Tietosuojakartoitus – miksi se kannattaa tehdä?

Uudesta tietosuoja-asetuksesta (GDPR) puhutaan nyt jatkuvasti ja joka puolella, kun sen soveltamisen aloittamiseen on enää kaksi kuukautta aikaa. Asetus koskee kaikkia organisaatioita, joissa käsitellään jossain muodossa henkilötietoja. Monet yritykset ovat vielä kaukana asetuksen määräysten noudattamisesta, eivätkä 25.5. mennessä tule saamaan toimintaansa GDPR:n mukaiseksi. Jos yritykseltäsi puuttuu vielä tietosuojakartoitus, on sen aika nyt.

Miksi tietosuojakartoitus tehdään?

Asetus velvoittaa yrityksiä todistamaan pyydettäessä, että tietosuojavaatimuksia noudatetaan. Laiminlyönnistä seuraavat sakot voivat olla jopa 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta, kumpi näistä onkaan korkeampi summa. Taloudellisia tappioita suurempikin haitta voi olla kolhut yrityksen maineelle, joita laiminlyönnistä aiheutuu, joten tietosuojan saattaminen vähintään vaadittavalle tasolle on erittäin tärkeää. Asiantuntijan suorittama tietosuojakartoitus auttaa tietosuojatilanteesi selvittämisessä ja on ensimmäinen askel tietosuojasi saattamisessa ajan tasalle.

Tietosuojakartoitus on perusta henkilötietojen käsittelyllesi. Sen avulla saat selkeän arvion siitä, kuinka hyvin tällä hetkellä noudatat tietosuojavelvoitteita ja mitä dokumentaatiossasi ja prosesseissasi täytyy muuttaa. Tarkoituksena on hahmottaa tietosuojasi nykytilanne, ja laatia sen pohjalta toimenpide-ehdotukset, jotka toteuttamalla henkilötietojesi käsittely noudattaa varmasti kaikkia tietosuoja-asetuksen velvoitteita. Kartoituksella täytät myös jo osan asetuksen osoitusvelvollisuudesta.

GDPR:n myötä yritysten on suunniteltava henkilötietojen käsittely ja tiedettävä, miksi ja mitä tietoja kerätään, ja tämä on pystyttävä viranomaisille pyydettäessä osoittamaan. Tietosuojakartoitus selvittää, miten yrityksessäsi käsitellään tietoja ja kenellä on mahdollisuus päästä niihin käsiksi. Asiantuntijan kanssa toteutettu tietosuojakartoitus antaa varmasti todenmukaisen kuvan tietosuojastasi ja kaikki olennaiset asiat on otettu huomioon.

Tietosuojakartoituksen jälkeen

Kun olet selvittänyt tietosuojasi lähtötilanteen ja mahdolliset puutteet, alkaa henkilötietojen käsittelyn muuttaminen asetuksen tasalle. Esimerkiksi sopimukset asiakkaiden ja alihankkijoiden kanssa on laadittava uudelleen GDPR:n mukaisiksi. Henkilötietojen käsittely on dokumentoitava ja sille on tehtävä suunnitelma. Tietosuoja-asetukseen ei kuitenkaan kannata suhtautua ikävänä pakkona, vaan nähdä sen mahdollisuudet parempaan asiakaspalveluun, kilpailuetuun sekä myös omien tietojesi turvallisempaan käsittelyyn.

Jos tietosuojakartoitus osoittaa, että toimintasi ei ole vielä asetuksen tasalla, Tietosuojavastaasi™-palvelun avulla päivitämme toimintasi ja sopimuksesi asianmukaisiksi. Kysy lisää tietosuojakartoituksesta ja Tietosuojavastaasi™-palvelusta – kerron mielelläni lisää, miten voin auttaa yritystäsi.

2018-03-26T08:58:55+00:00 26.03.2018|GDPR, Tietosuojakartoitus|

Yrityksen tietosuoja – mitkä ovat keskeisiä velvollisuuksiasi rekisterinpitäjänä?

Yrityksen tietosuoja nousee entistä tärkeämpään asemaan, kun uusi tietosuoja-asetus GDPR tulee sovellettavaksi 25.5.2018 alkaen. Kirjoitin jo aikaisemmin GDPR:n mukanaan tuomista muutoksista ja millaisia toimenpiteitä se yrityksiltä vaatii. Nyt kerron laajemmin, mitä yrityksen on huomioitava tietosuoja-asioissaan, ja mitkä ovat sen velvollisuuksia rekisterinpitäjänä.

Osoitusvelvollisuus

Yrityksen on kyettävä osoittamaan, että asetuksen mukaista henkilötietojen käsittelyä noudatetaan. Asian todistamiseksi tietojen käsittelyn tulee olla suunnitelmallista ja dokumentoitua ja yrityksen tulee todentaa, miten tietosuoja-asetuksen periaatteiden noudattaminen sekä rekisteröityjen oikeuksien ja heidän tiedottamisensa toteutuminen varmistetaan.

Käsittelyyn liittyvien riskien arviointi

Henkilötietoihin kohdistuvat toimenpiteet ja suojatoimet riippuvat siitä, kuinka paljon käsittelystä arvioidaan aiheutuvan riskiä rekisteröidyn oikeuksille ja vapauksille. Esimerkiksi käsittelyn riskinä voi olla, että rekisteröity joutuu identiteettivarkauden kohteeksi tai kärsii taloudellisia menetyksiä tietosuojaloukkauksen johdosta. Riskin todennäköisyys ja vakavuus riippuvat muuan muassa käsittelyn luonteesta ja laajuudesta, ja toimenpiteet on suhteutettava sen mukaan.

Seloste käsittelytoimista

Yrityksen on ylläpidettävä selostetta henkilötietojen käsittelystään, mikäli sen palveluksessa on vähintään 250 henkilöä, tai sen toteuttamaan henkilötietojen käsittelyyn liittyy todennäköisiä riskejä rekisteröityjen oikeuksien ja vapauksien kannalta, käsittely ei ole satunnaista tai käsittely kohdistuu arkaluonteisiin tai rikosoikeudellisiin seuraamuksiin liittyviin henkilötietoihin. Selosteesta on selvittävä muun muassa rekisterinpitäjän tiedot ja kenelle henkilötietoja on luovutettu tai luovutetaan, sekä mitä tarkoitusta tai tarkoituksia varten tietoja kerätään ja käsitellään. Seloste on pätevä keino osoittaa henkilötietojen käsittelyn asianmukaisuus.

Tietosuojaa koskeva vaikutuksenarviointi ja ennakkokuuleminen

Jos käsittelystä aiheutuva riski rekisteröityjen oikeuksille ja vapauksille arvioidaan suureksi, täytyy tietosuojalle tehdä vaikutuksenarviointi. Vaikutusten arvioinnissa on tarkasteltava erityisesti sellaisia toimenpiteitä, joilla voidaan pienentää käsittelystä aiheutuvaa riskiä ja varmistaa asianmukainen tietojen käsittely rekisterinpitäjän toiminnassa. Jos riski arvioidaan korkeaksi, eikä rekisterinpitäjä pysty sitä pienentämään, ei käsittelyä saa aloittaa ennen valvontaviranomaisen ennakkokuulemista.

Käsittelyn turvallisuus

Yrityksen tietosuoja on oltava asetuksen mukaista kaikissa käsittelyn vaiheissa, aina tietojen keräämisestä niiden tuhoamiseen. Yrityksen on pidettävä huolta, että yrityksen tietoturva on vahva ja suojaa tietomurroilta.  Rekisterinpitäjän on pidettävä huoli, että kaikki, joilla on pääsy henkilötietoihin, käsittelevät niitä ohjeistuksen mukaisesti: niin oma henkilöstö kuin henkilötietojen käsittelijöinä toimivat yhteistyökumppanitkin. Yrityksellä on myös oltava suunnitelma siltä varalta, että tietoturvaloukkaus tapahtuu. On hyvä varmistaa, että palveluntarjoaja on myös sitoutunut tietosuoja ja tietoturvaprosesseihin.

Tietoturvaloukkauksista ilmoittaminen

Tietoturvaloukkauksesta on ilmoitettava sekä valvontaviranomaisille että loukkauksen kohteiksi joutuneille. Ilmoitus viranomaisille on tehtävä 72 tunnin kuluessa loukkauksen selviämisestä sekä rekisteröidyille ilman aiheetonta viivytystä, jos loukkaus saattaa aiheuttaa rekisteröityjen oikeuksiin ja vapauksiin kohdistuvan riskin. Yrityksen on syytä varautua mahdollisiin loukkauksiin muun muassa laatimalla asianmukainen viestintäsuunnitelma loukkauksen varalle sekä prosessiohjeistus tietoturvaloukkauksien havaitsemiseksi, eskaloimiseksi sekä tietoturvaloukkauksesta ilmoittamista varten.

Tietosuojavastaavan nimeäminen

Yrityksen on nimettävä tietosuojavastaava, mikäli sen ydintehtävät edellyttävät laajaa ja järjestelmällistä henkilötietojen, erityisten henkilötietoryhmien tai rikosseuraamuksia koskevien tietojen käsittelyä. Tietosuojavastaavaa nimettäessä on otettava huomioon tämän ammattipätevyys ja asiantuntemus tietosuojalainsäädännöstä. Ulkoisen tietosuojavastaavan nimeäminen voi olla yrityksen kannalta edullisin ratkaisu, sillä tällöin vältetään mahdolliset yrityksen sisäiset eturistiriitatilanteet ja varmistetaan muun muassa, että yrityksen käytössä on jatkuvasti tuorein ja asianmukaisin tieto tietosuojasääntelystä. Lisäksi käyttämällä ulkopuolista asiantuntijaa tietosuojavastaavana voidaan muun ohella vapauttaa yrityksen sisäistä potentiaalia, kun yhtiön sisäisen tietosuojavastaava voi käyttää aikansa muihin tehtäviin. Tietosuojavastaavan nimeämisestä voit lukea lisää aikaisemmasta kirjoituksestani.

Henkilötietojen käsittelyn ulkoistaminen

Yrityksen tietosuoja on huomioitava myös henkilötietojen käsittelyn ulkoistamisessa. Ulkoistamista on, jos ostaa toiselta yritykseltä esimerkiksi palkkahallinnon palveluita. Rekisterinpitäjän on saatava ulkoiselta taholta riittävät takeet siitä, että henkilötietojen käsittely tapahtuu asetuksen mukaisesti. Ulkoistettavasta käsittelystä on laadittava kirjallinen ja yksityiskohtainen sopimus henkilötietojen käsittelyä koskien sekä asianmukainen ohjeistus näissä tilanteissa henkilötietojen käsittelijänä toimivalle.

Velvollisuuksia siis riittää rekisterinpitäjällä ja niiden noudattaminen vaatii työtä ja tarkkaa suunnittelua. Tuntuuko monimutkaiselta? Concludentian Tietosuojavastaavasi™ -palvelu on apunasi kaikissa tietosuojaan liittyvissä asioissa, ja sen avulla saat selkeän kuvan GDPR:n vaatimuksista ja yrityksesi valmiudesta toteuttaa GDPR:n mukaiset velvollisuudet asianmukaisesti. Ota yhteyttä – esiselvitämme tilanteesi ja tarpeesi veloituksetta!

2018-03-06T09:31:12+00:00 06.03.2018|GDPR|

Ulkoistettu tietosuojavastaava yrityksellesi

Uusi EU:n laajuinen tietosuoja-asetus eli GDPR astuu voimaan toukokuussa. Viime kirjoituksessani selvitin, mitä tämä uusi asetus käytännössä tarkoittaa ja miten yritysten täytyy siihen reagoida. Tällä kertaa perehdyn tietosuojavastaavan tehtäviin ja vastuualueisiin sekä kerron, miksi ulkoistettu tietosuojavastaava on harkinnan arvoinen vaihtoehto.

Milloin tietosuojavastaava on nimettävä?

Tietosuojavastaava on nimettävä yrityksiin, joiden ydintehtävät edellyttävät laajaa ja järjestelmällistä henkilötietojen, erityisten henkilötietoryhmien tai rikosseuraamuksia koskevien tietojen käsittelyä. Edellä mainittuja toimijoita ovat mm. sote-palveluiden tuottajat, joilla on jo ennestään lakisääteinen velvollisuus asettaa tietosuojavastaava, käyttäjien sijaintitietoja laajasti käyttävien sovellusten tuottajat tai näitä tietoja analysoivat toimijat sekä käyttäjien profilointiin liittyvien palveluiden tarjoajat. Tietosuojavastaavan nimeäminen koskee myös viranomaisia, tuomioistuinta lukuun ottamatta. Täysin tarkkaa jaottelua tietosuojavastaavan asettamisesta ei voida kuitenkaan GDPR:n perusteella tehdä, mutta täsmennyksiä ja suuntaviivoja voidaan etsiä lainsäädännön valmistelutöistä sekä viranomaistulkinnoista ja -ohjeistuksista, kun niitä saadaan.

Tietosuojavastaava voi olla joko yrityksen sisältä tai ulkopuolelta hankittu asiantuntija. Tietosuojavastaava voidaan asettaa myös vapaaehtoisesti, mikä onkin usein suositeltavaa ottaen huomioon tietosuojavastaavan roolin ja merkityksen GDPR:n tuomien velvollisuuksien täyttämisen tukemisessa.

Mitä tietosuojavastaava tekee?

Tietosuojavastaavan tehtävänä on olla organisaatiossa tietosuojan asiantuntija. Hän neuvoo ja tiedottaa organisaation koko henkilöstöä asetukseen liittyvistä velvollisuuksista ja seuraa tietosuojasääntelyn noudattamista sekä henkilötietojen suojaamisen asianmukaisuutta. Tietosuojavastaava toimii myös tarvittaessa neuvonantajana tietosuojan vaikutuksenarvioinnissa, valvoen sen toteutusta. Yritysten sisäisten tehtävien lisäksi tietosuojavastaava toimii linkkinä yrityksen ulkopuolelle: hän tekee yhteistyötä valvontaviranomaisten kanssa sekä on rekisteröityjen, kuten asiakkaiden ja henkilöstön, yhteyshenkilö kaikissa heidän henkilötietojensa käsittelyyn liittyvissä oikeuksissa ja asioissa.

Miksi valita ulkoistettu tietosuojavastaava?

Kuten edeltä selvisi, tietosuojavastaavan tehtävä on laaja-alainen ja vastuullinen, jolloin on erityisen tärkeää huomioida nimittämistä miettiessä henkilön pätevyys tehtävään ja asiantuntemus tietosuojalainsäädännöstä. Nimetyn henkilön on myös kyettävä suoriutumaan kaikista tietosuojavastaavan tehtävistä.

Ulkoistettu tietosuojavastaava on viisas päätös, kun yrityksestäsi ei löydy vaadittavaa osaamista tehtävään tai olet epävarma, onko osaaminen riittävä. Ammattitaitoinen ulkoistettu tietosuojavastaava on tietosuojan asiantuntija, joten voit olla varma, että yrityksesi on asetuksen tasalla ja täyttää kaikki lainsäädännön vaatimukset eivätkä tietosuojavastaavan muut tehtävät organisaatiossasi aiheuta eturistiriitatilannetta. Lisäksi ulkoistettu tietosuojavastaava on perehtynyt syvällisesti useamman toimijan henkilötietojen käsittelyyn liittyviin haasteisiin ja osaa antaa täsmällisempiä ja perustellumpia vastauksia ja ohjeita kuin tietosuojavastaava, jolle tilanteet tulevat uusina. Sinä, henkilöstösi ja asiakkaasi saatte tarvittavaa neuvontaa ja apua kaikissa asetukseen liittyvissä asioissa ja viranomaisten sekä rekisteröityjen yhteyshenkilönä toimii puolueeton ja riippumaton taho.

Concludentian Tietosuojavastaavasi™-palvelun avulla käytössäsi on ulkoistettu tietosuojavastaava, joka ymmärtää liiketoimintaa ja on perehtynyt kaikkiin tietosuojajuridiikan koukeroihin. Voit olla levollisin mielin tietäessäsi, että asiakkaidesi, yhteistyökumppaneidesi ja työntekijöidesi henkilötiedot ovat asianmukaisesti suojattu ja valvottu, ja he saavat tarvittaessa ammattilaisen neuvontaa henkilötietojen käsittelyyn liittyen. Tutustu lisää Tietosuojavastaavasi-palveluun täältä, tai ota suoraan yhteyttä, niin keskustellaan yrityksesi tilanteesta ja tarpeesta.

2018-02-14T11:35:16+00:00 14.02.2018|GDPR|

GDPR – mikä se on ja miten siihen tulee varautua?

GDPR eli General Data Protection Regulation on EU:n laajuinen tietosuoja-asetus, joka koskee kaikkea henkilötietojen käsittelyä Euroopan unionin jäsenvaltioissa ja täten velvoittaa yritykset tekemään suuria muutoksia rekisterin pitoonsa. Asetus tuli voimaan jo keväällä 2016, mutta kahden vuoden siirtymäajan myötä soveltaminen alkaa 25.5.2018, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Yrityksillä on siis vielä neljä kuukautta aikaa saada henkilötietojensa käsittely vaaditulle tasolle – velvoitteen laiminlyönnistä seuraavat hallinnolliset sakot voivat olla jopa 4 prosenttia liikevaihdosta tai 20 miljoonaa euroa riippuen siitä, kumpi näistä on suurempi, minkä lähes jokainen sanahirvityksen GDPR tunteva osaa ulkomuististaan kertoa. Vaikken henkilökohtaisesti usko, että kansallisella tasolla hallinnolliset sakot edellä mainitulle tasolle nousisivat, tulee sakkojen olla kuitenkin tehokkaita, oikeasuhteisia ja varoittavia. Lisäksi valvontaviranomainen voi määrätä muita seuraamuksia, kuten määrätä henkilötietojen käsittely keskeytettäväksi tai rajoittaa käsittelyä, joten uuteen asetukseen on syytä suhtautua sen vaatimalla vakavuudella.

Henkilötietoihin kuuluu kaikki henkilöä yksilöivä tieto kuten nimi, kotiosoite, pankkitunnukset, ostokset ja sosiaalisen median päivitykset. Henkilötietojen käsittelylle on oltava aina syy ja tarve sekä oikeutus eli rekisteröidyn henkilön suostumus tai muu yksilöity oikeusperuste.

Miksi GDPR eli tietosuoja-asetus laadittiin?

Asetuksen taustalla on teknologian kehityksen ja globalisaation tuoma henkilötietojen merkittävyyden lisääntyminen sekä tähän liittyvät henkilötietojen käsittelyn tietosuojahaasteet, joihin pyritään nyt vastaamaan yhtenäistämällä henkilötietojen käsittelyä ja vapaata liikkuvuutta koskevat säännöt EU-tasolla. Asetuksella halutaan lisätä kuluttajien henkilötietoturvaa: asetuksen ansioista henkilötietoja on käsiteltävä kaikissa yrityksissä asianmukaisesti, tietoturvalle on asetettu vaatimukset, eikä henkilötietoja saa luovuttaa EU:n ulkopuolelle ilman kuluttajan lupaa tai säädettyä oikeusperustetta. Kuluttajalla on myös oikeus mm. saada rekisterin tiedot itselleen, vaatia tietojen oikaisua ja saada ne kokonaan pyyhityiksi (”oikeus tulla unohdetuksi”), jos tämä ei ole ristiriidassa muun lainsäädännön kanssa.

Asetuksen tavoitteena on kuluttajan oikeuksien vahvistamisen lisäksi parantaa luottamusta verkossa asiointiin ja yhtenäistää EU-alueen tietosuojalainsäädäntöä. Vaikka asetuksen velvoitteet vaativat työläitä muutoksia yrityksiltä, yhdenmukainen sääntely helpottaa yritystoimintaa unionin sisällä ja edistää digitaalisten markkinoiden kehittymistä jäsenmaiden välillä.

Mitä uudistus vaatii yrityksiltä?

Muutokseen valmistautuessa täytyy ensin hahmottaa kokonaiskuva yrityksen nykyisestä henkilötietojen käsittelystä, mikä tarkoittaa kaikkien käsittelyn vaiheiden kartoittamista aina tietojen keräämisestä niiden hävittämiseen, ottaen huomioon myös henkilötietojen käsittelyn ulkoistukset. Tämän jälkeen pystytään selvittämään, mitä toimenpiteitä yritykseltä vaaditaan, jotta henkilötietojen käsittely vastaa uutta tietosuoja-asetusta. On tärkeää varmistaa, että kaikki yrityksen sopimukset – esimerkiksi asiakkaiden ja alihankkijoiden kanssa -vastaavat asetuksen ehtoja ja henkilötietojen käyttöä koskeva sisältö on ajan tasalla. Yrityksen on myös nimettävä itselleen tietosuojavastaava joko organisaation sisältä tai hankkia vastuuhenkilö ulkopuolelta.

Aikaisemmin riitti lain passiivinen noudattaminen, mutta uuden asetuksen myötä rekisterinpitäjän on pyydettäessä pystyttävä osoittamaan tietosuojasäädösten asianmukainen huomioiminen yrityksen toiminnassa. Tämä vaatii yrityksiltä henkilötietojen käsittelyn suunnittelemista ja dokumentoimista. Lisäksi henkilötietojen käsittelemisestä ja rekisteröityjen oikeuksista tulee informoida rekisteröityjä aiempaa kattavammin ja tietoturvaloukkauksista täytyy lähtökohtaisesti ilmoittaa 72 tunnin kuluessa viranomaisille. Jokainen yritys on itse vastuussa, että tietosuoja-asetus toteutuu yrityksen henkilötietojen käsittelyssä – vastuuta ei voi sysätä muille sopimuksin ja mahdollinen maineen menetys kohdistuu aina rekisterinpitäjään, olipa syy hänen tai kumppaninsa.

Olennaisinta on kuitenkin yrityksen oma asennoituminen asetukseen ja tietosuojaan yleisesti ottaen. Sen sijaan, että yritys täyttää tietosuojavaatimukset ”pakon edessä ja sakon uhalla” tulisi yrityksen ajatella, mitä arvoa henkilötiedot yritykselle antavat ja miten näiden tietojen suojaaminen voi olla sekä erinomaista asiakaspalvelua että mainio kilpailutekijä, sillä hyvin hoidettu tietosuoja on erinomainen valttikortti sekä asiakasuskollisuuden että yrityksen maineen kannalta.

2018-02-05T11:54:32+00:00 30.01.2018|GDPR|