5 vinkkiä työpaikan arjen tietosuojaan
Tietosuoja-asetuksen voimaan astumisen jälkeen tietosuoja on otettu osaksi jokaisen yrityksen arkea, mutta perusasiat saattavat unohtua jokapäiväisessä työssä. Tässä lista muistin virkistämiseksi, miten tietosuojan tulisi olla osa jokaisen arkea.
Kertauksena vielä: Euroopan tietosuoja-asetus, tai tuttavallisemmin GDPR, on toukokuussa 2018 voimaan astunut Euroopan laajuinen asetus, joka määrittelee johdonmukaisesti kaikkialle Eurooppaan, mitä henkilötieto on ja miten sitä tulee säilyttää ja käsitellä. Tähän on Suomessa lisäksi tullut vuoden 2019 alusta voimaan astunut tietosuojalaki ja suunnitteilla on Euroopan laajuinen täydennys, ePrivacy-asetus, jotka täydentävät Euroopan tietosuoja-asetusta.
Mitä pitää mielessä tietosuojasta jatkossakin:
Vaikka tietosuoja olisi laitettu kuntoon reilu vuosi sitten, ovat seuraavat viisi kohtaa hyvä pitää mielessä erityisesti silloin kun järjestelmät muuttuvat tai uusia järjestelmiä otetaan käyttöön.
1. Heti ensimmäisenä on hyvä miettiä, tarvitseeko kaikkea tietoa edes tallentaa ja kerätä?
Tietosuojan kannalta helpoimmalla pääsee, jos ei kerää ylimääräistä tietoa käyttäjistä. Tällöin esimerkiksi väärinkäytön riski pienenee, kun kerätty data on rajattu järkevästi. Järjestelmiä suunniteltaessa tulisi tunnistaa, mikä tieto tukee liiketoimintaa ja sen kehittämistä. Vaikka tallennustila ei maksa juuri mitään, on tietosuojan kannalta järkevintä kerätä vain liiketoiminnalle oleellinen tieto.
2. Kun tietoa on kerätty ja sitä aletaan käsittelemään, tulisi henkilökunnan olla kykenevä toimimaan turvallisesti, niin että henkilötieto pysyy turvassa eikä se pääse leviämään vääriin paikkoihin.
Esimerkiksi henkilötietojen lähettäminen on yksi haaste: miten lähettää asiakkaan tietoja kollegalle turvallisesti? Jatkuva kouluttaminen on turvallisen toiminnan kulmakivi, sillä sen avulla voidaan vahvistaa olemassa olevia hyviä tapoja ja kouluttaa uusia toimintamalleja.
3. Yksityishenkilöillä on oikeus saada tietää ja tarvittaessa poistaa omat tietonsa palveluiden järjestelmistä.
Tietosuoja-asetuksen asettaman vaatimuksen mukaan tämä pitäisi tapahtua 30 päivässä käyttäjän pyynnöstä. Useimmat yritykset eivät ole saaneet tietosuojapyyntöjä, mutta tähän pitäisi silti olla valmis. Organisaatiossa olisi hyvä harjoitella, mistä kaikkialta tietoa pitää kerätä ja kuinka kauan tähän menee. Näin olette valmiina mahdollisiin tietosuojapyyntöihin. Tiedon keruuta järjestelmistä voi myös automatisoida.
4. Tietosuojapyyntöjen käsittelyä helpottamaan tulisi olla tarkka dokumentaatio, missä ja mitä dataa säilytetään.
Dokumentaatio on yksi tietosuoja-asetuksen asettamista vaatimuksista, mutta sitä tulisi myös ylläpitää, jotta se palvelisi tarkoitustaan. Tätä varten dokumentaatiolla tulisi olla selkeä omistaja, joka vastaa, että dokumentit ovat ajan tasalla ja helposti saatavilla sitä tarvitseville.
5. Viimeisenä huomion arvoisena kohtana ovat uudet järjestelmät. Erityisesti kannattaa kiinnittää huomiota tietosuojaan, kun hankitaan pilvipohjaisia järjestelmiä.
Tällöin pitää varmistaa, että palvelimet sijaitsevat fyysisesti EU/ETA-alueella tai yritys, joka hallinnoi palvelimia, noudattaa muutoin GDPR:n asettamia vaatimuksia tai on Privacy Shield -sertifioitu. Myös palveluiden tietoturvallisuuteen on syytä tutustua, jotta liikuteltava data on asianmukaisesti suojattua.
Käy lukemassa lisää täältä tai ota yhteyttä: hanna.kekalainen@exove.com
Pidetään yhdessä huolta, että GDPR toteutuu myös teidän organisaatiossa ja että teillä on tarvittava osaaminen myös jatkossa!