GDPR: Mitä yrityksesi tulee tietää

Yleinen tietosuoja-asetus (GDPR) astuu voimaan 25. toukokuuta 2018, ja luo uudet tietosuojakriteerit EU:n alueelle. Ota selvää, mitä sinun tulee tietää tehdäksesi liiketoiminnastasi tietosuojalain mukaista.

Yleinen tietosuoja-asetus (GDPR) muuttaa lopullisesti tavan, jolla tallennamme ja jaamme tietoa. Se ei pelkästään paranna toiminnan läpinäkyvyyttä kansalaisille, vaan se myös pakottaa yritykset raportoimaan tarkemmin tietoturvaloukkauksista.

GDPR ei ole vapaaehtoinen menettelytapa, sillä noudattamatta jättäminen voi aiheuttaa raskaita sakkoja yrityksille, suurille ja pienille, jotka eivät ole ottaneet käyttöön oikeita toimenpiteitä ja työkaluja. Sakot voivat muodostaa neljä prosenttia kokonaisliikevaihdostasi, tai jopa 20 miljoonan euron sanktiot.

Oletko jo valmis? Tarkastelemme tässä, mitä sinun tulee tietää ollaksesi GDPR-valmis määräaikaan 25. toukokuuta mennessä. 

Vaihe 1: Tiedä, mitä GDPR tuo mukanaan

GDPR on suuri muutos tietosuojassa ja jotain, mikä kaikkien yritysten on otettava vakavasti ja toimittava sen mukaisesti. Ensimmäinen asia, mitä sinun tulee tehdä on ottaa selvää, mitä vaatimuksia uudet säännöt asettavat sinulle.

Vaihe 2: Tarkista kaikki henkilötiedot

GDPR:n ehtojen mukaan "henkilötietoja" ovat kaikki yrityksesi tallentamat tiedot, jotka liittyvät minkä tahansa elävän yksilön henkilöllisyyteen. Nämä tiedot voidaan tallentaa sähköisesti, kovalevylle, pilveen tai paperisessa muodossa. Yrityksesi on sijainnistaan riippumatta oltava tietoinen, mitä henkilötietoja säilytetään, kenellä on pääsy niihin ja miksi niitä säilytetään.

Vaihe 3: Tarkasta tietojentallennuskäytännöt

GDPR pakottaa yrityksesi tarkistamaan ja määrittämään tietokäytännöt uudelleen, aina yrityksesi henkilötietojen rekisteröinnistä tallennukseen asti. Tämän käytännön sisältö ja rakenne vaihtelevat yrityksesi vaatimuksista riippuen. Tallensitpa sitten digitaalisessa tai paperisessa muodossa, tietoturvan on oltava käytäntösi avaintekijä.

Jos henkilötietoja käsitellään suurimittaisesti, voi olla välttämätöntä nimittää tietosuojavaltuutettu (Data Protection Officer, DPO). Heidän roolinsa on valvoa säännöllisesti tietoprosesseja ja sitä, ovatko ne säännösten mukaisia.

Vaihe 4: Asiakastietojen päivittäminen

Jos aiot jatkaa asiakkaiden henkilötietojen tallentamista, sinun on ilmoitettava asiakkaille ja allekirjoitettava asiakirjat, joissa tietojen todetaan olevan uusien tietosuojailmoitusten mukaisia. Asiakkaiden on tiedettävä, kuinka ja miksi nämä tiedot tallennetaan. Mikä tärkeintä, asiakkaiden on oltava myös täysin tietoisia oikeuksistaan, kuinka he voivat päästä käsiksi näihin tallennettuihin tietoihin tarkistaakseen, ovatko ne tarkkoja tai asiaan kuuluvia asiakassuhteenne kannalta.

Vaihe 5: Ovatko vakuutuksesi kunnossa?

GDPR:n noudattamisvaatimusten lisäksi on myös tärkeää, että olet tietoinen noudattamisen laiminlyönnin seurauksista, tietosuojavaltuutetun säätelemistä sakoista, tai tietosuojan loukkaamisesta johtuvista henkilöiden korvausvaatimuksista. Sen lisäksi, että sinun tulee tarkistaa nykyiset vakuutuskäytäntösi vaatimusten osalta, sinun tulee myös varautua asettamaan paremmat ehdot pahimman varalle.

Vaihe 6: GDPR-asetuksen noudattamisen osoittaminen

Kun yrityksesi on GDPR-vaatimusten mukainen, toimintaohjeen uusi periaate on, että yritysten on pystyttävä osoittamaan, kuinka ne noudattavat tietosuojaperiaatteita. Tämä on ensisijaisesti rekisterinpitäjän rooli organisaatiossasi, mutta käsittelijöiden on myös tunnettava eri vaiheet, jotka vaaditaan GDPR-tarpeiden täyttämiseen. Tästä johtuen koulutuksesta ja jatkokoulutuskursseista on tultava pakollinen osa liike-elämää.

Nämä uudet säännöt eivät kata pelkästään sitä, mitä sinun on tehtävä uuden toimintaohjeen noudattamiseksi, vaan myös pysymiseksi ajan tasalla sen tultua voimaan. Keskustele lakitiimisi tai lakineuvojasi kanssa, mitä GDPR merkitsee yrityksellesi ja saa apua heiltä yrityksen laajuisten suunnitelmien laatimiseen.

Kuinka Sharp voi auttaa sinua noudattamaan GDPR-asetuksen vaatimuksia

Sharpin monipuolinen tietoturvavalikoima, joka yhdistää laitehallinnan, tulostushallinnan ja asiakirjakäsittelyratkaisut vahvaan tekniseen asiantuntijuuteemme, voi auttaa yritystäsi noudattamaan GDPR‑vaatimuksia.

Yksi GDPR:n näkökanta on sen huomioon ottaminen, kenellä on pääsy henkilökohtaisiin tietoihin. Sharpin Cloud Portal Officen tallennus- ja jakopalvelu suojaa tietoja turvallisella kirjautumisella käyttäjätunnuksen ja salasanan avulla, sisältää asiakirjan version jäljityksen, jotta saat tiedon, milloin asiakirjoja avattiin tai tallennettiin ja kenen toimesta, sekä tietojen säilyttämisen hallinnan, jolla varmistetaan, että tietoja säilytetään vain niin kauan, kuin niitä tarvitaan.

Sharpin monitoimilaitteet tarjoavat myös turvallisen kirjautumisen. Kirjautumista voidaan rajoittaa PIN-koodin tai käyttäjänimen ja salasanan yhdistelmällä. Kaikki käyttäjätiedot annetaan monitoimilaitteelle käyttämällä turvallisten protokollien yhdistelmää, mikä auttaa välttämään väärinkäyttöä.

Arkaluonteisten asiakirjojen suojaus on vakiona Sharpin RSA-suojattujen Adobe PDF -tiedostojen ja SSL/TSL-protokollien ja turvallisen sähköpostiviestinnän takaavan S/MIME -sähköpostisalauksen ansiosta, oli kyse sitten skannauksesta, tulostuksesta tai sähköpostien lähettämisestä. Valinnainen tietoturvallisuuskitti poistaa myös ylimääräiset tiedot kirjoittamalla niiden päälle jopa 10 kertaa.

Turvatulostus-toiminto auttaa myös estämään arkaluonteisten tietojen jäämisen vastaanottotasolle. On tavallista, että tulostetut asiakirjat jäävät valvomatta. Sharpin äskettäin 6000:lle ympäri Eurooppaa olevalle toimistotyöntekijälle teettämässä tutkimuksessa 55 prosenttia sanoi, että heidän kollegansa jättävät asiakirjansa vastaanottotasolle. Turvatulostus tai Follow Me -tulostus on toiminto, missä tulostamasi asiakirjat säilytetään palvelimella turvallisessa jonossa (palvelinpohjainen turvatulostus) tai tietokoneellasi (palvelimeton turvatulostus) kunnes painat painiketta yhdistetyllä laitteella.

Jos haluat tietää lisää siitä, kuinka Sharp voi auttaa sinua toteuttamaan ja täyttämään GDPR-vaatimukset yrityksessäsi, Ota meihin yhteyttä.