GDPR 25 maj 2018

GDPR. Mikä on GDPR? Ketä GDPR koskee? Koska uusi tietosuoja-asetus astuu voimaan? Mitä pienyritysten tulee tehdä GDPR:lle? Mistä minä löydän yksinkertaisen selityksen GDPR:lle? Mikä on henkilötieto? Mitä pienyrittäjien tulee tehdä GDPR:lle? Mitkä ovat vaatimukset uusien säännöt tietojen keruuseen GDPR:ssä? Mitkä ovat henkilökohtaisten tietojen avustajien sopimukset? Koskeeko GDPR EU:n ulkopuolisia yrityksiä? Mitä tapahtuu jos sivutan GDPR:n? Mistä löydän mallin henkilökohtaisten tietojen avustajien sopimuksiin? Kuinka suuret sakot voi saada jos ei noudata GDPR:ää?

Mikä on GDPR?

Tietosuoja-asetus GDPR = General Data Protection Regulation on Eu:n uusi tietosuoja-asetus.

Sen tarkoituksena on suojella yksilön oikeuksia yksityisyyteen ja oikeutta tulla unohdetuksi/poistetuksi rekisteristä tai tietokannasta.
Kaikki yritykset EUssa/EES:ssä jotka käsittelee henkilötietoja ovat velvollisia noudattamaan GDPR:tä.

Helpommin sanottuna : sinulla ei ole oikeutta käsitellä henkilötietoja. Jos sinun välttämättä tarvitsee, sinun on noudatettava GDPR:tä ja sinulla on oltava syy ja suunnitelma sellaisten tehtävien hoitamiseksi jotka voidaan yhdistää tiettyyn henkilöön.
Tämä koskee henkilötietoja joita sinulla on tietokannassa, paperilla, sähköpostissa ja muissa tiedostoissa tietokoneella, USB muistissa, ulkoisissa kovalevyissä ja vastaavissa tallennusvälineissä.

Laki koskee kaikkia rekisteröityneitä. Ei ole mitään väliä onko se asiakas, potilas, työntekijä, toimittaja tai sinä itse.

Mikä on henkilötieto?

Kaikki tiedot, jotka voidaan yhdistää tiettyyn henkilöön. Se voi olla Nimi, Kuva, Sähköposti, Pankkitietoja, Kommentteja sosiaalisessa mediassa, Terveystietoja tai IP-osoite.

Myös kuvat (valokuvat) ja tietokoneella tai vastaavalla käsiteltyjen henkilöiden äänitallenteet voivat olla henkilötietoja, vaikka nimiä ei mainittaisi.

Sinun pitää tästä lähtien saada jokaisen työntekijän hyväksyntä, ennen kuin voit julkaista heistä kuvia verkkosivuilla.

Mitä pienyrittäjien tulee tehdä?

• Motivaatio. Sinun yrityksen tulee pystyä motivoida miksi teillä on henkilötiedot ja mihin tarkoitukseen?

Jos ette pysty motivoimaan miksi, teidän tulee tuhota nämä tiedostot.

MUTTA.. muista että kirjanpitolaki on etusijalla. Kirjanpitoasiakirjat, laskut ja tilinpäätös on talletettava 10 vuotta. Oikeus unohtaa ei koske tietoja tai asiakirjoja, jotka sinun tulee esittää lain mukaan.

• Poikkeus. Aiempi asiakas tai työntekijä ei pysty vaatimaan että tämän tiedot pitää yliviivata tai poistaa esimerkiksi laskulta jonka yritys on velvollinen tallentamaan.

• Tietojen esittäminen. Sinä joka olet nyt yrittäjänä tulee pystyä esittämään kaikki rekisteröidyt tiedot henkilöstä pyynnöstä.

Sinun on pidettävä mielessä, että CV:t ja henkilökohtaiset kirjeet jne. jotka sinun yrityksesi on vastaanottanut tulee poistaa tai tuhota nimittämisen jälkeen tai päivittää, esimerkiksi joka vuosi sinun tulee informoida henkilölle jonka tiedot sinulla vielä on, että teillä on heidän tiedot tallessa ja jos ne tarvitsee päivittämistä tai jos ne tulee poistaa.

• Rutiininomainen poistaminen. Jos haluat välttää turhaa hallinnointia ja riskejä tulevaisuudessa, tulee sinun ottaa käyttöön rutiini, jonka avulla poistat kerätyt tiedostot.

• Hakkerointi. Jos sinut hakkeroidaan ja joku pääsee käsiksi henkilötietoihin tiedostoissasi, tulee sinun raportoida tietotarkastusvirastolle ja henkilöille joiden tiedostoihin ollaan päästy käsiksi 72 tunnin kuluessa.

• Sähköposti. Suurin ongelma pienyrittäjille on useasti miten heidän tulisi käsitellä sähköpostia. Miten sinun tulisi toimia jos sinä aiot poistaa tietoja YHDESTÄ henkilöstä sähköpostista jossa on useita osallistujia?

Älä käytä sähköpostia varastointipaikkana, vaan tee PDF-tiedostoja tai tulosta tarvitsemasi asiakirjat kirjanpidosta jne. jotta voit helposti poistaa kaikki viestit tarpeen mukaan menettämättä tiedostoja, jotka sinun on tallennettava lain mukaan.
Älä lähetä henkilökohtaisten tietojen luetteloita sähköpostissa, vaan liitä mieluummin linkki joka vie asiakirjaan/asiakirjoihin.

• Salassa pito. Ellet ole jo vaihtanut verkkosivuasi tai blogiasi TLS/HTTPS:si niin nyt on korkea aika! Tämä on siksi koska GDPR tarkoittaa sitä, että sinun on pystyttävä osoittamaan, että hallitset henkilökohtaisia tietoja turvallisesti ja salatusti. Yksi yksinkertainen kysymys yhteydenottolomakkeella henkilötietojen kautta vanhan HTTP:n kautta voi johtaa GDPR rikokseen.

Tämä sinun tulee tehdä GDPR:lle

Lyhyesti ja ytimekkäästi sanottuna, sinun on tiedotettava hieman enemmän että tallennat henkilötietoja. Miten sinä käsittelet kerättyjä tiedostoja ja kuinka kauan aiot säilyttää tiedostot.

Suuria muutoksia ei tule tapahtumaan suurimmalle osalle pienyrittäjiä Pohjoismaissa koska meillä on ollut jo pitkän aikaa henkilötietolakeja, mutta Googlelle ja Facebookille tulee radikaaleja toimenpiteitä sillä he hautovat epäilyttävästi henkilötietoja yksittäisellä tasolla.

Tiedonkeruun vaatimukset

Ruotsin tietotarkastuksen mukaan sinun on keskityttävä näihin pisteisiin (Privacy by Design), kun keräät tietoja henkilöistä ohjelmissa tai verkkosivuilla:

• Rajoita tietoja jotka epäsuorasti osoittaa yksilöä

• Rajoittaudu vähemmän arkaluontoisiin tietoihin

• Älä kerää yhtään enempää tietoa kuin tarvitset

• Vaihda nimet salanimiksi

• Älä aseta rutiiniomaisesti sosiaaliturvatunnuksia kenttiin tietokannoissa.

• Rajoita arkaluontoisten tietojen määrää

• Suojaa henkilötietoja luvattomilta henkilöiltä

• Käytä salausta

• Kerää ja käsittele tietosuojakäytäntöjä

Henkilötieto Edustussopimus

Tämä ehkä tulee kauhu kokemuksena joillekin, että sinun on tehtävä sopimus kaikkien alihankkijoiden kanssa henkilötietojen käsittelyn suhteen. Monilla on kuitenkin jo tämä, koska se oli jo henkilötietolain edellytys. Kaikki tärkeimmät toimijat ja palvelut tulevat ottamaan nämä sopimukset esille valmiiksi sinulle. Mutta nykyään monilla ulkomailla olevilla kumppaneilla on sähköposti, palvelimen hallinta, tilastopalveluja, digitaalinen aktivointi, verkkosivustojen chat-järjestelmä jne. Siksi uutta sopimusta voidaan vaatia yhden tai useamman alihankkijan kanssa suhteessa GDPR:hen.

Koskeeko GDPR EU:n ulkopuolisia yrityksiä?

KYLLÄ, EU:n kansalaisille palveluja tarjoavien EU:n ulkopuolisten yritysten tai EU:n kansalaisten tietojen käsittelyn on oltava GDPR:n mukaisia.

Kuten yleensä, EU uskoo voivansa luoda lakeja, joita odotetaan noudattavan muualla maailmassa, vaikka EU:lla ei ole toimivaltaa muualla maailmassa. Muut maailman yritykset ei todellakaan tarvitse noudattaa GDPR:tä, mutta EU yrittää huijata maailmaa sillä, että maailma tarvitsee sitä.

Mitä tapahtuu jos en noudata GDPR:tä?

Organisaatiot voivat saada sakkoja jotka ovat jopa 4% maailmanlaajuisesta myynnistä vuodessa, tai enintään 20 miljoonaa euroa. Suurin sakko koskee vakavimpia rikkomuksia, esim. jos katsotaan että on riittämätön asiakkaan suostumus tietojen käsittelyyn tai rikkoo Privacy by Design-käskyä.

Sinä voit saada sakon joka on 2%, jos rekisterisi ei ole kunnossa (artikkeli 28), ellet tiedota valvontaviranomaisia ja rekisteröityä rikoksesta tai et suorita vaikutustenarviointia. Tämä sisältää myös pilvipalvelut.

Siksi on olemassa tiukat sakot virheisiin ja ongelmiin, jotka ovat suhteellisen yksinkertaisia modernissa yrityksessä. Kuinka kovaa tätä sovelletaan pienyrityksille tänään on liian aikaista sanoa, mutta se ilmeisesti pelottaa jo monia yrittäjiä, jotka saavat viettää kohtuuttoman paljon aikaa, rahaa ja energiaa jotta eläisi toisien byrokraattisten ja vaikeasti ymmärrettävien sääntöjen ja lakien mukaan, joilla on harmaita alueita, jotka ovat niin laajoja, että ne on mitattavia tähtitieteellisillä yksiköillä.

VISMA:lla on hyvä sivu pienyrittäjille joka auttaa GDPR:ssä, pääset tästä sinne.

Sinä joka olet bloggaaja tai olet vastuussa yrityksen verkkosivusta/verkkosivuista, pitäisi lukea tämä tietojen säilyttämisestä Google Analyticsissä.

EU: Yleinen tietosuojasäännöstön sisällysluettelo

Jos haluat lukea lisää siitä, miten alvtieto.fi hoitaa GDPR:n, voit lukea tästä täältä Tietosuojakäytännöstä.