Tietosuoja ja GDPR-noudattaminen ovat arkea jokaisessa yrityksessä, jossa käsitellään henkilötietoja. Tietosuojan tavoite on suojella henkilötietoja, minkä takia rekistereihin kerätään vain tarpeellinen tieto, tiedot säilytetään turvallisesti ja ne poistetaan ajallaan. Henkilötietoja ovat kaikki tiedot, joilla henkilö voidaan tunnistaa joko suoraan tai epäsuoraan yhdistämällä tietoja. GDPR:n noudattaminen tarkoittaa käytännössä sitä, että yritys pystyy perustelemaan, miksi tietoja kerätään, miten niitä säilytetään ja kuinka ne suojataan. Tämän artikkelin avulla saat yrityksesi tietosuojan vastaamaan GDPR:n vaatimuksia vaivattomalla tavalla.
Tietosuoja ja GDPR-noudattaminen osana yritystä
Tietosuoja ja GDPR-noudattaminen alkaa yksinkertaisista kysymyksistä: mitä henkilötietoja kerätään, miksi kerätään, missä tiedot sijaitsevat ja kenellä on niihin pääsy. On tärkeää dokumentoida henkilötiedot, joita käytetään asiakastyössä, myynnissä ja markkinoinnissa, kuten esimerkiksi asiakkaan nimi, sähköposti ja ostohistoria. Jokaisella tietotyypillä tulee olla selkeä käyttötarkoitus. Yrityksen on myös tunnistettava järjestelmät, joissa tietoja on ja nimetä tarpeen mukaan tietosuojavastaava, joka vastaa tietosuojan opastuksesta ja noudattamisesta.
Tietosuojan tarkistuslista:
- Pääsy rajattu roolien mukaan
- Kaksi- tai monivaiheinen tunnistus
- Tiedot salattu siirron ja levon aikana
- Lokitietojen tallennus ja valvonta
- Tietojen säilytysajat määritelty
- Vanhat tiedot poistetaan tai anonymisoidaan säännöllisesti
- Ohjeet tietopyyntöihin vastaamiseen ja tietoturvapoikkeamien reagointiin saatavilla
- Vastuut ja omistajuudet nimetty
- Käytäntöjen dokumentointi ja helppo saatavuus
- Minimointi ja käyttötarkoitus määritelty jokaiselle tietotyypille
- Säännöllinen tietosuojakoulutus henkilökunnalle
Kun nämä perusasiat ovat kunnossa, niin tietosuoja toimii luontevasti osana yrityksen toimintaa. Tietojenkäsittelyn voi myös ulkoistaa, mikäli haluaa pelata varman päälle. Lue lisää Katriumin aiemmasta artikkelista: Datan käsittelypalvelut – Miksi ne kannattaa ulkoistaa?
Tietosuoja ja GDPR-noudattaminen: Yleinen tietosuoja-asetus haltuun
Tietosuoja ja GDPR-noudattaminen tarkoittaa, että henkilötietojen käsittelyn on oltava EU:n yleisen tietosuoja-asetuksen mukaista. GDPR:n mukaan henkilötietojen käsittelyllä tulee olla selkeä käsittelyperuste, käsittely on rajattu vain tiettyyn tarkoitukseen ja toimien tulee olla todennettavissa. Selkeämmin ilmaistuna rekisterinpitäjän tulee määritellä, miksi henkilötietoja käsitellään, mitä tietoja todella tarvitaan ja kuinka kauan niitä säilytetään. Kun peruste, tarkoitus ja säilytysaika on määritelty, ne dokumentoidaan ja pidetään helposti saatavilla.
GDPR luku II, 6 artikla määrittelee, että henkilötietoja voi käsitellä lain mukaisesti vain, jos jokin seuraavista perusteista täyttyy:
- Suostumus: Käsittely perustuu rekisteröidyn vapaaehtoiseen suostumukseen.
- Sopimus: Välttämätön sopimuksen toteuttamiseksi tai sitä edeltäviin toimiin.
- Laki: Tarpeen lakisääteisen velvoitteen noudattamiseksi.
- Elintärkeä etu: Välttämätön rekisteröidyn tai toisen henkilön suojelemiseksi.
- Yleinen etu tai julkinen valta: Käsittely on tarpeen julkisen tehtävän tai toimivallan hoitamiseksi.
- Oikeutettu etu: Rekisterinpitäjän tai kolmannen osapuolen perusteltu etu, ellei rekisteröidyn oikeudet mene edelle.
Käsittely rajataan vain tiettyyn tarkoitukseen minimoimalla henkilötiedot. Tiedot kerätään vain tarkoituksen mukaan, eikä henkilöistä kerätä ylimääräistä tai tarpeetonta tietoa. Tietoja säilytetään vain niin kauan kuin on tarpeellista ja ne poistetaan tai anonymisoidaan, kun niitä ei enää tarvita. Arkaluontoisia tietoja ei riskien välttämiseksi yhdistetä henkilötietojen kanssa, ellei se ole välttämätöntä. Tarkoitus pyritään saavuttamaan anonyymeillä tiedoilla henkilötietojen sijaan aina, jos se on mahdollista. Asiakasrekistereiden GDPR:n mukainen päivitys onnistuu Katriumin kontaktointipalveluiden avulla.
Toimien todentaminen tarkoittaa, että yrityksen on kyettävä todistamaan noudattavansa tietosuojalainsäädäntöä käsitellessään henkilötietoja. Tämä tapahtuu niin, että kaikesta henkilötietojen käsittelystä jää selkeä jälki. Jälki perustuu dokumentointiin, nimettyihin vastuisiin ja säännöllisiin tarkastuksiin, joilla osoitetaan, että tietosuojalainsäädäntöä noudatetaan.
GDPR-noudattaminen hyödyttää kaikkia: yksilöille tietosuoja ja tietosuojan hallinta vahvistuu, organisaatioille se selkeyttää prosesseja, karsii turhaa dataa sekä parantaa tietoturvaa ja riskienhallintaa. Kun tarkoitus, tarvittava tieto ja säilytysajat on määritelty ja todennettavissa, poikkeamiin voidaan reagoida nopeammin. Laiminlyönneistä voi seurata merkittäviä sakkoja ja mainehaittaa, kun taas avoin ja johdonmukainen tietosuoja rakentaa luottamusta ja kilpailuetua.
Katriumin palvelut GDPR-noudattamisen tueksi
Me Katriumilla autamme tekemään tietosuojasta saumattoman osan yrityksen päivittäistä toimintaa. Me päivitämme ja puhdistamme rekisterit, keräämme suostumukset kontaktointiprojekteihin, ylläpidämme rekistereitä sekä tarjoamme monikielistä back-office-tukea ja BPO-palvelua rekistereiden jatkuvaan hoitoon. Näin rekisterit pysyvät ajan tasalla, riskit pieninä sekä tietosuoja ja GDPR-noudattaminen ovat todennettavissa. Ota yhteyttä Katriumiin, niin autamme tietosuojan kohdalleen.
