GDPR
Uusi tietosuoja-asetus (GDPR) tuli voimaan 25.5.2018
GDPR (General Data Protection Resolution) on EU:n direktiivi, joka konkretisoituu ns. tietosuoja-asetukseen. Tämän myötä meillä on yhteinen EU-lainsäädäntö, joka säätelee henkilötietojen käsittelyä. Se tarkoittaa muun muassa sitä, että yritykset eivät voi omistaa henkilötietoja, vaan vain lainata niitä tiettyä tarkoitusta varten.
Tietosuojavirasto on vastuussa lain noudattamisesta. Rikkomuksesta yritys voi tuomita sakkoon, joka on enintään 4 % liikevaihdosta. Tämä pakottaa yritykset pohtimaan, kuinka he käsittelevät ja suojaavat henkilötietoja.
Kolme perussääntöä yrityksen arjessa
Aikaisemmin on ollut käytäntö, että entisen asiakkaan henkilötietoja voitiin käyttää markkinointiin vuoden ajan asiakassuhteen päättymisen jälkeen. Näin ei enää ole.
Osa henkilötiedoista saattaa kuitenkin olla tarpeen tallentaa, jotta esimerkiksi myyjä voi täyttää takuuvelvoitteensa. Tiedot tallennetaan sitten uuteen tarkoitukseen.
- Kun keräät henkilötietoja, sinun on ilmoitettava henkilölle, mitä tietoja se koskee ja miksi teet niin. Jos aiot välittää tietoja muille, sinun on kerrottava siitä meille.
- Älä kerää enempää henkilötietoja kuin on tarpeen – ja vain tiettyä ja ennalta määrättyä tarkoitusta varten.
- Kun henkilötietoja ei enää tarvita siihen tarkoitukseen, jota varten ne on kerätty, ne on poistettava. Tämä tarkoittaa esimerkiksi sitä, että tietojärjestelmästä on poistettava tiedot henkilöistä, jotka eivät enää ole asiakkaita tai toimittajia.
Merkintä! Ajatella! Saattaa olla muuta lainsäädäntöä, joka määrää, että tiedot on säilytettävä tietyn ajan. Tämä voi koskea esimerkiksi kirjanpito-, eläke- ja valvontatietojasi.
Kuka on vastuussa mistäkin pilvipalvelujen yhteydessä?
KAIKILLA YRITYKSILLÄ PITÄISI OLLA REKISTERÖINTI, JOSSA KUVAAN HENKILÖTIETOJEN KÄSITTELY.
Täällä puhutaan siitä, kuka on vastuussa tietystä rekisteristä tai tietojärjestelmästä, mihin sitä käytetään, minkä tyyppisiä henkilötietoja on olemassa ja minkä tyyppisiä tietoja ja millä oikeusperusteilla tietoja käsitellään.
Uudet roolit ja konseptit:
Henkilötietojen hallinnoija
Henkilötietoja keräävä ja pilvipalvelun tarjoajan palkannut organisaatio on vastuussa henkilötiedoista ja on vastuussa lakien noudattamisesta.
Henkilötietojen palvelusopimus
Henkilötiedoista vastaavan on pääsääntöisesti varmistettava, että henkilötietoavustajasopimus on olemassa.
Henkilötietojen avustaja
Pilvipalveluntarjoaja (esim. SoftOne) on henkilötietojen rekisterinpitäjän henkilötietojen avustaja.
Tietosuojavastaava
Tietosuojavastaava on organisaatiossa tai sen ulkopuolella oleva luonnollinen henkilö, joka voi osoittaa puutteita (kuten sisäinen tarkastaja). Edustajalle on ilmoitettava tietosuojaviranomaiselle. Sekä henkilötietojen rekisterinpitäjien että henkilötietojen avustajien on nimettävä tietosuojavastaava, jos:
- henkilötietojen käsittelystä vastaa viranomainen tai julkinen elin (mutta ei tuomioistuimet oikeudellisissa toimissaan)
- ydinliiketoimintaa on henkilötietojen käsittely, joka edellyttää suurelta osin rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
- ydinliiketoiminta koostuu niin sanottujen arkaluonteisten henkilötietojen tai rikostietojen laajamittaisesta käsittelystä.
Merkintä! Jokainen voi halutessaan nimittää tietosuojavastaavan myös muissa tapauksissa.
SoftOne GO -pilvipalvelusi tarjoaa vahvan suojan
SUOJAA PALVELIMEN TIEDOILLE
SoftOne GO toimii omilla palvelimillaan Ruotsissa, joita valvotaan ympäri vuorokauden. Niitä säilytetään turvaluokitelluissa tietokonesaleissa, joissa on palomuurit, virustorjunta jne. Vain muutamalla valtuutetulla henkilöllä on pääsy henkilötietoihin. Käyttöoikeuksia ohjaavat roolit, joissa vaaditaan suojattuja salasanoja jne.
HENKILÖTIEDOT HELPPO SIIRRETTÄ
Henkilötietojen tulee olla siirrettävissä eri järjestelmien välillä. SoftOne GO:lla tiedot voidaan viedä JSON-muotoon, mikä mahdollistaa tuonnin muihin järjestelmiin.
TARJOAA KÄYTÖN YKSILÖISIÄ KOSKEVAT KOOTETUT TIEDOT
Henkilöllä on oikeus nähdä, mitä henkilötietoja säilytetään. SoftOne GO tarjoaa helposti yleiskatsauksen siitä, mitä tietoa henkilöstä järjestelmässä on. Myös henkilötietojen päivittäminen järjestelmässä on helppoa.
POISTA JA ANONYMISI
Mahdollisuus poistaa tai anonymisoida henkilötietoja, elleivät lailliset vaatimukset toisin määrää.
HELPONTAA ILMOITTAMISTA TAPAHTUMISTA
Kaikki henkilötietojen käsittely SoftOne GO:ssa kirjataan, jotta voit seurata, onko väärinkäytöstä tapahtunut ja ilmoittaa asiasta henkilölle. Tämä edellyttää jokaisen henkilön voimassa olevat yhteystiedot.
TURVALLINEN KIRJAUDU
Kun kirjaudut sisään SoftOne GO:hon softone.onlinen kautta, SoftOne tukee yrityksesi tarvetta suojata salasanojen hallintaa.