitä tietoja tällä hetkellä tallennetaan ja hyödynnetään. Henkilökohtaisia tietoja löytyy esimerkiksi asiakasluetteloista, jäsenrekistereistä, yhteystietokannoista tai valokuvakansioista. Kirjatkaa ylös, mitä tietoja teillä tallennetaan ja mihin niitä käytetään. Tällainen dokumentti tulee olla olemassa jo senkin vuoksi, että tietosuojavaltuutettu saattaa sitä tarkistuksessaan edellyttää.
KOuluta organisaatio
Varmista, että jokainen organisaatiossanne tuntee GDPR:n ja sen, miten laki vaikuttaa heidän jokapäiväiseen työhönsä. Sisäisen koulutuksen avulla minimoidaan riski, että organisaatiossanne toimitaan GDPR:n vastaisesti.
Hanki Suostumus
Onko kotisivuillanne toiminto, johon sivuston käyttäjä jättää tietojaan, jotka sitten tallennetaan tietokantaanne? Ehkäpä tilauslomake tai varausjärjestelmä? Näissä tapauksissa tulee varmistaa, että henkilö hyväksyy, että hänen luovuttamansa tiedot tallennetaan. Selventävä teksti tai valintaruutu, jonka yhteydessä selvennetään, mihin käyttäjä suostuu, voi olla sopiva ratkaisu. Suostumuksen antamisen tulisi olla käyttäjäystävällistä, eli helppoa antaa ja myös kumota.
puhdista!
Tietokanta tulee puhdistaa säännöllisesti ja varmistaa, ettei kerättyjä tietoja säilytetä pidempään kuin on tarve. Tietoja ei myöskään tulisi kerätä enempää kuin tarve on. GDPR kieltää "turhan" tiedon säilyttämisen ja keräämisen. GDPR tuo mukanaan myös käyttäjän oikeuden tulla unohdetuksi, joten varmista, että henkilötietojen lopullinen poistaminen tietokannasta on tarvittaessa mahdollista.
nimitä tietosuojavastaava
Jos organisaatiossanne käsitellään runsaasti henkilötietoja, voi tietosuojavastaavan nimeäminen tulla tarpeeseen. Tietosuojavastaava on henkilö, joka vastaa GDPR:n säännösten noudattamisesta ja organisaation tietosuoja-asioista. Julkishallinnon toimijoiden ja organisaatioiden, jotka käsittelevät henkilötietoja laajamittaisesti (tutustu vaatimuksiin tarkemmin Tietosuojavaltuutetun sivuilla), on välttämätöntä nimetä tietosuojavastaava.
tarjoa mahdollisuus poistua rekisteristänne
Lähetättekö joskus uutiskirjeitä tai muuta informaatiota osoiterekisterinne henkilöille? On ok lähettää uutiskirjeitä tai muuta markkinointimateriaalia asiakkaille, mutta jos aikaisemmin pyysitte heidän suostumustaan tähän, tulee se tehdä uudelleen. Tarkista myös, että postituslistaltanne poistuminen on helppoa, esimerkiksi uutiskirjeestä löytyvän linkin kautta.
Suojaa tiedot
Yrityksesi hallitsemat henkilötiedot, kuten tiedot asiakkaista, toimittajista tai työntekijöistä on suojattava siten, että niiden luvaton käyttö ei ole mahdollista. Suojaus voidaan toteuttaa esimerkiksi teknisin toimenpitein, kuten virustentorjuntaohjelmalla, palomuurilla, langattoman verkon salauksella ja yksinkertaisesti päivittämällä tietokoneen ohjelmistot ajan tasalle. Yhtä tärkeitä ovat organisatoriset toimenpiteet, kuten sen rajoittaminen, kenellä työntekijöistä on pääsy henkilötietoihin.
Raportoi tietosuojan loukkauksista
Jos on olemassa vaara, että henkilötiedot päätyvät vääriin käsiin, on asiasta raportoitava välittömästi tietosuojaviranomaiselle eli tietosuojavaltuutetulle. Riskin voi aiheuttaa niin tietomurto kuin inhimillinen virhekin. Myös niitä, joiden tiedot ovat vuotaneet, on informoitava asiasta 72 tunnin kuluessa.
Lue lisää siitä, miten GDPR voi vaikuttaa sinuun!
Lähteet: Tietosuoja.fi