MPY:n blogi

GDPR: Otatko tietoisen riskin vai oletko valmistautunut?

Kirjoittaja: Kari Ahlqvist 31.5.2017 11:15
Kari Ahlqvist

Uuden tietosuoja-asetuksen myötä henkilörekisterin pitäjillä ja henkilötietoja käsittelevillä on oltava tieto ja vastuu siitä, missä paikassa henkilötietoja käsitellään ja säilytetään. Rekisterin pitäjällä tulee olla myös asianmukaiset menetelmät sekä tarvittavat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.

GDPR: Otatko tietoisen riskin vai oletko valmistautunut?

Vastuu tietojen turvallisesta käsittelystä on aina yrityksellä itsellään. Jos asetusta rikotaan, sanktiona voi pahimmassa tapauksessa olla korvausvelvollisuus, jonka suuruus on joko 10 M€, 20 M€ tai 4 % yrityksen liikevaihdosta.

Toimitusjohtajan huolena ei ole pelkästään taloudellinen korvaus, vaan maineen menetys ja iso imagoriski. Kuka haluaisi olla sellaisen yrityksen asiakkaana, jossa lakisääteiset asiat ovat retuperällä?

Mikä ihmeen GDPR?

EU on hyväksynyt uuden tietosuoja-asetuksen, jonka siirtymäaika päätty 25.5.2018. GDPR (General Data Protection Regulation) parantaa EU-kansalaisten oikeutta tietosuojaan ja omien henkilötietojen luottamukselliseen käsittelyyn. Uusi asetus koskee kaikkia EU:n alueella toimivia yhteisöjä sekä yrityksiä, ja tietoturvan näkökulmasta tietosuoja-asetus vaikuttaa yritysten strategisiin valintoihin niin henkilötietojen käsittelyssä kuin yritysdatan sijainnissa.

IT-toimialalle yleensä ja erityisesti sovellusalan osaajille uusi laki on tuonut jo nyt huomattavia kehityskohteita riskienhallinnan näkökulmasta. Laki ajantasaistaa tietosuojalainsäädäntöä ja ottaa huomioon digitalisaation sekä globalisaation mukanaan tuomat uhkat henkilötietojen osalta - laki yhtenäistää henkilötietojen käsittelyä EU:n alueella.

GDPR parantaa osaltaan avoimuutta ja viestintää, mutta luo samalla velvollisuuden prosessien ja dokumentaation haltuunottoon. Tietoturvallisuus ja asioiden todentaminen ovat lain avainasioita. IT-toimialalla riskit kulminoituvat mm. seuraavien asioiden kohdalla:

1). Kaikkia henkilötietoja ei mielletä henkilötiedoiksi, vaikka syytä olisi

Henkilötietoja sisältävä data voi käsittää nimen ja yhteystietojen lisäksi eri sovelluksissa niin valokuvia, sosiaalisen median postauksia kuin tuotehankintaan liittyviä tietoja – toisin sanoen uusi laki koskee kaikkia niitä tietoja, joista henkilö voidaan jollain tapaa tunnistaa.

Huomio kannattaa kiinnittää myös ikään, sillä jos tietoja on alle 16-vuotiaasta, haltijan tulee pystyä todentamaan, että tiedot ovat olemassa huoltajan luvalla. EU:ssä jäsenvaltiot voivat paikallisesti alentaa ikärajaa minimissään 13-ikävuoteen.

2). Rekisteriselosteita puuttuu ja - tai niitä ei ole saatavilla

Henkilötietoja koskeva rekisteriseloste kuuluu jo nyt nykylainsäädännön piiriin, eli esimerkiksi sovellusten sisältämistä rekistereistä tulisi olla olemassa julkinen rekisteriseloste.

Yrityksessä voi olla useita erilaisia henkilötietoon liittyviä rekistereitä, joita ei ole huomioitu tai edes mainittu rekisteriselosteissa. Rekistereiden käyttöoikeuksien hallinta voi olla puutteellista, eikä tietojen säilytysaikoja ole määritelty. On helpompi kerätä tietoa, kuin poistaa sitä.

3). Tietojen sijainti on pilvessä, kuka vastaa tietoverkoista?

Datan sijainnin osalta pilvipalvelut luovat haasteen: uusi asetus rajoittaa henkilötietojen siirtoa Euroopan talousalueen ulkopuolelle, missä monien kansainvälisten pilvipalvelun tarjoajien palvelimet sijaitsevat.

Myös tietoliikenteen ja sen turvallisuuden varmistamisen merkitys kasvaa entisestään – suojauksien verkkorikollisuutta vastaan on oltava kunnossa. Tietoverkkoratkaisujen turvallisuus unohtuu helposti ja sitä kautta haitantekijöiden on helpompi iskeä.

Kaipaatko lisätietoja aiheesta?

Katso myös blogimme 3 asiaa, jotka toimitusjohtajan tulee tietää tietosuojasta. Tilaa blogi ja uutiskirjeemme, niin saat uusimmat kirjoitukset suoraan sähköpostiisi!

Tilaa blogi ja uutiskirje!

Lataa maksuton oppaamme: Miten suojaan henkilödataa tietosuojalain edellyttämällä tavalla?

Opas auttaa valmistautumaan uuteen tietosuoja-asetukseen vastaamalla mm. seuraaviin kysymyksiin:

  • Kenellä on vastuu GDPR:n määräysten noudattamisesta?
  • Millä toimenpiteillä yritykset voivat suojata dataa?

Lataa maksuton opas!

MPY-Whitepaper-Miten-suojaan-henkilodataa-tietosuojalain-edellyttamalla-tavalla-1.jpg

Aihe: Tietosuoja, Johtaminen, GDPR