3 asiaa jotka IT-yrityksen toimitusjohtajan pitää tietää tietosuojasta

  Kari Ahlqvist
  Kirjoittaja: Kari Ahlqvist 4.6.2017

  Aihe: Tietosuoja, Johtaminen

  Aikaisemmassa blogissani GDPR: Otatko tietoisen riskin vai oletko valmistautunut? käsittelin niitä riskejä, joita EU:n uudet asetukset tuovat mukanaan. Jatkan nyt samalla teemalla, mutta tässä blogissa tuon esiin kolme pääkohtaa, jotka koskettavat erityisesti IT- ja ohjelmistoalan toimijoita. 

  3 asiaa.jpg

  Kun EU:n tietosuoja-asetuksen (GDPR) siirtymäaika päättyy 25.5.2018 EU-maissa, se koskee kaikkia alueella toimivia yrityksiä. Asetus selkeyttää ja parantaa kansalaisten oikeuksia, antaa paremmat mahdollisuudet kontrolloida henkilötietoja sekä helpottaa tiedonsaantia omien henkilötietojen käsittelyssä.

  Uudella asetuksella varmistetaan, että henkilötiedot ovat tietoturvan näkökulmasta suojattu riippumatta siitä, missä dataa säilytetään ja missä niitä käsitellään tai minne niitä lähetään.

  1). Lähes jokainen ohjelmistoyritys on sekä rekisterinpitäjä että tiedon käsittelijä

  Asetus uudistaa niitä periaatteita, joilla taataan EU-kansalaisten oikeus henkilötietojen suojaan. Ohjelmistoalan yrityksille GDPR tuo haasteista kahdesta näkökulmasta: lähes jokainen ohjelmistoyritys on sekä rekisterinpitäjä (controller) että tiedon käsittelijä (data processor), joka hallinnoi dataa.

  Rekisterissä olevalla henkilöllä on oikeus määrätä omista henkilötiedoistaan ja jos henkilö haluaa, hän voi pyytää tiedoistaan rekisteriselosteen suoraan rekisterinpitäjältä, jonka tulee vastata pyyntöön. Tässä tilanteessa korostuu se, että jos data ovat saatavilla kotimaisella maaperällä, se helpottaa jo pelkästään tiedon saamista sekä sen toimitusta. 

  Data-suojaus-GDPR.jpg

  Rekisteröidyllä on myös oikeus siirtää tietonsa palveluntarjoajalta toisella ja oikeus tulla unohdetuksi. Kun käyttäjä ei enää halua tietojaan käsiteltävän, on tiedot poistettava, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tämä lisää datan käsittelyyn ja hallintaan liittyviä toimenpiteitä entisestään sekä rekisterinpitäjän että tiedon käsittelijän näkökulmasta.

  Uutta on myös se, että lain myötä rekisterinpitäjän on tehtävä ilmoitus kansalliselle tietoturvaviranomaiselle henkilötietoja koskevista tietoturvaloukkauksista ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa niiden ilmitulosta. Käyttäjille on ilmoitettava vakavista loukkauksista mahdollisimman pian, jotta nämä voivat ryhtyä tarvittaviin toimiin.

  2). Vastuuta ei voi siirtää sopimuksilla

  Ohjelmistoalan yrityksille uusi asetus on merkityksellisempi kuin monelle muulle toimijalle, sillä asiakkaiden dataa on runsaasti IT-yritysten hallinnassa olevissa järjestelmissä. Datan käsittelyssä ja hallinnassa vastuut koskevat myös IT-toimijaa, eikä vastuuta voi siirtää sopimuksien kautta eteenpäin.

  Yrityksen on oltava hyvin perillä tietosuojalainsäädännön periaatteista, jotta se voi opastaa myös asiakastaan tietoturvallisessa ja lain mukaisessa datan käsittelyssä. Lain myötä sanktiot eivät koske vain kaksipuolisia yritysten välisiä sopimuksia, vaan lain mukaan viranomainen voi määrätä laiminlyönneistä tuntuvat sakot. Sopimuksen osapuolilla on mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan eli sopimusehdot kannattaa laatia huolellisesti.

  GDPR-laki-tietosuoja-MPYpalvelut.jpg

  3). Laki selkeyttää, säästää ja luo business-mahdollisuuksia

  Uuden lain voi nähdä myös valtavana business-mahdollisuutena. Kun säännöstöjä on jatkossa vain yksi ja ne koskevat kaikkia yrityksiä, pääsevät pienemmät yritykset samalle viivalle suurempien toimijoiden kanssa.

  business-data-suojaus-mpy.jpg

  Jokaisessa Euroopan maassa ei tarvitse selvittää paikallista juridiikkaa, vaan saman lain puitteissa toimitaan entistä laajemmalla alueella.

  Henkilötietojen massadataa koskevat markkinat arvioidaan biljoonien eurojen arvoiseksi ja uusia tekniikoita henkilötietojen suojaamiseen tarvitaan. Uusi laki myös lisää kilpailua ja tuo uusia toimijoita markkinoille. Siksi on tärkeää panostaa oikeisiin asioihin ja huolehtia, että data on suojattu lain edellyttämällä tavalla.

  Lataa maksuton oppaamme: Miten suojaan henkilödataa tietosuojalain edellyttämällä tavalla?

  Opas auttaa valmistautumaan uuteen tietosuoja-asetukseen vastaamalla mm. seuraaviin kysymyksiin:

  • Kenellä on vastuu GDPR:n määräysten noudattamisesta?
  • Millä toimenpiteillä yritykset voivat suojata dataa?

  Lataa maksuton opas!

  MPY-Whitepaper-Miten-suojaan-henkilodataa-tietosuojalain-edellyttamalla-tavalla-1.jpg