Miten GDPR vaikuttaa juuri sinun yrityksesi toimintatapoihin ja tietoturvakulttuuriin?
Euroopan Unionin asettama yleinen tietosuojadirektiivi astuu voimaan 25.5.2018. Tietosuojadirektiivi, eli GDPR on noussut esiin keskusteluissa säännöllisesti ja aihe on varmasti edes jollain tapaa tuttu meille kaikille. Jotta GDPR ei jäisi vain akronyymin ja muutaman käytännön esimerkin tasolle, alla pähkinänkuoressa tietoa, mistä oikein on kyse.
IT-infran tietoturvallisuus
GDPR vaikuttaa kaikkiin yrityksiin, jotka käsittelevät henkilötietoja. Henkilötiedoilla tarkoitetaan myös yrityksen omaa henkilöstöä ja sen tietoja asiakasdatan lisäksi. Aloita GDPR-auditointi siis kurkkaamalla oman konepellin alle. Organisaatio, joka kerää henkilötietoja asiakkuudenhallintajärjestelmään on erityisen kriittisessä asemassa varmistaessaan GDPR-kelpoisuutensa, sillä henkilötietoja käsittelee usein myös organisaation digitoimisto kohdentaessaan mainontaa ja mm. sähköpostimarkkinoinnissa. Koko arvoketjun varmistaminen on organisaation vastuulla, vaikka henkilötietojen käsittelyssä kolmansien osapuolten kanssa saatetaankin soveltaa yhteisvastuuta.
Myös manuaaliset käsittelytavat syyniin
Organisaation johto on vastuussa GDPR-asetuksen noudattamisesta. Tämä tarkoittaa käytännön tasolle vietynä sitä, että IT-järjestelmät, sopimukset alihankkijoiden, kumppanien ja asiakkaiden kanssa on oltava kunnossa. Hyvänä nippelitietona lisättäköön, että alle 16-vuotiaiden henkilötietojen tallentaminen ja käsittely edellyttää vanhempien suostumusta. Asetuksen noudattaminen tulee dokumentoida ja siitä tulee ilmetä mm. prosessikuvaukset ryhmitettynä eri datankäsittelijöiden työnkuvien mukaan. Järjestelmävinkkelistä tämä edellyttää, että IT-järjestelmissä oikeudet ovat mahdollisuus jakaa ryhmittäin ja varmistaa, että järjestelmät ovat teknisesti kyllin suojattuja.
GDPR-kelpoisuuden laiminlyönti voi maksaa yrityksellesi jopa 4% liikevaihdosta
Yrityksen kannattaa varmistaa, sovelletaanko siihen velvoitetta nimetä tietosuojavastaava (DPO). Tietosuojavastaavan pätevyys tulee varmistaa esimerkiksi soveltuvalla kurssilla. Henkilöstön kouluttaminen on tärkeää ja viestii myös asiakkaillesi, että suhtaudutte asiaan ammattimaisesti. Tietoturvallinen toiminta on jatkuvaa työtä, joten johda sitä asianmukaisesti.
Ehkäpä tunnetuin kohta asetuksessa on “oikeus tulla unohdetuksi”. Järjestelmien ja prosessikuvausten osalta tämä tarkoittaa, että koko arvoketju tulee “tyhjentää” henkilön tiedoista.
GDRP-asetuksen IT-infran varmistaminen on meille arkipäivää. Ota yhteyttä ja varmistetaan yhdessä yrityksesi valmiudet asetuksen voimaantuloa 25.5.2018 varten.