Mikä on GDPR? Kokosimme kaiken tarpeellisen uudesta tietosuoja-asetuksesta

null

GDPR on ollut jatkuvasti uutisissa ja todennäköisesti myös sähköpostisi saapuneissa viesteissä, kun asiakasyritykset ja yhteistyökumppanit yrittävät kiirehtiä täyttääkseen uuden EU-asetuksen vaatimukset.

Konsulttitalo Capgeminin selvityksen (ruotsiksi) mukaan 85 % eurooppalaisista ja amerikkalaisista yrityksistä myöhästyy uuden tietosuoja-asetuksen aikataulusta, eikä neljäsosa yrityksistä ehdi hoitaa asiaa kuntoon edes vuoden loppuun mennessä. 

Asetus astui voimaan tänään 25.5., joten yritysten täytyy varmistaa välittömästi, että kaikki tietosuojakäytännöt ovat ajan tasalla.

Tämä uudistus tulee varmasti aiheuttamaan harmaita hiuksia suurimmalle osalle yrityksistä, mutta kokosimme tähän oppaaseen kaikki oleellisimmat seikat EU:n suuresta tietosuoja-asetuksesta.

Osa artikkelimme linkeistä johtaa englanninkielisille sivuille. Teemme jatkuvasti töitä saadaksemme entistä useamman sivun suomen kielelle.

Mikä GDPR on?

GDPR (The General Data Protection Regulation), yleinen tietosuoja-asetus tai virallisesti EU-asetus 2016/679. Millä nimellä sitten haluatkaan kutsua uutta asetusta, se on yksi merkittävimmistä ja laaja-alaisimmista lakimuutoksista koskaan.

Euroopan Unioni hyväksyi asetuksen huhtikuussa 2016 ja se astui voimaan Suomessa 25.5.2018 alkaen. Asetus tuo yhteen useampi aiempia lakeja ja yhtenäistää tietosuojaan liittyvän lainsäädännön koko EU:n alueella.

Se korvaa muun muassa EU:n aiemman tietosuojadirektiivin (direktiivi 95/46/EC), joka astui voimaan jo vuonna 1995. Uuden asetuksen tarkoituksena onkin soveltua paremmin moderniin, teknologiapainoitteiseen maailmaan.

Yleisen tietosuoja-asetuksen päätekijät liittyvät päivittäiskäyttäjien yksityisyydensuojaan ja heidän verkkoon luomaansa dataan. Se vaikuttaa kaiken kokoisiin yrityksiin, koska se rajoittaa kyseisen datan keräämistä, varastointia ja käyttämistä.

GDPR:n myötä yritysten täytyy myös ilmoittaa selkeästi, kun ne keräävät henkilökohtaisia tietoja asiakkaistaan. Käytännössä yritysten täytyy siis kertoa yksityiskohtaisesti mihin he aikovat käyttää henkilötietoja ja hankkia niiden keräämiseen asiakkaan suostumus.

Henkilötiedot täytyy kerätä salatussa muodossa, jotta niitä ei voida yksinään yhdistää tiettyyn henkilöön. Salausta kutsutaan virallisesti pseudonymisoinniksi ja sitä voisi verrata vaikka palapeliin: yksittäiset palat eivät paljasta mitään, mutta niitä yhdistelemällä saadaan aikaiseksi kokonainen kuva.

Lähes kaikki verkkoon luotu data voidaan lukea henkilötiedoiksi. Kaikki verkkoon luodut tiedot, jotka voidaan yhdistää suoraan tai epäsuoraan tiettyyn henkilöön ovat uuden tietosuoja-asetuksen alaista tietoa. Käytännön esimerkkejä ovat vaikkapa nimet, sähköpostiosoitteet, kuvat, pankkitiedot, sosiaalisiin medioihin tehdyt julkaisut, terveystiedot ja jopa tietokoneen IP-osoite.

Käyttäjillä on oikeus kaikkiin yrityksen keräämiin tietoihin, joten he voivat halutessaan pyytää tietoja nähtäväkseen tai jopa vaatia yrityksen poistamaan kaikki heistä kerätyt tiedot. Käyttäjillä on siis huomattavasti enemmän valtaa omien tietojensa suhteen.

Jos yritys kärsii datarikkeestä, joko vahingon tai kyberhyökkäyksen johdosta, sen täytyy kertoa tästä kaikille asianomaisille 72 tunnin sisällä tapahtuneesta.

Keitä yleinen tietosuoja-asetus koskee?

Yleinen tietoturva-asetus koskee kaikkia yrityksiä, jotka tarjoavat tuotteita tai palveluita kelle tahansa Euroopan Unionin alueella asuvalle.

Toisin sanoen myös Euroopan Unionin ulkopuolella toimivien yritysten täytyy varmistaa, että heidän tietosuojakäytäntönsä täyttävät kaikki GDPR:n vaatimukset, jos he aikovat toimia EU:n alueella asuvien asiakkaiden kanssa. Myös EU:n ulkopuoliset yritykset voidaan tuomita sakkoihin EU-asukkaiden tietoihin liittyvistä datarikkeistä.

Miten voin valmistautua yleiseen tietosuoja-asetukseen?

Jos yrityksesi toimii EU:n alueella asuvien asiakkaiden kanssa, sinun täytyy varmistaa, että keräät, varastoit ja käytät henkilötietoja GDPR:n raamien mukaisesti.

Ensinnäkin sinun täytyy selvittää, mitä henkilötietoja pidät tällä hetkellä hallussasi ja kuinka olet saanut ne käsiisi. Monet organisaatiot ovat pimennossa siitä, kuinka valtava määrä tietoa niillä on asiakkaistaan. Toisaalta monet asiakkaat ovat vähintään yhtä tietämättömiä siitä, millainen määrä tietoa heistä on kerätty.

Kaikki tiedot täytyy salata kunnolla, jotta niiden tietoturvasta voidaan varmistua. Suosittelemme siis rajoittamaan henkilötietoihin pääsyä siten, että vain avainhenkilöillä on oikeus katsella niitä.

Kannattaa myös varmistaa, että henkilötiedot varmuuskopioidaan säännöllisesti, sillä yleisen tietosuoja-asetuksen myötä asiakkailla on oikeus vaatia nähdä itsestään kerätyt tiedot milloin tahansa. Et siis halua joutua siihen tilanteeseen, että tiedot ovat syystä tai toisesta poistuneet järjestelmästäsi...

Jos yrityksesi toimii henkilötietojen parissa suuremmassa mittakaavassa, olet myös velvoitettu nimeämään virallisen tietosuojajohtajan (Data Protection Officer, DPO).

Tietosuojajohtaja on vastuussa suurimmasta osasta yleisen tietosuoja-asetuksen alaisista asioista, kuten asetuksen noudattamisen valvomisesta ja yksityisensuojan varmistamisesta.

Luonnollisesti tämän kaltainen suuruudistus ei onnistu ilman henkilöstön panosta, joten yrityksen täytyy myös varmistaa, että kaikki työntekijät ymmärtävät uudistuksen sisällön ja tärkeyden. Asetus ei vaikuta ainoastaan organisaation IT-osastoon, vaan koskee kaikkia työntekijöitä.

Mitä tapahtuu, jos yritykseni ei täytä uusia tietosuojavaatimuksia?

Yleinen tietosuoja-asetus on merkittävä asetus ja rangaistukset sen rikkomisesta ovat tuntuvat.

Mikä tahansa organisaatio, joka jää kiinni asetuksen rikkomisesta 25.05.2018 alkaen voi joutumaan maksamaan sakon, joka vastaa joko neljää prosenttia vuosittaisesta kansainvälisestä liikevaihdosta tai 20 miljoonaa euroa riippuen siitä, kumpi summista on suurempi.

On vielä epäselvää, millä tavalla GDPR:ää tarkalleen ottaen valvotaan ja voivatko yritykset saada koostaan huolimatta niin suuria rikemaksuja.

Tällä hetkellä paras ratkaisusi on joka tapauksessa valmistautua uuteen asetukseen niin hyvin kuin suinkin pystyt.