EU:n tietosuojauudistus astuu voimaan 2018

Euroopan unionin laajuinen tietosuoja-asetus tuli voimaan toukokuussa 2016. Asetuksella on kuitenkin kahden vuoden siirtymäaika, joka päättyy toukokuussa 2018. Tämän jälkeen pitää henkilötietojen käsittely ja tallennus asetuksen mukaiseen kuntoon. Uusin Datamike täyttää nämä vaatimukset. Vaatimusten noudattamatta jättäminen voi johtaa jopa 20 miljoonan euron sakkoihin.

S & J Soft Systems

Kuinka voit suojautua itsesi ja yrityksesi uuden lainmuutoksen (gdpr) osalta?

Selvitä missä henkilötietoja säilytetään. Monissa yrityksissä ja yhteisöissä on edelleen epäselvää missä kaikialla erilaisia henkilötietoja on ja kuka niitä ylläpitää ja kuka vastaa. Yrityksissä ja yhteisöissä on nimettävä tietosuojavastaava ja tietomurroista raportoitava 72 tunnin sisällä. Tämä voi olla ongelmallista, sillä monet tietomurrot ovat jääneet suurillakin toimijoilla havaitsematta pitkiksi ajoiksi.

Henkilötietoja voi olla erilaisissa tallennumedioissa, paperilla, mapeissa, tietokannoissa ja netissä. GDPR määräykset koskevat näitä kaikkia - tietoturva pitää GDPR:n mukaan olla mediasta riippumatta kunnossa. Perinteisten medioiden kohdalla (paperi, mappi, muistitikku) saattaa olla riittävää, että em. media on lukkojen takana. Internet-pohjainen tietojen säilytys on sen sijaan haasteiden edessä.

Huomattava muutos on, että vastuu tiedoista ja todistustaakka tietoturvasta siirtyy rekisterin ylläpitäjälle.

Esimerkikiksi käy yritys, joka on ostanyt netti-sivuston joltain palveluntarjoajalta tai käyttää jotain viranomaisten ylläpitämää nettisivustoa henkilötietojen käsittelyyn (esim. palkkatiedot). Tämän nettisivun avulla hän sitten ylläpitää palkanlaskentaa, laskutusta, ym. henkilötietoja.
Jos joku murtautuu www-sivuille ja vie esim. palkkarekisteristä henkilötiedot vastuu ei ole enään niinkään nettisivupalveluntarjoajalla vaan rekisterin ylläpitäjällä. Nettipalveluntarjoaja ei ole GDPR:n mukaan tietojen "ylläpitäjä".

On tärkeää myös huomata, että GDPR koskee kaikkia: yrityksiä kuin yhteisöjäkin ja viranomaisia. Kunnissa valtion virastoissa ym. myös tehtävä vaaditut muutokset tietoturvaan. Monissa kunnissa edelleenkin on vallalla käsitys, että tietoturvauudistus koskee vain yrityksiä - näin ei ole asian laita.

Gdpr lainsäädäntö siis lähtee siitä asetelmasta, että jos tallennat tietosi nettiin niin myös vastaat niistä itse. Sanktiot rikkeistä myös kovenevat: tietoturvan laiminlyönnistä voidaan määrätä sakkoa jopa 20 miljoonaa euroa. PK yritysten kannattaa siis harkita vakavasti onko mielekästä tallentaa kaikki tiedot nettiin. GDPR pyrkii siis suitsimaan villiintynyttä käytäntöä, jossa kaikki on kopioitu nettiin, jossa ne on kännykällä helposti tavoitettavissa. Valitettavasti myös hämärätahot pääsevät usein käsiksi tietoihin.

Pk-yrittäjien kannalta tilanne saattaa olla ongelmallinen: harva omaa valmiuksia omakohtaisesti varmistua siitä, että tietomurrot on estetty. Kuinka yksittäin kirjanpitäjä voi varmistua, ettei nettiin tallennetut tiedot mene muiden haltuun? Silloin tulee vahvasti harkita tietojen pitämistä vain omalla tietokoneella jos muiden ei tarvitse niitä nähdä. Erilaisia raportit, jotka eivät sisällä henkilötietoja voi sen sijaan riittävällä turvatakuulla esittää myös netissä.

Lisäksi yksityishenkilöiden oikeudet laajenevat siten, että heillä on "oikeus tulla unohdetuksi". Rekisterinpitäjän on poistettava kaikki tähän henkilöön liittyvät henkilötiedot tallennusmedioistaan.

Päivän kurssi
Viimeisimmät uutiset
Koeajossa
Yhteistyössä