Myynti: 010 328 4701 | Tekninen tuki: 010 328 4709 |

ASIAKKAILLE
FI EN SV

Tekninen tuki
010 328 4709
support@magiccloud.fi

Myynti
010 328 4701
myynti@magiccloud.fi


Palvelinkeskuksemme kuukausittaiset huoltoajankohdat saattavat aiheuttaa katkoja palveluihin seuraavina ajankohtina:

Kuukauden 3. ke-to klo 20:00-06:00
Kuukauden 3. la-su klo 19:00-12:00

close

Elämä GDPR:n voimaanastumisen jälkeen

Toukokuun lopussa voimaan astunut EU:n yleinen tietosuoja-asetus GDPR oli kevään vilkkain puheen ja paniikin aihe. Yritysten tietosuojadokumentaatiosta vastaavat henkilöt ovat huhkineet kevään ja toivottavasti moni sai urakkansa määräajassa valmiiksi. Onpa asetukseen valmistautuminen saatu hoidettua määräaikaan mennessä tai ei, varmaa on, että on elämää GDPR:n voimaanastumisen jälkeenkin.

Avaan tässä kirjoituksessa lyhyesti sitä, mikä toukokuun jälkeen on muuttunut, mikä ei ja miten selvitä EU:n yleisen tietosuoja-asetuksen voimassaolon ajassa.


Myyteistä huolimatta GDPR:n voimaanastumisen jälkeen(kin):

  • Henkilötietoja saa edelleen kerätä ja käsitellä. Käsittelyllä tulee olla lainmukainen käsittelyperuste.
  • Henkilötietoja saa edelleen lähettää sähköpostitse ja esimerkiksi työntekijöiden työhön liittyviä henkilötietoja saa olla näkyvillä organisaatioiden nettisivuilla.
  • Markkinointisähköpostia saa edelleen lähettää, eikä sen ainoana perusteena tarvitse olla suostumus (mikäli tämä kiinnostaa tarkemmin, tarkista asetuksen 6. artiklan edellytykset a-f).

Suhtaudu siis kriittisesti omituiselta kuulostaviin GDPR-huhuihin. Järjenkäyttö on edelleen suotavaa ja sallittua.


Mikä muuttui?

Enää ei riitä, että asetusta noudattaa, vaan on pystyttävä dokumentoidusti osoittamaan asetuksen säännösten olevan osa jokapäiväistä toimintaa. Näin ollen kaikenlaisen henkilötiedon käsittelyyn ja erityisesti sensitiivisen henkilötiedon käsittelyyn tulee suhtautua ajatuksella ja toiminnan olla dokumentoitua ja lainmukaista.

Muutoksen taustalla ja tavoitteena on yksilön oikeuksien laajentuminen. Asetuksen mukaan yksilön oikeuksia nykyisin ovat omia henkilötietoja koskeva tiedonsaantioikeus, oikeus tietojen oikaisuun ja poistamiseen, oikeus tulla unohdetuksi sekä oikeus vastustaa tietojen käsittelyä. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.

Yksilön oikeuksista luonnollisesti seuraa velvollisuuksia yksilön henkilötietoja käsitteleville organisaatioille. Yksilön oikeuksien toteutumiseksi käsittelyprosessien ja toimintaperiaatteiden tulee olla läpinäkyviä: sekä rekisteröidyn, viranomaisen että henkilötietoja käsittelevän henkilöstön tulee voida selvittää, miten henkilötietoja kyseisessä organisaatiossa käsitellään.


Miten selvitä elämästä GDPR:n ajassa?

GDPR koskee jokaista eurooppalaista organisaatiota, joten asetuksen velvoitteita ja vaikutuksia ei sovi vähätellä. Tietosuojadokumentaation ja lain edellyttämien organisatoristen ja teknisten toimenpiteiden tulisi jo olla sangen pitkällä, joten tässä kolme asiakokonaisuutta GDPR-ajassa selviytymiseen dokumentaation ja prosessien valmiusasteesta riippumatta:

1) Selvitä tiedätkö ja tietääkö muu henkilöstö, mitä ovat henkilötiedot ja miten niitä tulee käsitellä

Ovatko henkilötietoryhmät luokiteltuja ja onko henkilötietojen käsittelylle sekä esimerkiksi sensitiivisten henkilötietojen lähettämiseen ja säilyttämiseen luotu ohjeistuksia. Mikäli henkilöstön keskuudessa ilmenee epätietoisuutta, on syytä tarkistaa organisaation tietosuoja- ja henkilötietojen käsittelyä koskeva dokumentaatio ja perehdytyksen ajantasaisuus.

2) Mahdollista lainmukainen henkilötietojen käsittely

Toimintaohjeistuksien lisäksi hanki tarvittaessa välineet henkilötietojen lainmukaiseen käsittelyyn ja yritysviestintään: esimerkiksi salattu sähköposti, tiedostojen jakopalvelu tai muu luotettava tapa sensitiivisten henkilötietojen liikutteluun, varastointiin ja käyttöoikeuksien hallintaan.

3) Ole valppaana ja korjaa huomaamiasi asioita ja toimintatapoja yksi kerrallaan

On selvää, ettei yksikään organisaatio ole GDPR:n kanssa koskaan täysin valmis, sillä toiminnan myötä esimerkiksi uusia henkilörekistereitä, uusia käsittelijöitä ja jopa uusia täsmennyksiä lakiin varmasti tulee. Lainvastaisen henkilötietojen käsittelyn tai tietomurron ilmetessä, viranomaistakin kiinnostaa, miten mahdollisiin muutoksiin ja tietosuojatoiminnan kehittämiseen varauduttu.


Me Magic Cloudilla autamme asiakkaitamme kaikkien edellä mainittujen asiakohtien kanssa. Helposti käyttöönotettavat henkilötietojen käsittelyn tietoturvaa lisäävät palvelumme, kuten sähköpostin salaus ja tiedostojen jakamispalvelu sekä tietosuoja-asioissakin auttava asiakaspalvelumme ovat saaneet varsinkin kevään aikana kiitosta vanhoilta ja uusilta asiakkailtamme.

Mikäli tietosuoja-asetus ja elämästä sen aikakaudella selviäminen tuottavat kysymyksiä tai päänvaivaa, minä ja tiimimme autamme ja keskustelemme asioista mielellämme.

Terhi Meriläinen

Magic Cloudin viestintäasiantuntija.