Kristian Wessberg

GDPR - Joko sinun yrityksesi on varautunut muutokseen?

EU on määrittänyt nyt neljännen teollisen vallankumouksen kynnyksellä henkilöille huomattavasti paremmat oikeudet omiin henkilötietoihinsa, joita kerätään tällä hetkellä todella paljon.  Jokaisella meistä on oma digitaalinen jalanjälki, joka jalostuu päivittäin pankkikorttiostoksista, nettisurffailusta, työpaikan kulunvalvontakuvista, puheluista ja vaikka musiikin kuuntelusta. Kaikki tämä digitaalisen jalanjäljen sisältämä tieto säilötään erilaisiin rekistereihin. Jos näiden kaikkien rekistereiden sisältämät tiedot esimerkiksi sinusta analysoitaisiin yhdeksi henkilöprofiiliksi, ylittäisi tämän tiedon määrä oman puolisosikin tiedot sinusta. Tulisit hämmästymään tiedon määrästä, luultavasti pelästymään tai ehkä jopa vihastumaan.

Vuonna 2016 EU julkaisi uuden asetuksen, GDPR:n, jonka tavoitteena on taata henkilölle huomattavasti aikaisempaa paremmat oikeudet omiin henkilötietoihinsa. Kun aikaisemmin riitti että yritys ilmoitti rekisteriselosteella tietorekisterin tarkoituksen, pitää yrityksellä jatkossa olla valmiudet näyttää toteen myös rekisterin toiminta ja käyttötarkoitus. Jatkossa henkilölle tulee oikeudet tarkastaa rekisteristä omat tiedot, pyytää tulla unohdetuksi sekä pyytää häntä koskevat rekisteritiedot siirrettäväksi toiseen rekisteriin.

Asetus velvoittaa kaikkia yrityksiä remontoimaan tietojärjestelmänsä ja prosessinsa näiltä osin. Siirtymäaikaa on 25.5.2018 asti, jolloin asetusta aletaan noudattaa tai sakkorangaistuksena on pahimmillaan 4% yrityksen globaalista liikevaihdosta.

Ei hätää, me Pinuksella olemme lanseeranneet yrityksen GDPR yhteensopivuuteen tuotteen nimeltä TurvaNAVI. TurvaNAVI:n avulla tarkastellaan yrityksen tietojärjestelmiä sekä prosesseja ja yritys saa Pinuksen tutorin avustuksella hyvän ja kattavan tiedon siitä, miten prosesseja tai järjestelmiä tulisi remontoida, jotta tietosuoja-asiat olisivat toimiva osa yrityksen arkipäivää.

TurvaNAVI tarkastee yrityksen tietoturvaa kaikilta osa-alueilta.

Edes tyydyttävän tasoista tietosuojaa on vaikea pitää yllä ilman asianmukaista tietoturvaa. Tietosuojaa koskevissa prosesseissa määritetään mm. kenellä on pääsy henkilödataan, mutta jos yrityksen palomuuri vuotaa, on koko prosessi kuin veteen piirretty viiva. Tällöin koko uutta GDPR -tietosuoja-asiaa kannattaa tarkastella hieman laajemmin ja määrittää myös koko yrityksen tietoturva nykyaikaan.

Nykyaikaisessa tietoturvassa jokainen yrityksen työntekijä tiedostaa riskit ja osaa reagoida niihin oikein. Yrityksissä paloharjoitukset ovat arkipäivää. Entä jos nyt kokeiltaisiin tietoturvaharjoitusta, jossa yrityksenne on joutunut vihamielisen verkkohyökkäyksen kohteeksi? Hyvin valmistautuneella yrityksellä hyökkäys on selätetty ennen kuin se ehtii alkaakaan, valmistautumattomalla yrityksellä hyökkäys saattaa lopettaa liiketoiminnan siihen hetkeen

Miten henkilön oikeudet ovat muuttuneet?

1. Oikeus tulla unohdetuksi. Henkilö voi ilmoittaa rekisterin ylläpitäjälle halunsa poistaa omat henkilötietonsa, jolloin taataan henkilön yksityisyydensuoja. Huomioithan kuitenkin, että poistoa ei toisten lakien mukaan voida tehdä historiadatasta, logeista tai varmistuksista.


2. Tiedonsaanti ja käyttö helpottuvat. Henkilön kysyessä miten hänen henkilötietojaan käsitellään, on hänen saatava vastaus selkeällä ja ymmärrettävällä tavalla sekä halutessaan hänellä on oikeus saada tiedot itselleen siirrettäväksi toiseen järjestelmään.


3. Tiedonsaantioikeus tietoturvaloukkauksista. Yritys on velvollinen ilmoittamaan tietoturvaloukkauksesta tietosuojaviranomaiselle 72 tunnin sisällä tapahtuneesta. Tällöin tieto jaetaan myös rekisterissä oleville henkilöille, jotta he voivat ryhtyä tarvittaviin toimiin.


4. Tuotteiden ja palveluiden tietosuoja paranee. Tietosuoja on otettava huomioon jo palvelujen sekä tuotteiden suunnitteluvaiheessa, jolloin esimerkiksi sosiaalisten medioiden ja erilaisten applikaatioiden tietosuoja on rakennettava jo oletusarvoisesti uusien kriteerien mukaan.


5. Nuhteita ja sakkoa välinpitämättömille. Yritys joka ei huolehdi siitä, että GDPR-asetuksen ehdot täyttyvät, tulee saamaan ensin varoituksen ja tämän jälkeen sakkoa. Sakko voi olla suuruudeltaan niin mittava, että liiketoiminnan jatkamisen edellytykset on vaarassa.

Tutustu tästä TurvaNAVI-esitteeseen.

Kiinnostuitko? Ota yhteyttä myyntiimme!

Yhteistyössä