Tietosuoja-asiaa (GDPR)

Uusi GDPR (General Data protection regulation) -asetus on jo voimassa, mutta siitä puhutaan vasta nyt enemmän, koska sanktiot tulevat voimaan ensi vuoden toukokuussa 25.5.2018. Lyhyesti kyseessä on henkilötietojen turvaaminen eli yksilön oikeus omiin tietoihinsa.

Tiedonsaantioikeus

Tietosuoja-asetus GDPRYksilöllä on oikeus tarkistaa ja pyytää poistamaan omat tiedot tietyn yrityksen tietokannoista. Tässä on voimassa elinkaariajattelu eli jos en ole enää asiakas, niin yrityksellä ei ole tarvetta säilyttää minun tietojani.

Yritysten ja yhdistysten kannalta tämä ei olekaan aina niin yksinkertaista. Ensin pitää miettiä missä henkilötiedot (mm. henkilökunta/jäsenet, rekrytointi, asiakkaat) sijaitsevat ja ketkä pääsevät tietoihin käsiksi. Löytyykö tietokannoista seuranta eli pystytäänkö seuraamaan kuka tietoja on käynyt katsomassa tai muuttamassa. Havaitaanko mahdolliset tietomurrot ja onko mahdollista reagoida nopeasti murtoyrityksiin? Tietoturvaloukkauksesta tulee myös ilmoittaa 72h kuluessa.

Kysesssä ei ole kertaluontoinen päivitys. Tietoja pitää analysoida, ylläpitää ja pyrkiä vähentämään riskejä jatkuvasti. Eli henkilötietojen käsittelyprosessi tulisi olla jatkuvaa arkirutiinia. Organisaatioon tulisi nimittää myös tietosuojavastaava, joka puolueettomasti ”pitäisi tietosuojan puolia”.

Käytännön vinkkejä

Pienyrittäjän (ja miksei suuremmankin) näkökulmasta ensimmäinen askel olisi oman prosessin havainnointi ja dokumentoiminen.

Mistä henkilötieto minulle tulee, minne se päätyy eli mihin sen tallennan ja miten se poistetaan.

Ja tämän jälkeen pohdinta miten tietojen ylläpitoa seurataan, kuka pääsee niihin käsiksi ja missä kunnossa on minun yritykseni tietoturva?

Tietoturva kuntoonHyvä vinkki on kerätä vain tarvittavat tiedot. Esimerkiksi jos pyydät liittymään sähköpostilistalle, niin tarvitset sähköpostiosoitteen lisäksi vain nimen. Älä kerää ”turhaa” tietoa. Asiakkaalta tarvitaan suostumus henkilötietojen käsittelyyn, tämä voidaan mainita esimerkiksi verkkokaupan tilausehdoissa.

Lokitietojen selvittämistä varten tärkeää on poistaa kaikki yhteiskäyttötunnukset.

Eri tietokantoihin ja ohjelmistoihin jokaisella käyttäjällä tulisi olla oma tunnus, jolloin pystytään selvittämään kuka on mitäkin tietoja lisäillyt, muokannut tai poistanut.

Henkilötietojen käsittely voidaan myös ulkoistaa (esimerkiksi palkkahallinto), mutta tällöin pitää muistaa, että vastuu silti pysyy henkilötiedot ”omistavalla” yrityksellä. Tarkkuutta siis sopimuspaperien laatimiseen sekä kumppanin valintaan.

Hyvä tietosuoja on myös osa yrityksen brändiä, se jos mikä luo luottamusta yritykseen. Ja eiköhän jokainen halua olla luotettava kumppani asiakkaalle.

Lisätietoja

Tässä kirjoituksessa oli asetuksesta pääkohdat. Jos asiaan ei ole vielä ehtinyt perehtyä tarkemmin, niin lisää tietoa asetuksesta löytyy Tietosuoja-sivuilta http://www.tietosuoja.fi/ .

Jätä kommentti