Oletko jo kuullut GDPR:istä? Olet saattanut kuulla puhuttavan siitä, mutta luulet sen edelleen olevan lyhenne jostakin siististä bändistä. Oikeasti GDPR on suhteellisen kompleksinen muutos eurooppalaiselle yleiselle datasuojelusäädökselle (General Data Protection Regulation). On siis aika tarttua aseeseen ja alkaa veistelemään GDPR:iä ymmärrettävään muotoon. 


Mistä GDPR:issa on kyse?

Tiivistettynä GDPR ohjailee yksilön turvaa salata datansa ja päättää, kenellä on yksityistietoihin oikeus. Jos ohjeistusta ja säädöksiä ei noudateta, voi se johtaa vakaviin sanktioihin. Yksityistiedoiksi luokitellaan kaikki, mikä on yksilökohtaista, esimerkiksi IP-osoitteet ja evästeet. Näiden tietojen antamisesta päättää nettivierailija. Myös epäsuorien yksityistietojen, kuten iän ja sukupuolen, luovuttaminen on netinkäyttäjän hallittavissa.

GDPR on jo vuonna 2016 EU:ssa hyväksytty lakiehdotelma, mutta unionin jäsenille annettiin kahden vuoden siirtymäaika, joka umpeutuu toukokuun 25. päivä 2018. Tuolloin yritysten odotetaan noudattavan GDPR:iä.


Mitkä ovat GDPR:n tuomat muutokset?

GDPR seuraa vahvasti vuonna 1995 asetettua DPD-direktiiviä. Nämä kahdeksan prinsiippiä on laadittu suojaamaan yksilön yksityisyyttä, vaikkakin jokainen jäsenmaa on saanut tehdä omat tulkintansa DPD:stä:

  1. Datan hankkimisen ja prosessoimisen tulee olla oikeudenmukaista
  2. Pidä dataa hallussa yhdelle tai useammalle spesifille lailliselle tarkoitukselle
  3. Prosessoi dataa sen tarkoitukselle soveliaalla tavalla
  4. Pidä data turvassa
  5. Pidä data tarkkana ja ajanmukaisena
  6. Pidä huolta, että data on pätevää, relevanttia ja ettei se ole kohtuutonta
  7. Säilytä dataa vain niin kauan kuin tarpeellista ja vain soveltuvaan tarkoitukseen/tarkoituksiin
  8. Datasta pitää antaa pyynnöstä kopio datan omistajalle.

Vanhoihin prinsiippeihin on hyvä tutustua, sillä GDPR pohjautuu vuoden 1995 säädökseen. Asetus velvollistaa yritykset ja organisaatiot, joilla on käytössään henkilötietoja tietokannoissaan suojaamaan henkilötiedot, sekä heidän tulee olla valmiita luovuttamaan tiedot henkilöiden pyynnöstä.


Tarkista GDPR-muutosten tarpeet!


Arvioi tarpeet:

  • Mitä dataa yritykselläsi on jo käytössä?
  • Miten olemme säilyttäneet dataa? Onko meillä dataan liittyvät tarpeelliset suostumukset ja tiesivätkö henkilöt, että dataa kerättiin ja mihin tarkoitukseen? Kerroimmeko selvästi datan keräämisen tarkoituksen ja tiesivätkö he oikeuksistaan omaan dataansa?
  • Olemmeko varmistaneet, että emme säilytä dataa enemmän kuin on tarve, ja että pidämme sen ajanmukaisena?
  • Pidämmekö dataa turvassa ja mitä turvallisuustoimia meillä on suojellaksemme sitä? Olemmeko rajanneet dataan käsiksi pääsyä?
  • Minkä tyyppistä dataa prosessoimme? Henkilökohtaista tietoa, kuten lasten tietoja, biometristä tai geneettistä dataa? Jos on, olemmeko suojanneet sen tarpeeksi hyvin?
  • Siirrämmekö dataa EU:n ulkopuolelle? Jos kyllä, siirrämmekö dataa turvallisesti?


Tee GDPR-suunnitelma:

  • Tehkää suunnitelma GDPR-muutoksesta, joka tulee olla selvä koko yritykselle
  • Tarkistakaa onko teidän tarve allokoida budjettia muutokseen
  • Nimittäkää tai palkatkaa Data Privacy Officer
  • Tarkistaa myös oman yrityksenne työntekijöiden datan käsittely


Toimenpiteet ja kontrolli:

  • Ovatko työntekijät tietoisia muutoksista? Ohjatkaa resursseja uuden opetteluun ja koulutukseen
  • Kuinka yrityksenne mahdollistaa datapyynnöt muutoksen jälkeen?
  • Kuinka tarkistatte olemassa olevan datanne?


Dokumentointi:

  • Päivittäkää oma yksityisyyssuojanne ja tehkää siitä GDPR:n mukainen
  • Onko yrityksenne menettelytavat dokumentoituna?
  • Onko yhteistyöyrityksiimme luovutettava data kunnossa ja seuraako se GDPR:iä? Varmistakaa linjauksenne kuntoon.

Tutustu GDPR:än kokonaisuudessaan ja tarkista yrityksesi tarpeet GDPR-muutoksille!

Lataa maksuton GDPR-opas