Oletko valmis GDPR:ään? Näin selvität uudet säännöt

Yritysten velvollisuus on aina ollut suojata asiakas- ja henkilötietoja. 25. toukokuuta 2018 uusi tietosuoja-asetus General Data Protection Regulation (GDPR) korvaa EU:n tietoturvadirektiivin vuodelta 1995. Tällä on vaikutus tiettyihin juridisiin vastuusuhteisiin. Alla käymme läpi asiat, jotka sinun tulee tietää.

Mikä on GDPR?

EU:n uuden tietoturva-asetuksen (GDPR) tarkoitus on suojata henkilötietoja ja pitää säännöstö ajan tasalla niin, että se sisältää ajankohtaiset ja tähän asti ennennäkemättömät tavat kerätä, tallentaa ja käyttää tietoja.

Yritysten keräämien tietojen määrä on tänä päivänä valtavan paljon enemmän kuin vuonna 1995. Googlen tapaisia hakumoottoreita, tai sosiaalisia verkostoja kuten Facebook, ja digitaalisia markkinointityökaluja kuten Salesforce ei ollut olemassa vuonna 1995. Näiden tekniikoiden synnyttämiä suuria tietomääriä ei ole säädelty tyydyttävällä tavalla olemassa olevien säännöstöjen mukaan, mikä on syy siihen, että GDPR on luotu vahvistamaan olennaiset säännöstöt modernia digitaalista maailmaa varten.

Henkilötietojen käsittely on GDPR:n päätarkoitus. Lähes kaikki mitä henkilötiedoilla voidaan tehdä, voidaan luokitella "käsittelyksi", esimerkiksi jos pyydät asiakkaan sähköpostiosoitetta, tallennat sähköpostiosoitteita tietokantaan tai tulostat nimiluettelon asiakkaista. Myös verkkotunnukset, kuten IP-osoite, katsotaan nyt henkilötiedoiksi.

GDPR:n mukaan sinä yksityishenkilönä voit vaatia kopion kaikista tiedoista, joita yritys on tallentanut sinusta, eikä mitään tietoja voi lain mukaan käsitellä ilman suostumustasi. Tarkoitus on suojella oikeuksiasi "tiedon subjektina" ja antaa sinulle suurempi vaikutusmahdollisuus yrityksen käsittelemiin henkilötietoihisi.

GDPR tekee mahdolliseksi korkeampien rangaistusmaksujen määräämisen sääntörikkomuksista. Jos sääntöjä ei noudateta, voi seurauksena olla 20 miljoonan euron sakot tai 4 % yrityksen vuosittaisesta liikevaihdosta; todellinen kannustin yritykselle ottaa tietosuoja vakavasti.

Uusi määräys tarkoittaa, että henkilötietolaista tulee samanlainen koko EU:ssa, mikä johtaa yksinkertaisempaan järjestelmään, erityisesti monikansallisilla yrityksillä.

Uusi määräys tarkoittaa, että henkilötietolaista tulee samanlainen koko EU:ssa, mikä johtaa yksinkertaisempaan järjestelmään, erityisesti monikansallisilla yrityksillä.

Mitä GDPR merkitsee pienille ja keskisuurille yrityksille

Pienten ja keskisuurten yritysten on noudatettava määräyksiä täysin, samaan tapaan kuin vahvistettuja paikallisia versioita EU:n tietoturvadirektiiveistä.

Tietosuojamääräyksen mukaan organisaatiolla on oltava tehokas, dokumentoitu, jäljitettävä prosessi henkilötietojen keräämiseen, tallentamiseen ja hävittämiseen. Lyhyesti, sinun on tiedettävä missä kaikki tietosi ovat ja että ne ovat turvassa.

GDPR keskittyy pääasiassa verkossa oleviin tietoihin, mutta määräykset koskevat myös fyysisesti tallennettuja tietoja. Tämä tarkoittaa, että yritysten on oltava tarkkoja paperimuodossa tulostetuista, kopioiduista, skannatuista ja tallennetuista tiedoista. Järkevä tapa hoitaa tämä on varovaisuus kaiken tiedon kanssa, jota käsitellään toimiston tulostimilla ja monitoimilaitteilla.

Ennen kuin alat muuttaa käytäntöjä, on viisasta ottaa selvää EU:n nykyisten tietoturvadirektiivien noudattamisesta yrityksessäsi, ja sen jälkeen tutkia, mitä muita toimenpiteitä vaaditaan GDPR:n noudattamiseen.

Nimitä tietosuojakysymyksistä vastaava henkilö

Teidän on päätettävä, missä vastuun on oltava organisaatiossanne. Jos tietosuoja-asetus niin vaatii, on nimitettävä muodollinen tietosuojavaltuutettu.

Tietosuoja-asetuksen ja kaiken henkilötietosuojaa koskevan lainsäädännön mukaan eri henkilöiden tai yritysten vastuualueiden välillä on tärkeitä eroja tietojen käsittelytavoissa.

Tietosuojavaltuutettu on henkilö tai yritys, joka päättää käsittelytoiminnoista, ts. organisaatiossa oleva fyysinen tai juridinen henkilö, joka yksin tai yhteistyössä toisen osapuolen kanssa päättää henkilötietojen käsittelyn tarkoituksesta ja tavasta.

Tulostus, skannaus, kopiointi, työnkulku ja asiakirjakäsittely eivät ehkä tule ensimmäisenä mieleen uudesta tietosuoja-asetuksesta, mutta nämä toiminnot muodostavat "käsittelyn" ja ovat näin tietosuoja-asetuksen alaisia samalla tavalla kuin muut käsittelytavat.

Tietoturva ja GDPR

Kaikkien henkilötietoja rekisteröivien yritysten, niin henkilötietovastaavan kuin henkilötietoavustajankin, on ryhdyttävä soveltuviin tietoturvatoimenpiteisiin. Yleistä tietosuoja-asetusta lukuun ottamatta on välttämätöntä, että sinulla on täsmälliset tietoturvakäytännöt ja varmuuskopiointi käytössä suojaamaan verkkohyökkäyksiltä ja yksityisyyden loukkauksilta, mikä muodostaa yhä suuremman riskin kaikille yrityksille.

Paperiasiakirjat, esimerkiksi tulostimen vastaanottotasoon jätetty tuloste, voidaan katsoa rikkeeksi henkilötietolakia vastaan, samoin suojaamattomat kierrätyslaatikot. Tiedoista voi olla olemassa digitaalisia kopioita, jota et ehkä tule ajatelleeksi; verkkoon liitetty monitoimilaite voi muodostaa tällaisen riskin.

Tulostimet voivat muodostaa kohteen kutsumattomille vieraille, jotka haluavat varastaa asiakirjoja, tai käyttää verkkoon liitettyä tulostinta tunkeutumisalustana muille laitteille.

Monitoimilaite on itsessään tavallisesti valmis verkkotietokone käyttöjärjestelmällä (Unix, Linux, Microsoft Windows jne.) ja verkkoviestinnän vakiotoiminnoilla. Kaikki verkon ylläpitäjät eivät ajattele tätä – mutta niin tekevät kaikki tunkeilijat.

Kuten kaikki liitetyt laitteet ja niihin kuuluva infrastruktuuri, monitoimilaitteet ja tulostimet muodostavat mahdollisen "sisäänpääsyn" tunkeilijoille. Siksi nämä tietoturvapuutteet on otettava erittäin vakavasti suunnittelussa ja analyysissä, mikä varmistaa yleisen tietosuoja-asetuksen noudattamisen.

Suojaamattomilla tulostimilla on tiedon väärinkäytön tai paljastumisen riski; tunkeilijat voivat esimerkiksi kopioida laitteen kovalevyltä asiakirjoja tai ”salakuunnella” suojaamatonta tulostinverkkoliikennettä. Tämä antaa kyberrikollisille mahdollisuuden käyttää laitteita tunkeutumisalustana muille laitteille; tulostimia voidaan esimerkiksi käyttää ylikuormitushyökkäyksissä (DoS).

Kuinka Sharpin ratkaisut voivat helpottaa GDPR:n käyttöönottoa

Sharp voi tarjota monia eri tietoturvaratkaisuja Sharpin monitoimilaitteisiin sisäänrakennetuista turvallisuustoiminnoista suojattujen tulosteiden hallintaratkaisuihin, pilvipohjaiseen tiedostojen tallennus- ja jakamispalveluun sekä hallittuihin IT-palveluihin mukaan lukien tietoturva ja suojattu varmuuskopiointi. Yrityksesi koosta riippumatta voimme auttaa sinua suojaamaan tietonne.

Lisätietoja, mm. Sharpin tietoturvaohjeet, löytyy internetsivulta "Suojaa tietoturvasi".