GDPR tulee – näin varaudut EU:n tietosuoja-asetukseen

EU:n uutta tietosuoja-asetusta (GDPR) aletaan soveltaa toukokuussa 2018. Tässä artikkelissa kerrotaan, miten voit valmistautua uuden tietosuoja-asetuksen tuomiin vaatimuksiin yrityksesi ja verkkokauppasi tietojen käsittelyssä. Kerromme myös tulevista tietosuojaan liittyvistä muutoksista MyCashflow-palvelussa.

Mikä GDPR on ja mitä se tarkoittaa?

EU:n tietosuoja-asetus (GDPR, General Data Protection Regulation) astui voimaan toukokuussa 2016. Sitä aletaan kuitenkin soveltamaan vasta kahden vuoden siirtymäajan jälkeen 25.5.2018. Tietosuoja-asetuksen tarkoitus on yhdenmukaistaa EU-alueen tietosuojalainsäädäntöä ja näin helpottaa palveluiden tarjoamista EU-alueella.

Tietosuoja-asetus luo yrityksille uusia vaatimuksia tietojen käsittelyyn. Henkilötietojen suojaaminen on yksi Euroopan unionin perusoikeuksista ja tietosuoja-asetus lisää oikeuksia, joilla ihmiset voivat kontrolloida henkilötietojaan. Alla on käyty läpi asetuksessa määriteltyjä oikeuksia:

Oikeus saada tietoa henkilötietojen käsittelystä

Ihmisille on tarjottava tietoa siitä siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla. Käytännössä tämä tarkoittaa aiempaa laajempaa tietosuojaselitettä nykyisin usein tarjottavan rekisteriselosteen sijaan sekä aiempaa selkeämpää esitystapaa.

Oikeus siirtää omat tietonsa tietojärjestelmästä toiseen

Jos rekisteröity käyttää oikeuttaan siirtää tietojaan järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollistaa.

Oikeus saada tieto tietoturvaloukkauksesta

Yritysten ja organisaatioiden on raportoitava kansalliselle tietosuojaviranomaiselle tietoturvaloukkauksista. Viranomaisten lisäksi myös käyttäjille, joiden tietoja tietoturvaloukkaus koskee, on ilmoitettava vakavista loukkauksista mahdollisimman pian, jotta nämä voivat ryhtyä tarvittaviin toimiin omien tietojensa suojaamiseksi ja vahinkojen minimoimiseksi.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Tietosuoja on otettava huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa niin, että yksityisyydensuojaa edistävät oletusarvot (asetukset) ovat automaattisesti käytössä esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa.

Oikeus tulla unohdetuksi

Jos käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot on poistettava, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoituksena on taata kansalaisten yksityisyydensuoja, ei esimerkiksi hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta.

Tiukemmat seuraukset rikkomuksista

Tietosuojaviranomaiset voivat itse jatkossa antaa EU-sääntöjä rikkovalle yritykselle sakon, joka voi olla jopa neljä prosenttia yhtiön maailmanlaajuisesta liikevaihdosta.

 


 

Muutoksia MyCashflow-palveluun

Tietosuoja ja -turva huomioidaan nykyiselläänkin vahvasti MyCashflow-verkkokaupan tuotekehityksessä, ja sillä on suuri yleisluontoisempi rooli kaikessa toiminnassamme. Tietosuojauudistuksen myötä tarkennamme edelleen joitakin tietosuojaan liittyviä tekijöitä MyCashflow-palvelussa talven ja kevään 2018 aikana.

Muutoksia on luvassa ainakin seuraavasti:

Käyttäjäroolit ja käyttöoikeudet

Tarkennamme verkkokaupan hallinnan käyttäjärooleja ja käyttöoikeuksia. Tarkoituksena on varmistaa, että jokaiselle verkkokaupan hallinnan käyttäjälle voidaan määrittää oikeudet vain kyseisen käyttäjän tarvitsemiin tietoihin ja toimintoihin.

Tietosuojaseloste valmiiksi sivuksi verkkokauppaan

MyCashflow-verkkokauppoihin lisätään automaattisesti oletusarvoiseksi sivuksi nykyistä rekisteriselostetta laajempi tietosuojaseloste. Lisäksi tietosuojaselosteen laatimista helpotetaan julkaisemalla koko MyCashflow-verkkokauppapalvelua koskeva tietosuojaseloste, josta jokainen kauppias ja käyttäjä voi tarkistaa, mitä tietoja verkkokaupan käyttämät palvelut käsittelevät ja välittävät, ja hyödyntää tätä tietoa oman tietosuojaselosteen laatimisessa.

Tarkemmat lokitiedot

Mahdollisten tietoturvaongelmien selvittämistä varten selkeytetään ja tarkennetaan lokitietoja, joiden avulla myös Pulse247 Oy saa aiempaa tarkempaa tietoa verkkokaupan toiminnasta ja voi palveluntarjoajana reagoida mahdollisiin tietoturvaongelmiin nopeammin ja tehokkaammin.

Jatkamme tietosuoja-asioiden ja tietosuojamallin kehitys- ja dokumentaatiotyötä sekä yrityksenä kokonaisuudessaan että MyCashflow-palvelun osalta. Tämä projekti jatkuu läpi talven ja kevään ja voi tuoda tässä mainittujen kehityskohteiden lisäksi myös muita muutoksia, joilla tarkennetaan tietojenkäsittelyn käytäntöjä sekä kehitetään tietosuojaan liittyviä ominaisuuksia ja toimintoja.

 


 

Miten varautua tietosuoja-asetukseen?

Suosittelemme aluksi tietysti tutustumaan itse tietosuoja-asetukseen ja sen vaatimuksiin. Luotettavaa tietoa löydät mm. oheisista lähteistä:

Tietosuoja-asetukseen varautumisessa olennaista on henkilötietojen käsittelyn ja käytäntöjen dokumentointi sekä riskeihin varautuminen. Tietosuojan dokumentaatio vastaa tietosuoja-asetuksen vaatimukseen siitä, että rekisterinpitäjän ja henkilötietojen käsittelijän on pystyttävä osoittamaan, että on noudattanut asetuksen velvoitteita. Dokumentaation pohjalta voidaan laatia myös tietotilinpäätös johdon työkaluksi.

1. Selvitä tietosuojan nykytila

Ensimmäisenä toimenpiteenä voidaan pitää yrityksen nykyisen tietojen käsittelyn kartoitusta, joka helpottaa mahdollisten ongelmakohtien löytämistä ja niiden korjaamista tietosuoja-asetuksen vaatimusten mukaisiksi.  Kartoituksessa saadaan selville yrityksen käyttämät henkilötiedot ja niiden käsittelytavat, mikä auttaa esimerkiksi tietosuojaselosteen laatimisessa.

Selvitä kaikki yrityksen käyttämät henkilötiedot, niiden tarpeet, käsittelijät ja tietojen välittäminen ulkopuolisiin palveluihin ja järjestelmiin. Listaa henkilötietorekisterit, tietojen käsittelijät ja huomioi myös ulkoiset henkilötietojen käsittelijät.

2. Tarkista ja päivitä käytännöt

Tarkista, että kaikki kerätyt tiedot ovat tarpeellisia ja että tietojen keräämisen yhteydessä pyydetään suostumus henkilöltä tietojen keräämiseen. Päivitä tietojen käsittelyn prosessit tietosuoja-asetusten vaatimusten mukaisiksi.

3. Tarkista sopimukset

Varmista, että myös käyttämienne yhteistyökumppaneiden (esim. alihankkijoiden ja toimittajien) henkilötietojen käsittely on EU:n tietosuojavaatimusten mukaista.

4. Nimeä tietosuojavastaava

Tietosuojavastaava toimii yrityksen tietosuoja-asioissa esimerkiksi rekisterinpitäjien apuna lakisääteisten velvoitteiden toteuttamisessa ja toimii yhteyshenkilönä valvontaviranomaisiin. Tietosuoja-asetus ei vaadi tietosuojavastaavan nimittämistä, jos tietojen käsittely ei ole niiden keskeinen toimiala, mutta käytännössä voi olla selkeintä osoittaa tietosuoja-asioista huolehtiminen tietylle henkilölle. Tietosuojavastaava vaaditaan myös, jos käsittelet henkilötietoja kohdistaaksesi mainontaa hakukoneiden avulla ihmisten verkkokäyttäytymisen perusteella.

5. Arvioi riskit ja varaudu niiden toteutumiseen

Tietosuojariskejä voidaan arvioida esimerkiksi listaamalla riskit ja sijoittamalla ne nelikenttään, jossa arvioidaan toisaalta riskin todennäköisyyttä ja toisaalta vakavuutta. Erilaisille riskeille laaditaan suunnitelma, jolla niiden vakavuutta ja todennäköisyyttä vähintäänkin pienennetään. Korjaustoimenpiteet aloitetaan luonnollisesti vakavimmista ja todennäköisimmistä riskeistä.

Laadi suunnitelma myös riskien toteutumisen varalle ja luo konkreettiset toimintaohjeet ongelmasta palautumiseen. Selvitä esimerkiksi kuinka tieto sattuneesta tietomurrosta saadaan asianomaisille henkilöille mahdollisimman nopeasti.

Pidä huolella laadittu tietosuojadokumentaatio ajan tasalla, jotta voit osoittaa, että olet noudattanut tietosuoja-asetuksen velvoitteita.

 


 

Lisätietoa:

Euroopan komission sivut aiheesta (englanniksi):
http://ec.europa.eu/justice/data-protection/

Euroopan komission tietosuojainfografiikka:
http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_fi.htm

Tietosuojavaltuutetun toimiston sivut:
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html