EU:n tietosuojauudistus
EU:n tietosuoja-asetus astuu voimaan 25. toukokuuta ensi vuonna. Mitä tämä tarkoittaa?
Jokaisen yrityksen pitää tietää, että tällainen uudistus on tulossa. Se koskee myös pienimpiä yrityksiä. Jokaisen yrityksen on tehtävä jotain tulevan talven aikana. Yhden henkilön yrityksissä muutokset koskevat etenkin tietoturvaa.
Muutoksen myötä on ymmärrettävä tietojen huolellisen käsittelyn merkitys. Jokaisella yrityksellä on käytännössä ainakin asiakas- ja markkinointirekisteri. Yritysten sisällä pitäisi nyt miettiä, kuka saa käsitellä esim impotenciastop.com. asiakkaiden henkilötietoja. Oikeus pitää olla ainoastaan niillä, joilla on siihen tarve työnsä puolesta. Tulevan talven aikana olisi hyvä siivota rekisterit ja päivittää ne ajan tasalle. Jos jonkun tiedon säilyttämiselle ei ole enää perusteita, ne pitää hävittää. Eli nyt pitäisi kartoittaa tarkasti, mitä tietoja kerätään, millä perusteilla ja miten niitä käsitellään.
Uutta sääntelyä koskeva ohjeistus täydentynee siirtymäajan aikana ennen asetuksen soveltamisen alkamista 25.5.2018.
Yritysten olisi hyvä kuitenkin aloittaa varautuminen jo mahdollisimman aikaisessa vaiheessa.
Voit lähteä liikkeelle seuraavan kysymyslistan avulla:
1. Käy läpi yrityksessä tapahtuva henkilötietojen kerääminen, rekisteröinti ja käsittely sekä niihin liittyvät perusteet ja käytännöt. Mitä tietoja yrityksessä kerätään, ja sisältyykö niihin henkilötietoja? Millä perusteella henkilötietoja kerätään tai käsitellään? Täyttääkö toiminta nykysääntelyn vaatimukset?
2. Arvioi henkilötietojen käsittelyn tarpeellisuutta ja siihen liittyviä riskejä sekä sitä, miten riskejä voitaisiin vähentää? Tarvitaanko kaikkia nyt kerättäviä tietoja? Kuinka pitkään tietoa on liiketoiminnan kannalta tarpeen säilyttää?
3. Harjoitetaanko yrityksessä henkilötietojen profilointia?
4. Millä tavalla yrityksessä huolehditaan eri tietomassojen, erityisesti henkilötietojen suojauksesta? Onko suojauskäytännöissä parantamisen varaa?
5. Pohdi, millä tavalla varautua erilaisiin tietoturvaloukkauksiin? Miten näiden riskiä voitaisiin vähentää? Miten yrityksessä toimitaan tietoturvaloukkauksen sattuessa?
6. Selvitä, millä tavalla yrityksessä reagoidaan rekisteröityjen pyyntöön tarkistaa tai poistaa itseään koskevat tiedot yrityksen rekistereistä?
7. Vastuuta selkeästi taho huolehtimaan siitä, että tietoturva on riittävällä tasolla ja yrityksessä noudatetaan nykyistä henkilötietolainsäädäntöä?
8. Selvitä, siirretäänkö yrityksen keräämiä tai käsittelemiä henkilötietoja muille tahoille, esimerkiksi kumppaniyrityksille, toimeksiantajille, alihankkijoille jne.? Onko henkilötietojen siirtämiseen saatu rekisteröityjen suostumus, ja onko henkilötietojen siirrosta tehty kirjallista sopimusta? Siirretäänkö henkilötietoja muihin EU-maihin tai EU:n ulkopuolelle?
9. Jos yrityksessä suunnitellaan uusien asiakasrekisterien tai vastaavien ohjelmistojen hankintaa, selvitä myyjältä ennen hankintapäätöksen tekoa, onko ohjelmiston suunnittelussa varauduttu tietosuoja-asetuksen säännöksiin tai onko ohjelmisto mukautettavissa niihin?
Tietosuoja-asetuksen vuoksi myös tilitoimiston ja asiakkaiden väliset kirjalliset sopimukset on täydennettävä tietosuojan edellyttämiltä osin.
Huolehdimme sopimusten päivittämisestä vuoden 2018 aikana.