Yleinen tietosuoja-asetus(GDPR) tulee voimaan 25. toukokuuta, ja se muuttaa täysin yritysten tapaa käsitellä ja käsitellä tietoja ja antaa yksilöille enemmän valtaa siihen, kuka kerää ja käsittelee heidän tietojaan, mihin niitä käytetään ja miten niitä suojataan.
Vaikka toukokuun määräaika lähestyy yhä lähemmäksi, GDPR:ään liittyy yhä useita myyttejä, jotka on syytä kumota.
TOP GDPR-myytit
Myytti 1: Jokaisen yrityksen on nimitettävä tietosuojavastaava.
Tämä on väärin. Vain tiettyjen organisaatioiden on nimitettävä tietosuojavastaava tietosu oja-asetuksen nojalla.
Sinun on nimitettävä tietosuojavastaava, jos:
- olet viranomainen
- ydintoimintanne edellyttää laajamittaista, säännöllistä ja järjestelmällistä yksilöiden seurantaa.
- ydintoimintasi koostuu erityisten tietoryhmien tai rikostuomioihin ja rikoksiin liittyvien tietojen laajamittaisesta käsittelystä.
Tietosuojavastaavan tulisi olla GDPR:n ja tietosuojakäytäntöjen asiantuntija, sillä hän vastaa GDPR:n noudattamisen seurannasta ja raportoinnista.
Tietosuojavastaavien odotetaan auttavan rekisterinpitäjiä ja henkilötietojen käsittelijöitä opastamaan tarkastamalla sisäisen noudattamisen ja ehdottamalla tarvittaessa asianmukaisia korjaavia suosituksia. Tietosuojavastaavien odotetaan myös toimivan riippumattomasti organisaatiossa.
Myytti 2: GDPR vaikuttaa vain eurooppalaisiin yrityksiin
Tämä on väärin. Vaikka tietosuoja-asetus on eurooppalainen asetus, sillä on laajempia vaikutuksia. Ei ole väliä, missä päin maailmaa olet, jos yrityksesi sijaitsee EU:n ulkopuolella mutta harjoittaa liiketoimintaa Euroopassa asuvan henkilön kanssa, GDPR:ää sovelletaan.
Samoin jos yrityksen pääkonttori sijaitsee EU:n ulkopuolella, mutta sillä on toimintaa Euroopassa, sen on myös noudatettava sääntöjä. GDPR:ssä on kyse henkilötiedoista ja henkilön sijainnista, kun hänen tietojaan kerätään. Tämä määrittää asetuksen sovellettavuuden.
Myytti 3: GDPR ei koske Yhdistynyttä kuningaskuntaa Brexitin vuoksi.
Tämä on väärin. Yleistä tietosuoja-asetusta sovelletaan edelleen Brexitin jälkeen. Yleisellä tietosuoja-asetuksella on tarkoitus säännellä sitä, miten organisaatiot käsittelevät ja valvovat EU:n kansalaisten henkilötietoja riippumatta siitä, missä ne sijaitsevat. Yhdistynyt kuningaskunta eroaa Euroopan unionista vasta huhtikuussa 2019, joten EU:n lainsäädäntöä sovelletaan edelleen Yhdistyneessä kuningaskunnassa.
Myytti 4: Sakot ovat suurin uhka yrityksellesi.
Tämä on väärin. Vaikka tietosuoja-asetusta rikkovat organisaatiot voivat joutua maksamaan sakkoja, joiden suuruus voi olla jopa 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa, on olemassa muitakin ongelmia, joita vaatimustenvastaiset yritykset kohtaavat.
Yleisessä tietosuoja-asetuksessa edellytetään, että organisaatiot ilmoittavat kaikista henkilötietojen tietoturvaloukkauksista asianomaiselle valvontaviranomaiselle 72 tunnin kuluessa niiden havaitsemisesta. Jos tietoturvaloukkaus aiheuttaa suuren riskin vaikuttaa yksilön oikeuksiin ja vapauksiin, siitä on ilmoitettava välittömästi myös yksilölle.
Tämä epävarmuus ja tietojen menetys voi johtaa siihen, että asiakkaat lähtevät ja siirtyvät kilpailijoiden palvelukseen. Kuluttajien luottamuksen menetys voi puolestaan vahingoittaa yrityksen mainetta ja johtaa tulojen menetykseen.
Myytti 5: Suostumus on ainoa tapa käsitellä tietoja.
Tämä on väärin. Monet organisaatiot olettavat, että suostumus on ainoa oikeusperusta henkilötietojen käsittelylle. Suostumus on vain yksi kuudesta laillisesta tarkoituksesta, joita vaaditaan kaikessa henkilötietojen käsittelyssä.
Tietosuoja-asetuksen mukaan "laillinen käsittely" on mahdollista vain silloin, kun:
- Rekisteröity on antanut suostumuksensa
- Käsittely on tarpeen rekisteröidyn kanssa tehdyn sopimuksen täyttämiseksi.
- Käsittely on tarpeen lakisääteisen velvoitteen noudattamiseksi
- Käsittely on tarpeen rekisteröidyn tai muun henkilön elintärkeiden etujen suojaamiseksi.
- Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.
- Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi jos rekisteröidyn edut, oikeudet ja vapaudet syrjäyttävät nämä edut.
Jos et ole varma, onko yrityksesi GDPR-vaatimusten noudattaminen oikealla tiellä, ota meihin yhteyttä ja kysy, miten voimme auttaa. MetaPrivacy on suunniteltu erityisesti tarjoamaan parhaita käytäntöjä tietosuojavaatimusten noudattamiseen.