Euroopan tietosuojaa koskevaan lainsäädäntöön tuli reilu vuosi sitten suurin muutos vuosikymmeniin.
Euroopan yleinen tietosuoja-asetus, tuttavallisemmin GDPR, tuli voimaan 25. toukokuuta 2018. Asetuksen tavoitteena oli lisätä yritysten vastuuta heidän hallussaan olevista tiedoista. Uudet määräykset korvasivat aiemman, vuodelta 1998 peräisin olleen lain, joka laadittiin kauan ennen internetin yleistymistä ja sen aikaansaamaa datavallankumousta. Aiempi laki oli siis aikaansa jäljessä, se ei palvellut tarkoitustaan eikä se soveltunut sittemmin tapahtuneisiin teknologisiin kehityskulkuihin.
GDPR:n tavoitteena on ollut antaa yksityishenkilöille enemmän hallintavaltaa omiin henkilökohtaisiin tietoihinsa sekä yksinkertaistaa ja ajantasaistaa tietojen suojaamista.
Samainen GDPR myös toi tietosuoja-asiat suuren yleisön tietoisuuteen, muun muassa Facebookissa viime vuosina paljastuneiden tietomurtojen ohella. Tiedon suojaaminen on aina ollut merkittävä asia kaikissa vakavasti otettavissa yrityksissä, joissa käsitellään suuria määriä arkaluonteista tietoa. Koska datamassoista on tullut merkittävä kaupankäynnin väline ja päivittäin käsitellään yhä suurempia tietomääriä, myös tiedon suojaamiseen kiinnitetään ansaitusti enemmän huomiota.
MITÄ TEETKIN, NOUDATA GDPR:ÄÄ
Monet yritykset urakoivat hiki hatussa valmistautuessaan GDPR:n voimaantuloon ja pitivät voimaantulopäivää urakan päättymispäivänä. Prosessi ei kuitenkaan loppunut siihen. Päinvastoin, tietosuoja ja GDPR:n noudattaminen vaativat jatkuvaa työtä.
Poimi tästä muistilista GDPR:n noudattamisen avainasioista:
- Jokaisen henkilötietoja hallinnoivan ja/tai käsittelevän yrityksen on pidettävä visusti mielessä, että heillä on hallussaan erittäin arvokasta omaisuutta – henkilökohtaisia tietoja. Siksi on ehdottoman tärkeää ymmärtää rekisteröityjen henkilöiden perusoikeudet. Yrityksen datamassaan sisältyvät henkilökohtaiset tiedot kuuluvat rekisteröidyille itselleen. Yrityksen on käsiteltävä niitä huolellisesti ja kunnioittavasti.
- Kun edellinen on sisäistetty, yritys voi (ja sen kannattaa) luoda ja toteuttaa hallintatoimia, joilla kaikki liiketoimintaan osallistuvat suojaavat tätä omaisuutta. Tietosuoja ja rajattu pääsy tietoihin eivät vielä riitä, vaan jokaisen yrityksessä työskentelevän on ymmärrettävä, mikä heidän oma roolinsa on tietojen suojaamisessa.
- Raportointiprosessi kannattaa testata ongelmatilanteiden varalta (esimerkiksi toimintamalli sisäisissä rikkeissä tai rekisteröidyn henkilön tietopyynnöt).
- Oikeanlaisten toimintamallien ja prosessien käyttöönotto sekä kaikkien työntekijöiden ja alihankkijoiden huolellinen perehdytys niihin.
- Henkilöstön kouluttaminen tietoturvariskien ymmärtämiseen ja tunnistamiseen.
QUINYXIN ERITYISOSAAMINEN
Useimpiin markkinoilla oleviin työvoimanhallintajärjestelmiin tallennetaan vaihteleva määrä työntekijöitä koskevia, henkilökohtaisia tietoja. Siksi on tärkeää ymmärtää, kuinka tieto tarkalleen ottaen tallennetaan ja kuinka se suojataan. Me Quinyxillä teemme näin:
- Pääsynvalvonta on keskeinen osa tuotettamme, ja sillä varmistamme, että vain luvalliset käyttäjät pääsevät käsiksi henkilökohtaisiin tietoihin.
- Järjestämme säännöllistä ja toistuvaa GDPR-koulutusta.
- Käytämme AWS:n (Amazon Web Services) järeitä turvamekanismeja.
- Toteutamme sisäänrakennetun tietosuojan ja turvallisuuden periaatteita koko muutosten- ja versionhallintaprosessissa. Kun tuotteeseen lisätään toimintoja tai tehdään muutoksia, tietosuoja ja turvallisuus ovat olennaisia elementtejä kaikessa ennakoinnissa ja arvioinnissa.
- Meillä on kaikkiin tilanteisiin, myös tietomurtoihin, huolellisesti kirjatut ja testatut toimintamallit.
Tiivistetysti (ja GDPR-rikkeestä seuraavien muhkeiden sakkojen välttämiseksi) voidaan sanoa, että yrityksen on ensin varmistettava, että sen kaikki sisäiset toiminnot ovat säännöstenmukaisia ja dokumentoituja, selkeästi henkilöstölle viestittyjä ja huolella testattuja.
Toisekseen, ulkopuolisten palveluntarjoajien kuten työvoimanhallinnan asiantuntijoiden kanssa toimiessa on varmistuttava, että heidän prosessinsa ovat kunnossa ja että he toiminnallaan varmistavat yrityksen tietojen turvallisen käsittelyn.
