EU:n uutta tietosuoja-asetusta (GDPR) aletaan soveltaa toukokuussa 2018. Tässä artikkelissa kerrotaan, miten voit valmistautua uuden tietosuoja-asetuksen tuomiin vaatimuksiin yrityksesi ja verkkokauppasi tietojen käsittelyssä. Kerromme myös tulevista tietosuojaan liittyvistä muutoksista MyCashflow-palvelussa.
EU:n tietosuoja-asetus (GDPR, General Data Protection Regulation) astui voimaan toukokuussa 2016. Sitä aletaan kuitenkin soveltamaan vasta kahden vuoden siirtymäajan jälkeen 25.5.2018. Tietosuoja-asetuksen tarkoitus on yhdenmukaistaa EU-alueen tietosuojalainsäädäntöä ja näin helpottaa palveluiden tarjoamista EU-alueella.
Tietosuoja-asetus luo yrityksille uusia vaatimuksia tietojen käsittelyyn. Henkilötietojen suojaaminen on yksi Euroopan unionin perusoikeuksista ja tietosuoja-asetus lisää oikeuksia, joilla ihmiset voivat kontrolloida henkilötietojaan. Alla on käyty läpi asetuksessa määriteltyjä oikeuksia:
Ihmisille on tarjottava tietoa siitä siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla. Käytännössä tämä tarkoittaa aiempaa laajempaa tietosuojaselitettä nykyisin usein tarjottavan rekisteriselosteen sijaan sekä aiempaa selkeämpää esitystapaa.
Jos rekisteröity käyttää oikeuttaan siirtää tietojaan järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollistaa.
Yritysten ja organisaatioiden on raportoitava kansalliselle tietosuojaviranomaiselle tietoturvaloukkauksista. Viranomaisten lisäksi myös käyttäjille, joiden tietoja tietoturvaloukkaus koskee, on ilmoitettava vakavista loukkauksista mahdollisimman pian, jotta nämä voivat ryhtyä tarvittaviin toimiin omien tietojensa suojaamiseksi ja vahinkojen minimoimiseksi.
Tietosuoja on otettava huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa niin, että yksityisyydensuojaa edistävät oletusarvot (asetukset) ovat automaattisesti käytössä esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa.
Jos käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot on poistettava, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoituksena on taata kansalaisten yksityisyydensuoja, ei esimerkiksi hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta.
Tietosuojaviranomaiset voivat itse jatkossa antaa EU-sääntöjä rikkovalle yritykselle sakon, joka voi olla jopa neljä prosenttia yhtiön maailmanlaajuisesta liikevaihdosta.
Tietosuoja ja -turva huomioidaan nykyiselläänkin vahvasti MyCashflow-verkkokaupan tuotekehityksessä, ja sillä on suuri yleisluontoisempi rooli kaikessa toiminnassamme. Tietosuojauudistuksen myötä tarkennamme edelleen joitakin tietosuojaan liittyviä tekijöitä MyCashflow-palvelussa talven ja kevään 2018 aikana.
Muutoksia on luvassa ainakin seuraavasti:
Tarkennamme verkkokaupan hallinnan käyttäjärooleja ja käyttöoikeuksia. Tarkoituksena on varmistaa, että jokaiselle verkkokaupan hallinnan käyttäjälle voidaan määrittää oikeudet vain kyseisen käyttäjän tarvitsemiin tietoihin ja toimintoihin.
MyCashflow-verkkokauppohin lisätään kiinteä /privacy -osoite, jossa kaupan oman tietosuojaselosteen voi julkaista. Jatkossa tietosuojaselosteen voi laatia verkkokaupan hallinnassa samaan tapaan kuin toimitusehdot.
Lisäksi tietosuojaselosteen laatimista helpotetaan julkaisemalla koko MyCashflow-verkkokauppapalvelua koskeva tietosuojaseloste, josta jokainen kauppias ja käyttäjä voi tarkistaa, mitä tietoja verkkokaupan käyttämät palvelut käsittelevät ja välittävät, ja hyödyntää tätä tietoa oman tietosuojaselosteen laatimisessa.
Mahdollisten tietoturvaongelmien selvittämistä varten selkeytetään ja tarkennetaan lokitietoja, joiden avulla myös Pulse247 Oy saa aiempaa tarkempaa tietoa verkkokaupan toiminnasta ja voi palveluntarjoajana reagoida mahdollisiin tietoturvaongelmiin nopeammin ja tehokkaammin.
Jatkamme tietosuoja-asioiden ja tietosuojamallin kehitys- ja dokumentaatiotyötä sekä yrityksenä kokonaisuudessaan että MyCashflow-palvelun osalta. Tämä projekti jatkuu läpi talven ja kevään ja voi tuoda tässä mainittujen kehityskohteiden lisäksi myös muita muutoksia, joilla tarkennetaan tietojenkäsittelyn käytäntöjä sekä kehitetään tietosuojaan liittyviä ominaisuuksia ja toimintoja.
Suosittelemme aluksi tietysti tutustumaan itse tietosuoja-asetukseen ja sen vaatimuksiin. Luotettavaa tietoa löydät mm. oheisista lähteistä:
Tietosuoja-asetukseen varautumisessa olennaista on henkilötietojen käsittelyn ja käytäntöjen dokumentointi sekä riskeihin varautuminen. Tietosuojan dokumentaatio vastaa tietosuoja-asetuksen vaatimukseen siitä, että rekisterinpitäjän ja henkilötietojen käsittelijän on pystyttävä osoittamaan, että on noudattanut asetuksen velvoitteita. Dokumentaation pohjalta voidaan laatia myös tietotilinpäätös johdon työkaluksi.
Ensimmäisenä toimenpiteenä voidaan pitää yrityksen nykyisen tietojen käsittelyn kartoitusta, joka helpottaa mahdollisten ongelmakohtien löytämistä ja niiden korjaamista tietosuoja-asetuksen vaatimusten mukaisiksi. Kartoituksessa saadaan selville yrityksen käyttämät henkilötiedot ja niiden käsittelytavat, mikä auttaa esimerkiksi tietosuojaselosteen laatimisessa.
Selvitä kaikki yrityksen käyttämät henkilötiedot, niiden tarpeet, käsittelijät ja tietojen välittäminen ulkopuolisiin palveluihin ja järjestelmiin. Listaa henkilötietorekisterit, tietojen käsittelijät ja huomioi myös ulkoiset henkilötietojen käsittelijät.
Tarkista, että kaikki kerätyt tiedot ovat tarpeellisia ja että tietojen keräämisen yhteydessä pyydetään suostumus henkilöltä tietojen keräämiseen. Päivitä tietojen käsittelyn prosessit tietosuoja-asetusten vaatimusten mukaisiksi.
Varmista, että myös käyttämienne yhteistyökumppaneiden (esim. alihankkijoiden ja toimittajien) henkilötietojen käsittely on EU:n tietosuojavaatimusten mukaista.
Tietosuojavastaava toimii yrityksen tietosuoja-asioissa esimerkiksi rekisterinpitäjien apuna lakisääteisten velvoitteiden toteuttamisessa ja toimii yhteyshenkilönä valvontaviranomaisiin. Tietosuoja-asetus ei vaadi tietosuojavastaavan nimittämistä, jos tietojen käsittely ei ole niiden keskeinen toimiala, mutta käytännössä voi olla selkeintä osoittaa tietosuoja-asioista huolehtiminen tietylle henkilölle. Tietosuojavastaava vaaditaan myös, jos käsittelet henkilötietoja kohdistaaksesi mainontaa hakukoneiden avulla ihmisten verkkokäyttäytymisen perusteella.
Tietosuojariskejä voidaan arvioida esimerkiksi listaamalla riskit ja sijoittamalla ne nelikenttään, jossa arvioidaan toisaalta riskin todennäköisyyttä ja toisaalta vakavuutta. Erilaisille riskeille laaditaan suunnitelma, jolla niiden vakavuutta ja todennäköisyyttä vähintäänkin pienennetään. Korjaustoimenpiteet aloitetaan luonnollisesti vakavimmista ja todennäköisimmistä riskeistä.
Laadi suunnitelma myös riskien toteutumisen varalle ja luo konkreettiset toimintaohjeet ongelmasta palautumiseen. Selvitä esimerkiksi kuinka tieto sattuneesta tietomurrosta saadaan asianomaisille henkilöille mahdollisimman nopeasti.
Pidä huolella laadittu tietosuojadokumentaatio ajan tasalla, jotta voit osoittaa, että olet noudattanut tietosuoja-asetuksen velvoitteita.
Euroopan komission tietosuojainfografiikka: http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_fi.htm
Tietosuojavaltuutetun toimiston sivut: http://www.tietosuoja.fi/
Täytä lomakkeelle tietosi – saat markkinointikalenterin sähköpostiisi.
