Mikä tietosuoja-asetus?
Suomen ja Euroopan unionin tietosuojalait ovat uudistumassa. EU:n yleistä tietosuoja-asetustaAvautuu uuteen ikkunaan sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.
Sisäisten toimintamallien kehittäminen ja dokumentointi
Monet periaatteet säilyvät ennallaan, mutta tietosuoja-asetus tuo myös uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava.
Keskeistä ja uutta tietosuoja-asetuksessa on muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava.
Rekisterinpitäjän on huolehdittava siitä, että tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa.
Tietosuojaperiaatteiden mukaan henkilötietoja on
• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
Miten voit valmistautua tietosuoja-asetukseen?
Valmistautuessasi tietosuoja-asetukseen:
1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.
2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.
3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.
4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida.
5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.
6. Huolehdi tietoturvasta.
7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.
8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.
Miten NetBaronilla on valmistauduttu?
Kevään aikana olemme tehneet ohjelmistoihimme tarvittavia teknisiä muutoksia ja julkaisseet palveluidemme päivitetyt tietoturva- ja tietosuojadokumentaatiot. Tulemme lähiaikoina tiedottamaan asiakkaillemme ja kumppaneillemme tarkemmin muun muassa palveluihimme tulleista ja tulevista teknisistä muutoksista. Lisäksi tulemme myös tarjoamaan asiantuntemustamme asiakkaiden ja kumppaneiden käyttöön artikkelien sekä webinaarien muodossa.
NetBaron Oy:n tietoturvaseloste
Löydät tarkemmat tiedot omasta tietoturvastamme tietoturvaselosteestamme.