Blogi
Written by
Kirill Filatov
Kirill Filatov
Senior Security Consultant

EU:n lähestyvä tietosuoja-asetus koskee myös sinun yritystäsi – valmistautuminen kannattaa aloittaa viimeistään nyt

Vuonna 2018 suurin osa suomalaisista yrityksistä on uudenlaisessa tilanteessa, kun toukokuussa voimaan astuu EU:n yleinen tietosuoja-asetus. Tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vahvistaminen, tietosuojan globaalin ulottuvuuden huomioinen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Asetukseen sopeutuminen vaatiikin yrityksiltä lukuisia toimenpiteitä.

 

Kuva poistettu.

Kuvassa vasemmalta: Antti Iso-Markku, Fondia ja Kirill Filatov, Nebula

 

Monet yritykset ovat toki jo kuulleet asetuksesta, mutta käytännön toimien osalta erityisesti useassa pk-yrityksessä vielä odotellaan – ehkä myös omassasi. Aikaa ei kuitenkaan ole hukattavaksi.

Asetukseen sopeutumisessa auttaa yhteistyökumppani, joka tuntee niin sen juridiset, hallinnolliset kuin tietoteknisetkin seikat ja osaa räätälöidä palvelun yrityksesi tarpeiden mukaan. Nebula ja Fondia ovat yhdistäneet voimansa näiden haasteiden ratkaisemiseksi. Tässä blogissa kerromme asetuksen tuomista haasteista ja siitä, miten niihin tulee vastata.

Asetuksen noudattaminen on yrityksen johdon vastuulla 

Käytännössä tietosuoja-asetuksen tavoitteiden toteutuminen tarkoittaa sitä, että yrityksesi tulee muun muassa pystyä kertomaan, millaista tietoa se on kerännyt ja kerää asiakkaistaan ja mihin tätä tietoa käytetään. Yrityksesi täytyy myös selkeästi pyytää asiakkailtaan suostumus tai osoittaa muu hyväksyttävä peruste tietojen keräämiseen sekä tarvittaessa asiakkaan pyynnöstä oikaista tai poistaa tätä koskevat tiedot. Yrityksesi tulee lisäksi voida osoittaa, että sillä on oikein laadittu rekisteriseloste, jollainen monelta yritykseltä puuttuu.

Yrityksesi on asetuksen mukaan noudatettava hyviä tietoturvakäytäntöjä henkilötietoja käsitellessään, joten tietoturvaprosessien, tietoturvatietoisuuden ja teknisten kontrollien läpikäynti on myös paikallaan.

Asetus koskee yritystäsi, jos se on kerännyt asiakkaistaan tietoja, esimerkiksi sähköpostiosoitteita tai mitä tahansa muita henkilökohtaisia tai tunnistettavia tietoja – ja hyvin todennäköisesti se on, esimerkiksi osana nettisivujenne kävijäanalyysia. Asetuksen noudattaminen tulee vaatimaan rekisterinpitäjinä toimivilta yrityksiltä laajamittaisia toimia vaatimusten täyttämiseksi ja osoittamiseksi.

Tee nykytila-arvio ja valmistaudu osoittamaan asetuksen noudattaminen

Asetukseen sopeutuminen alkaa nykytila-arvion ja analyysin tekemisestä. Jos yrityksesi keräämät tiedot ovat hajallaan, on samalla erittäin hyvä hetki selkeyttää tiedon keräämisen ja varastoimisen toimintatavat. Jatkossa tiedot pitää voida löytää ja esittää asiakkaille ja viranomaisille nopeasti.

Kun aiemmin on riittänyt, että yrityksesi kertoo noudattavansa tietosuojaan liittyviä lakeja, jatkossa se tulee voida konkreettisesti osoittaa. Jos yrityksesi on esimerkiksi kerännyt sähköpostiosoitteita markkinointitarkoituksiin, sen tulee voida osoittaa keräyslomakkeen tai uutiskirjeen tilaamisvahvistuksen kopiolla tai muulla tavalla, että henkilöitä on informoitu osoitteiden keräämisestä.

Jos asiakkaiden omia tietojaan koskevat tiedustelut ovat toistaiseksi olleet harvinaisia, ne varmasti yleistyvät jatkossa, kun ihmiset kuulevat uusista oikeuksistaan – ja siitä, että yritykset voivat saada massiivisia sakkoja laiminlyönneistä. Tietoisuuden kasvaessa myös maineriskit tulevat yleistymään, kun yhä useampi tuntee asetuksen ja osaa vaatia yrityksiä täyttämään velvollisuutensa.

Valmistaudu jo nyt, älä hetken päästä

Tällä hetkellä pääsääntöisesti vain luonnolliset henkilöt voivat joutua rangaistuksi tietosuojarikoksista, mutta asetuksen tultua voimaan rangaistussäännökset koskevat myös yrityksiä, joita voidaan sakottaa maksimissaan 20 miljoonalla eurolla tai neljän prosentin verran globaalista liikevaihdosta, jos siitä kertyy vielä isompi summa. Viranomaiset voivat myös käskeä yrityksiä korjaamaan toimintaansa.

Asetuksen haasteet ja seuraamukset ovat suuret, ja yrityksesi täytyykin löytää juuri sen liiketoimintaan soveltuva ratkaisu, joka huomioi asetuksen juridiset, hallinnolliset ja tietotekniset seikat. Tässä Nebula ja Fondia voivat yhdessä auttaa yritystäsi.

Osaamme kertoa, millaisia tietoturvaprosesseja, toimintatapoja ja juridisia vaatimuksia asetus edellyttää yritykseltäsi. Ainutlaatuista yhteistyössämme on se, että saat meiltä koko paketin samasta paikasta, jolloin yksikään osa-alue ei jää huomioimatta, etkä maksa päällekkäisestä työstä.

On myös hyvä ymmärtää, ettei tarvittavia toimenpiteitä tietosuojan- ja turvan saattamiseksi asetuksen vaatimalle tasolla tehdä yhdessä illassa, vaan pitkäjänteisesti ja suunnitelmallisesti. Siksi asetuksen voimaan astumiseen kannattaa valmistautua jo hyvissä ajoin, mieluiten juuri nyt!

 

Lue lisää GDPR-konsultointipalveluistamme

Kirjoittajista:

Antti Iso-Markku toimii lakimiehenä Fondialla, jossa hän auttaa asiakkaitaan tietosuojaan sekä IT- ja yhtiöoikeuteen liittyvien oikeudellisten kysymysten ratkaisemisessa.

Kirill Filatov toimii tietoturvakonsulttina Nebulalla, jossa hän parantaa ja tehostaa asiakkaiden tietoturvaa ymmärrettävästi ja käytännönläheisesti.

 

 

 

Written by
Kirill Filatov
Kirill Filatov
Senior Security Consultant