GDPR:n voimaanastumisen jälkeinen elämä

Toukokuussa voimaan astunut EU:n yleinen tietosuoja-asetus GDPR oli kevään vilkkain puheen ja paniikin aihe. Yritysten tietosuojadokumentaatiosta vastaavat ovat huhkineet kevään ja toivottavasti moni sai urakkansa määräajassa valmiiksi. Onpa asetukseen valmistautuminen hoidettu määräaikaan mennessä tai ei, varmaa on, että elämää on GDPR:n voimaanastumisen jälkeenkin.

Myyteistä huolimatta GDPR:n voimaanastumisen jälkeen(kin):

  • Henkilötietoja saa edelleen kerätä ja käsitellä. Käsittelyllä tulee olla lainmukainen käsittelyperuste.
  • Henkilötietoja saa edelleen lähettää sähköpostitse ja esimerkiksi työntekijöiden työhön liittyviä henkilötietoja saa olla näkyvillä organisaatioiden nettisivuilla.
  • Markkinointisähköpostia saa edelleen lähettää, eikä sen ainoana perusteena tarvitse olla suostumus (mikäli tämä kiinnostaa tarkemmin, tarkista asetuksen 6. artiklan edellytykset a-f).

Suhtaudu siis kriittisesti omituiselta kuulostaviin GDPR-huhuihin. Järjenkäyttö on edelleen suotavaa ja sallittua.


Mikä muuttui?

Enää ei riitä, että asetusta noudattaa, vaan on pystyttävä dokumentoidusti osoittamaan asetuksen säännösten olevan osa jokapäiväistä toimintaa. Näin ollen kaikenlaisen henkilötiedon käsittelyyn ja erityisesti sensitiivisen henkilötiedon käsittelyyn tulee suhtautua ajatuksella ja toiminnan tulee olla dokumentoitua ja lainmukaista.
Muutoksen taustalla ja tavoitteena on yksilön oikeuksien laajentuminen. Asetuksen mukaan yksilön oikeuksia nykyisin ovat omia henkilötietoja koskeva tiedonsaantioikeus, oikeus tietojen oikaisuun ja poistamiseen, oikeus tulla unohdetuksi sekä oikeus vastustaa tietojen käsittelyä. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.
Yksilön oikeuksista luonnollisesti seuraa velvollisuuksia yksilön henkilötietoja käsitteleville organisaatioille. Yksilön oikeuksien toteutumiseksi käsittelyprosessien ja toimintaperiaatteiden tulee olla läpinäkyviä: sekä rekisteröidyn, viranomaisen että henkilötietoja käsittelevän henkilöstön tulee voida selvittää, miten henkilötietoja kyseisessä organisaatiossa käsitellään.


Miten selvitä elämästä GDPR:n ajassa?

GDPR koskee jokaista eurooppalaista organisaatiota, joten asetuksen velvoitteita ja vaikutuksia ei sovi vähätellä. Dokumentaatio ja lain edellyttämät organisatoriset ja tekniset toimenpiteet tulisi olla jo pitkälle tehtynä, joten tässä kolme asiakokonaisuutta GDPR-ajassa selviytymiseen:
1) Selvitä tiedätkö ja tietääkö muu henkilöstö, mitä ovat henkilötiedot ja miten niitä tulee käsitellä
Ovatko henkilötietoryhmät luokiteltuja ja onko henkilötietojen käsittelylle sekä esimerkiksi sensitiivisten henkilötietojen lähettämiseen ja säilyttämiseen luotu ohjeistuksia. Mikäli henkilöstön keskuudessa ilmenee epätietoisuutta, on syytä tarkistaa organisaation tietosuoja- ja henkilötietojen käsittelyä koskeva dokumentaatio ja perehdytyksen ajantasaisuus.
2) Mahdollista lainmukainen henkilötietojen käsittely
Toimintaohjeistuksien lisäksi hanki tarvittaessa välineet henkilötietojen lainmukaiseen käsittelyyn ja yritysviestintään: esimerkiksi salattu sähköposti, tiedostojen jakopalvelu tai muu luotettava tapa sensitiivisten henkilötietojen liikutteluun, varastointiin ja käyttöoikeuksien hallintaan.
3) Ole valppaana ja korjaa huomaamiasi asioita ja toimintatapoja yksi kerrallaan
On selvää, ettei yksikään organisaatio ole GDPR:n kanssa koskaan täysin valmis, sillä toiminnan myötä esimerkiksi uusia henkilörekistereitä, uusia käsittelijöitä ja jopa uusia täsmennyksiä lakiin varmasti tulee. Lainvastaisen henkilötietojen käsittelyn tai tietomurron ilmetessä, viranomaistakin kiinnostaa, miten mahdollisiin muutoksiin ja tietosuojatoiminnan kehittämiseen varauduttu.

Tamperelainen Magic Cloud auttaa asiakkaitaan kaikkien edellä mainittujen asiakohtien kanssa. Yrityksen tarjoamat, helposti käyttöönotettavat henkilötietojen käsittelyn tietoturvaa lisäävät palvelut, kuten sähköpostin salaus ja tiedostojen jakamispalvelu sekä tietosuoja-asioissakin auttava asiakaspalvelu ovat saaneet varsinkin kuluneen kevään aikana kiitosta yrityksen vanhoilta ja uusilta asiakkailta.
Mikäli tietosuoja-asetus ja elämästä sen aikakaudella selviäminen tuottavat kysymyksiä tai päänvaivaa, Magic Cloudin tiimin puoleen voi aina kääntyä.


Lisätietoja:
Kimmo Haapavuori, liiketoimintajohtaja. 045 238 8028 / kimmo.haapavuori@magiccloud.fi
Salattu sähköposti https://magiccloud.fi/palvelut/turvaposti/
Tiedostojen turvallinen jakaminen https://magiccloud.fi/palvelut/tiedoston-jakopalvelu/
Kaikki palvelut ja yhteystiedot www.magiccloud.fi