Vuonna 2018 voimaan astuva EU:n tietosuoja-asetus edellyttää lähestulkoon jokaiselta yritykseltä toimenpiteitä. Uusi tietosuoja-asetus ottaa kantaa mm. henkilötietojen käsittelyyn ja säilytykseen. Vaikka tietosuoja olisikin yrityksessä kunnossa, perusteellisia tarkistuksia on syytä tehdä jo ennen asetuksen voimaantuloa. Mitä asetus käytännössä tarkoittaa yritysten näkökulmasta ja mitä asetuksen suhteen on syytä ottaa huomioon?
Mistä tietosuoja-asetuksessa on kyse?
EU:n tietosuoja-asetuksessa on kyse luonnollisten henkilöiden suojelusta, kun heidän henkilötietojaan käsitellään ja siirretään järjestelmästä tai tietokannasta toiseen. Nykyinen tietosuoja-asetus on riittämätön tämän päivän tarpeisiin nähden ja EU onkin saanut monesta suunnasta painetta asetuksen uudistamiseksi. Nyt tämä uudistus tapahtuu parin vuoden sisällä ja varautuminen on syytä tehdä hyvissä ajoin etukäteen.
Asetuksen myötä jokainen henkilö pystyy paremmin hallitsemaan hänestä säilytettäviä ja käsiteltäviä tietoja sekä halutessaan pyytämään myös tietojen poistamista. Jokaisella on siis ”unohdetuksi tulemisen” oikeus. Samalla asetus yhdenmukaistaa EU-alueen säännökset yhdeksi kokonaisuukseksi sekä auttaa myös yrityksiä hahmottamaan tietojen käsittelyn ja suojauksen tarpeet ja edellytykset paremmin. Tällä tavoin myös kuluttajien luottamus yrityksiin lisääntyy, mikä on omiaan ruokkimaan myös palvelutarjonnan laajentamista ja lisäämistä. Tietosuoja-asetus nähdään monesti yritysten kannalta negatiivisesti, mutta sillä on paljon positiivisiakin vaikutuksia.
Tietosuoja-asetus koskee kaikkia yrityksiä, ei vain isompia
Tietosuoja-asetus hyväksyttiin huhtikuussa 2016 ja sitä sovelletaan 25. päivästä toukokuuta 2018 eteenpäin. Varautuminen asetukseen on syytä tehdä ennen sen voimaantuloa, sillä järjestelmien ja toimintatapojen muuttaminen jälkikäteen voi käydä hyvinkin kalliiksi. Käytännössä varautuminen tarkoittaa järjestelmien, toimintamallien ja prosessien muuttamista siten, että ne noudattavat tulevaa asetusta. Asetuksen voimaantulon jälkeen yrityksiin toteutetaan erilaisia ”pistokokeita” ja auditointeja, ja asetusta noudattamattomat yritykset tulevat saamaan huomattaviakin sakkoja. Sakot voivat nousta jopa satoihin tuhansiin euroihin.
Ei myöskään riitä, että yritys passiivisesti vain noudattaa asetusta, vaan rekisterinpitäjän tulee pystyä aktiivisesti osoittamaan, että vaadittavat tiedot suojataan ja niitä käytetään asianmukaisesti. Mahdollisen viranomaisen tai auditoijan tulee pystyä esimerkiksi dokumentoinnin tai testauksen avulla tarkistamaan, että järjestelmät ja tiedot on suojattu asetuksen mukaisesti. Jos näin ei ole, sakko rapsahtaa hyvinkin äkkiä.
Monet yritykset noudattavat tulevaa asetusta jo nyt, ainakin jossain määrin. Etenkin isommat yritykset ovat usein jo kiinnittäneet valmiiksi huomiota henkilötietojen suojaamiseen, mutta poikkeuksiakin toki löytyy - runsaastikin. Erityisesti pienemmillä yrityksillä tulee olemaan jonkin verran työtä asetukseen mukautuessaan.
Käytännössä asetus siis koskee kaikkia yrityksiä, joilla on jonkinlainen rekisteri henkilötiedoista. Sillä ei ole merkitystä, ovatko tiedot sähköisessä muodossa jossain IT-järjestelmässä vai paperisessa muodossa vanhassa arkistojärjestelmässä. Asetus koskee aivan kaikkia rekisterinpitäjiä. Jos siis kauppiaalla on paperinen luettelo tai vaikkapa Excel-taulukko, johon hän kirjaa vakioasiakkaidensa nimen, puhelinnumeron ja osoitteen, myös hänen tulee uuden asetuksen mukaisesti suojata tämä materiaali, tavalla tai toisella.
Kaikki yksilöitävä tieto on suojattava
Henkilötiedoilla ja tässä tapauksessa asetuksen mukaan suojattavilla tiedoilla tarkoitetaan mm. osoitteita, nimiä, sähköpostiosoitteita, puhelinnumeroita, luottokorttitietoja, sukupuolta, pankkitilien numeroita, laskutustietoja, asiakasnumeroita, lääkärin kirjoittamia reseptejä tai passien numeroita. On myös hyvä huomioida, että asetus koskee yksilöivien tietojen lisäksi kaikkia tietoja, jotka voidaan liittää yksilöityyn henkilöön (esim. henkilön palvelussa tuottama sisältö). Käytännössä siis kaikki tiedot, jotka voidaan tavalla tai toisella liittää johonkin tiettyyn henkilöön, on suojattava.
On olemassa myös tulevan asetuksen kannalta ristiriitaisia tietoja. Tällaisiin tietoihin lukeutuvat mm. verkkoyhteyden IP-osoitteet mutta tällaisten ”harmaan alueen” tiedoista odotellaan vielä tarkennuksia esimerkiksi tietosuojavaltuutetulta. Esimerkiksi yksittäinen IP-osoite voidaan yksilöidä usein useampaankin henkilöön. Se voi myös esimerkiksi mobiililaitteissa vaihtua nopeasti henkilön liikkuessa ja sama IP-osoite siirtyä toiselle henkilölle. IP-osoitetta ei voida siis aina pitää yksilöivänä tietona, mutta tulkintoja rajanvedoista odellaan vielä.
Edellä olevasta huolimatta, on kuitenkin parempi suojata kaikki lokeihin tallennetut IP-osoitteet. Ei ainoastaan tietosuoja-asetuksen vaatimuksesta vaan myös myös mahdollisten hakkereiden lokeihin tekemien muutosten estämiseksi. IP-osoitteet ovat usein myös sähköisen viestinnän välitystietoja, joten velvollisuus niiden suojaamiseen ja asianmukaiseen käsittelyyn tulee tällöin tietoyhteiskuntakaaren kautta.
Kaipaatko neuvoja tai lisätietoa?
Jos kaipaat tukea tai neuvoja siihen, kuinka asetus vaikuttaa juuri teidän yritykseenne, ota yhteyttä XCuren asiantuntijoihin. Käydään yhdessä läpi yrityksenne suojauksen taso ja asetuksen mukaiset tarpeet sekä katsotaan vaadittavat toimenpiteet läpi. Asiantuntijamme ovat sertifioituja tietoturva-ammattilaisia ja tuntevat myös tulevan tietosuoja-asetuksen hyvin.
Olemme järjestäneet myös koulutuksia aiheeseen liittyen ja tarvittaessa tulemme teillekin kouluttamaan! Koulutukset voidaan räätälöidä täysin asiakkaan tarpeen mukaisesti.
