GDPR Väärinkäsitykset: Paperitulostuksesta ja pilvitallennuksesta salaukseen ja tietoturvaloukkauksiin

Yleinen tietosuoja-asetus (GDPR) ryhtyy yhdenmukaistamaan tietosuojalakeja eri puolilla Eurooppaa ja kauempana. Mutta tunnetko kaikki faktat? Rikomme tässä joitakin myyttejä GDPR:stä ja yritysvastuistasi. 

Yleinen tietosuoja-asetus (GDPR) on monipuolinen asetus, joka tulee mukaan lainsäädäntöön 25. toukokuuta 2018. Se on asetus, joka pyrkii yhdenmukaistamaan tietosuojalain kaikissa EU-maissa. Lisäksi sillä on laaja alueellinen ulottuvuus, joka koskee kaikkia yrityksiä ja organisaatioita, jotka käsittelevät, valmistavat tai hallitsevat ihmisten henkilötietoja EU:ssa.

GDPR vaatii kaiken kokoisia organisaatioita määrittämään ja panemaan toimeen tietosuojatoimet, jotka suojaavat kuluttajien ja työntekijöiden henkilökohtaisia tietoja. Organisaatioiden on asetettava avoimuutta koskevat säännöt, jotka antavat henkilöille mahdollisuuden katsella ja muuttaa tietoja, joita yritykset säilyttävät heistä. Se vaatii yrityksiä myös suojaamaan niiden säilyttämiä henkilötietoja ja pitämään ne turvassa, joten yritysten on suojauduttava tietoturvaloukkauksia vastaan.

Noudattaakseen sääntöjä yritysten on ehkä päivitettävä asiakirjahallinta-, tulostushallinta- ja tietovarasto -työkalunsa (pilvi- tai palvelinpohjainen), tai otettava käyttöön joitakin näistä työkaluista ensimmäistä kertaa.

GDPR-vaatimusten noudattamatta jättäminen voi johtaa sakkoihin, jotka voivat olla enintään jopa 20 000 000 euroa tai 4 prosenttia koko vuosittaisesta liikevaihdosta. Siksi on välttämätöntä, että yrityksesi ymmärtää velvollisuutensa sääntöjen noudattamisessa.

Euroopan unioni otti käyttöön GDPR-vaatimuksen 27. huhtikuuta 2016, kahden vuoden siirtymäajalla ennen sen toimeenpanemista 25. toukokuuta 2018. Perustamisen aikana on tullut esiin monia kysymyksiä asetuksista ja kuinka ne toimivat käytännössä. Tarkastelemme tässä joitakin yleisiä kysymyksiä ja väärinymmärryksiä koskien tulostusta, skannausta ja tiedon digitaalista tallennusta. 

Koskeeko GDPR vain digitaalista tietoa?

Monien yritysten päähuomio on henkilötietojen tarkastamisessa ja tallennuksessa digitaalisessa muodossa, mutta uudet asetukset koskevat myös paperille tallennettua tietoa.

Luontaiset ongelmat koskien tietojen tallennusta paperimuotoon ovat, että uusien sääntöjen mukaan käsittelijän on tiedettävä, minne ne on tallennettu, kuinka monta kopiota tiedoista on saatavana sekä käytön avoimuus, tai kuinka helposti tähän tietoon päästään käsiksi, jos käyttäjä pyytää saada katsoa tietojaan.

Monille paras tapa noudattaa uusia GDPR-sääntöjä on siirtyä pois paperimuodosta ja muuttaa kaikki tiedot digitaaliseen muotoon. Tämä voidaan tehdä skannaamalla, ottamalla talteen ja tallentamalla joko paikallisesti tai pilveen käyttämällä järjestelmää, joka noudattaa uusia asetuksia.

Koskeeko GDPR pieniä yrityksiä?

Jos yrityksesi tallentaa henkilökohtaisia tietoja EU-kansalaisesta, sen on noudatettava GDPR‑vaatimuksia, liiketoimiesi koosta riippumatta. Joissakin tapauksissa on tehty myönnytyksiä pienemmille toimijoille, mutta asetuksessa sanotaan, että "tiedon käsittelyn tai yksilöiden tarkkailun" on kuuluttava yrityksen liiketoiminnan ytimeen sen edellytyksenä. Näin ollen on parasta olettaa, että yrityksesi tulee noudattaa asetuksia.

Koskeeko GDPR USA:ta? Onko GDPR voimassa Euroopan ulkopuolella?

GDPR koskee kaikkia yrityksiä, jotka tekevät kauppaa minkä tahansa EU-maan kanssa, ja tallentaa henkilökohtaisia tietoja mistä tahansa EU-kansalaisesta näissä maissa. Tämä on tärkeä vaihe ymmärtää, huolimatta siitä, mistä alkuperäinen yritys tekee kauppaa. Jos sillä on sopimuksia EU:ssa, sen on noudatettava GDPR-ehtoja tai maksettava raskaita sakkoja.

Koskeeko GDPR pilveen tallentamiamme tietoja? 

Monet yritykset uskovat, että sijoittamalla tietonsa pilveen, vastuu GDPR-ehtojen noudattamisesta on pilvipalvelun eikä yksittäisen yrityksen. Asia ei ole näin ja sekaannus voi helposti johtaa sakkoihin asetusten ehtojen mukaan.

Kuten yllä mainittiin, GDPR-asetukset koskevat paperisen muodon lisäksi myös digitaalisia rekistereitä. Kaikki paikat, minne yrityksesi tallentaa henkilökohtaisia tietoja, kuuluvat asetusten piiriin, ja niiden on näin ollen noudatettava GDPR-ehtoja.

Tarkoittaako tietojemme salaus, että noudatamme GDPR-vaatimuksia?

Jos tallennat tietoja verkkoon, salauksen on oltava jo käytössä ja sitä on pidettävä tietojen suojauksen ensimmäisenä vaiheena. Salaus ei sinänsä ole kuitenkaan tarpeeksi GDPR‑vaatimusten täyttämiseksi ja voi aiheuttaa yrityksellesi sakkoja. 

Onko GDPR ainoa asetus koskien tiedonkäsittelyä? 

GDPR:n syrjäyttäessä paljon lainsäädäntöä ympäri Eurooppaa ja tehdessä tiedonkäsittelystä yksinkertaisen prosessin, se ei ole ainoa toimintaohje, jota kaiken kokoisten yritysten on noudatettava. Olipa yrityksesi koko mikä tahansa, sinun on myös noudatettava yksittäisiä kansallisia yksityisyyttä koskevia sääntöjä, jotka tyypillisesti vaihtelevat maittain.

Jos noudatamme kansallisia tietosuojalakejamme, noudatammeko GDPR-asetusta?

Kuten aiemmin mainittiin, samalla kun GDPR:n tavoite on yksinkertaistaa monia tiedonkäsittelysääntöjä eri puolilla Eurooppaa, se ei häiritse yksittäisten maiden kansallisia yksityisyydensuojalakeja. Sen vuoksi, vaikka saatat noudattaa GDPR-asetuksia, yrityksesi on myös noudatettava kansallisen yksityisyydensuojalain henkilötietoja koskevia säännöksiä jokaisessa maassa, missä toimit.

Sharpin monipuolinen tietosuojavalikoima, joka yhdistää laitteisto- ja ohjelmistotuotteet vahvaan tekniseen asiantuntijuuteemme ja hallittuihin tulostuspalveluihin, voi auttaa yritystäsi noudattamaan GDPR-vaatimuksia.

Jos haluat tietää lisää siitä, kuinka voimme auttaa sinua täyttämään GDPR-vaatimukset yrityksessäsi, Ota meihin yhteyttä.