OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA ICT- ja tulostusratkaisujen asiantuntija.
VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA EU:n tietosuoja-asetus (GDPR) tuli voimaan toukokuussa 2016, ja sen siirtymäaika päättyy 25.5.2018. Viimeistään siihen mennessä yritysten ja julkisyhteisön on saatava henkilötietojen käsittely asetuksen vaatimalle tasolle. Seuraavassa viisi vinkkiä, joita noudattamalla turvaat itsellesi hyvät yöunet myös GDPR-aikakaudella.
1. SUHTAUDU ASETUKSEEN ASIAN VAATIMALLA VAKAVUUDELLA GDPR-asetus on syytä ottaa vakavasti jo sen noudattamatta jättämisestä määrättyjen sanktioiden takia. Ani harva jää asetuksen ulkopuolelle. Lähes kaikissa julkishallinnon organisaatioissa ja yrityksissä, niissä yhden henkilön palveluyrityksissäkin, on jonkinlainen henkilörekisteri. Suurella todennäköisyydellä asetus muuttaa tapoja toimia kaikissa julkisorganisaatioissa ja yrityksissä, jotka ovat asetuksen piirissä. GDPR-asetuksen noudattaminen voi tuoda kilpailuetua. Kun organisaation tietosuoja-asiat on hoidettu piirulleen asetuksen mukaisesti, se viestii luotettavuudesta ja uskottavuudesta.
2. DOKUMENTAATIO KUNNOSSA Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Sen takia henkilötietojen käsittely on suunniteltava ja dokumentoitava. Huolehdi päivittämisestä. Epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä. Kerää ja käsittele henkilötietoja ainoastaan nimenomaista ja laillista tarkoitusta varten. Muista läpinäkyvyys. Varmista, että rekisteriin tulevat henkilöt ovat antaneet rekisteröintiin luvan tai että henkilötietojen käsittelylle on olemassa jokin muu laillinen peruste. Muista myös, että rekisteröidyllä on oikeus saada jäljennös häntä koskevista henkilötiedoista. Rekisteröidyllä on lisäksi oikeus tulla unohdetuksi. Silloin palveluntarjoaja/ rekisterinpitäjä on velvoitettu poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä.
3. TIETOSUOJAVASTAAVA AUTTAA JA TUKEE Tietosuojavastaava voidaan nimittää, vaikkei tietosuoja-asetus tähän nimenomaisesti velvoita. Tietosuojaan perehtyneenä asiantuntijana tietosuojavastaavasta on paljon apua hänen toimiessaan rekisterinpitäjän tukena ja auttaessa tätä toteuttamaan lakisääteiset velvoitteet. Tietosuojavastaava on asetettava esimerkiksi silloin, kun organisaation ydintehtävät muodostuvat sellaisesta henkilötietojen käsittelystä, mikä edellyttää laajamittaista rekisteröityjen henkilöiden säännöllistä ja järjestelmällistä seurantaa. Esimerkkinä apteekit.
4. PANOSTA TIETOTURVAAN Käsittele henkilötietoja luottamuksellisesti ja turvallisesti. Tee riskiarviointi mahdollisista uhkatilanteista. Huolehdi yrityksesi tietoturvasta. Huonosti hoidettu tietoturva on sekä maineriski että taloudellinen riski. Tietoturvan perusasioihin kuuluvat ajanmukaiset palomuurit, keskitetty virustorjunta, kiintolevysalaukset sekä automatisoitu varmuuskopiointi. Yritykset havaitsevat verkon kautta tapahtuvat tietomurrot keskimäärin 9-12 kuukautta murrosta. Reagoi nopeasti tietomurron tultua ilmi. Tee valmiiksi lista tarvittavista toimenpiteistä, mutta muista erityisesti seuraavat velvoitteet: Rekisterinpitäjän on tehtävä tietoturvaloukkauksesta ilmoitus valvontaviranomaiselle 72 tunnin kuluessa loukkauksen havaitsemisesta. Rekisterinpitäjä on velvollinen ilmoittamaan tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä, jos loukkaus aiheuttaa korkean riskin henkilön oikeuksille ja vapauksille.
5. KOULUTA HENKILÖKUNTAASI Henkilökunnan osaaminen on olennainen osa henkilötietojen asianmukaista ja turvallista käsittelyä dokumentoinnin koko elinkaaren ajan. Säännöllisellä koulutuksella varmistat, että henkilökunnalla on aina käytössään ajantasaiset tiedot henkilötietojen käsittelystä. Jos haluat kuulla lisää EU:n tietosuoja-asetuksesta, kysy rohkeasti. 99-prosenttisella varmuudella GDPR koskee myös sinua!