Viisi toimenpidettä, joilla

jokaisen yrityksen tulisi varautua uuteen tietosuoja-asetukseen

EU:n uuden tietosuoja-asetuksen soveltaminen alkaa toukokuussa 2018

Uusi tietosuoja-asetus lisää kansalaisten oikeuksia, mutta asettaa toisaalta yrityksille uusia velvollisuuksia. Uuden sääntelyn myötä kaikkien yritysten on käsiteltävä entistä huolellisemmin asiakkaista ja henkilöstöstä kerättyjä henkilötietoja.

Mitä tietosuoja-asetus tarkoittaa?

EU:n uusi tietosuoja-asetuksen eli GDPR:n (General Data Protection Regulation) tavoitteena on varmistaa henkilötietojen käsittelyä koskevien sääntöjen yhtenäinen soveltaminen kaikkialla EU:ssa.

Asetus parantaa henkilötietorekisteriin kuuluvien tietosuojaa ja oikeuksia. Yleinen tietosuoja-asetus on tullut voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018. 

Mikä muuttuu?

Aiemmin tietosuojarikkomuksista on yleensä selvinnyt huomautuksella. Uuden tietosuoja-asetuksen astuttua voimaan niistä voi ropsahtaa hallinnollisia maksuja, jotka saattavat olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen globaalista liikevaihdosta.

Tietosuoja-asetuksen vaatimat kansalliset lakimuutokset ja yksityiskohdat ovat vielä auki, mutta jokaisen yrityksen tulisi varautua tulevaan jo nyt. Listasimme viisi toimenpidettä, joiden avulla voi varmistaa muutosvalmiutensa.

1. Lähde ajoissa liikkeelle

Uusi tietosuoja-asetus voi vaatia isojakin muutoksia yrityksen toimintatapoihin, sopimuksiin ja tietojärjestelmiin. Henkilötietoja paljon käsittelevät isot yritykset ovat valmistautuneet uudistukseen jo pidempään, mutta myös pk-yritysten kannattaa lähteä liikkeelle viimeistään lomien jälkeen.

2. Kartoita omat rekisterit ja tietolähteet

Henkilötietojen kerääminen vaihtelee eri yrityksissä, mutta esimerkiksi kaupan alan tai digitaalisia palveluja tarjoavilla yrityksillä voi olla huomattava määrä asiakkaista koottuja tietoja. Nimet, puhelinnumerot, sähköpostiosoitteet ja luottokorttitiedot ovat henkilötietoja. Niitä voivat myös olla esimerkiksi asiakkaiden verkkokäyttäytymistä tai sijaintia koskevat tiedot. Henkilörekistereitäkään ei tule unohtaa.

"Tietosuoja-asiat tulee huomioida kokonaisvaltaisesti kaikessa toiminnassa, jossa käsitellään henkilöihin liittyviä tietoja", summaa Lexia Asianajotoimisto Oy:n osakas Markus Myhrberg.

Jokaisen yrityksen kannattaa siis varautua viimeistään nyt uuteen tietosuoja-asetukseen eli kartoittaa tarkasti, mitä tietoja se kerää, millä perusteilla ja miten niitä käsitellään. 

Tietosuoja-asiat tulee huomioida kokonaisvaltaisesti kaikessa toiminnassa, jossa käsitellään henkilöihin liittyviä tietoja

3. Varaudu selosteiden ja sopimusten uusimiseen

Yrityksen on olennaista tiedottaa kattavasti ja selkeästi henkilötietojen käsittelystä ja tehdä riittävät sopimukset eri toimijoiden kanssa. Yritys voikin joutua päivittämään tietosuojaselosteet ja -käytännöt sekä uusimaan asiakkaiden kanssa tehtäviä sopimuksia. Sopimukset voivat mennä uusiksi myös yrityksen henkilörekisterejä käsittelevien alihankkijoiden kanssa.

"Asiakkaiden aiempia suostumuksia ei tarvitse uusia, mutta käsittelyn perusteella saattaa tulla uusia vaatimuksia. Suostumuksen hankkiminen asiakkaalta voi tällöin olla ainoa oikea toimintatapa", Markus Myhrberg kertoo.

4. Varmista tietoturva

Asiakas- ja henkilötietojen suojaaminen tietomurroilta on elintärkeää kaikille yrityksille, mutta jatkossa henkilötietojen käsittelyssä on oltava vieläkin tarkempi. Samalla on laadittava selkeät toimintatavat sen varalta, että tapahtuu tietoturvaloukkaus.

Uusi asetus velvoittaa yrityksen ilmoittamaan tietoturvaloukkauksista valvontaviranomaiselle 72 tunnin kuluessa tietomurron havaitsemisesta. Myös loukkauksen kohteiksi joutuneille tulee ilmoittaa olennaiset tiedot tietomurrosta. Tämän vuoksi on tärkeää, että myös palveluntarjoajat ovat sitoutuneet tietoturvaprosesseihin.

5. Suojaa selustasi dokumentoinnilla

Tietojen huolellinen ja asetuksen mukainen käsittely ei yksin riitä, vaan yrityksen on myös pystyttävä osoittamaan tämä asiakkailleen ja viranomaisille.

"Riippumatta siitä, onko tietoturvaloukkausta tapahtunut, viranomaiset voivat arvioida, onko järjestelmät asianmukaisesti suojattu vai ei", painottaa Markus Myhrberg.

Siksi kaikki tehdyt toimenpiteet on dokumentoitava tarkasti. Tämä on myös tärkeää, jotta asiakkaiden luottamus yritykseen säilyisi.

Jutun lähteinä on käytetty asiantuntijaseminaaria, jonka järjesti verkkomainonnan toimijoita edustava IAB Finland, sekä Lexia Asianajotoimisto Oy:n osakkaan Markus Myhrbergin haastattelua.

Tee tietosuojatesti!

Tee Lexian sivuilla testi, niin näet kuinka hyvin olet valmistautunut.

www.tietosuojatesti.fi

Ota kyberturvallisuus haltuun

Ifin tietoturvavakuutus

Vakuuta yrityksesi tietoturva

Mitä yritykseni kuuluu nyt tehdä?

Voinko vakuuttaa yritykseni EU:n tietosuoja-asetuksen vahinkojen ja kulujen varalta?

Lue lisää tästä ja muista GDPR:ään liittyvistä kysymyksistä

Huolehdi yrityksesi tietoturvasta

Henkilötietojen käsittelyä koskevat virheet voivat olla vakavia. Lue esimerkit ja miten voit suojata yrityksesi vakuutuksilla.

Esimerkkejä henkilötietojen käsittelyvirheistä