Organisaatiot ympäri maailmaa huokaisevat pian kollektiivisesti helpotuksesta, kun GDPR:n lähestyvä määräaika tulee vihdoin voimaan. Tässä postauksessa meillä on GDPR:n tarkistuslista
Viimeisten kahden vuoden aikana tehdyn suunnittelun ja valmistelujen jälkeen yleinen tietosuoja-asetus tulee virallisesti voimaan 25. toukokuuta, ja se uudistaa täysin nykyiset tietosuojasäännöt ja antaa EU:n kansalaisille paremman määräysvallan omiin tietoihinsa.
Viime hetken kiireitä on ollut paljon, kun yritykset ovat kiirehtineet varmistamaan, että ne ovat uuden asetuksen mukaisia eivätkä ole vastuussa suurista sakoista, joita sääntöjen noudattamatta jättämisestä seuraa. Monet organisaatiot ovat käyttäneet aikaa GDPR-suunnittelun järjestelmälliseen läpikäymiseen, kun taas toiset ovat jättäneet kaiken viime tinkaan.
Riippumatta siitä, missä vaiheessa GDPR-matkasi on, lopullinen tarkistuslistamme antaa sinulle joitakin ohjeita siitä, mitä sinun on tehtävä varmistaaksesi, että olet valmis tuleviin muutoksiin ja toimiin, jotka sinun on toteutettava osoittaaksesi, että noudatat niitä jatkossa.
1. Tunnista kaikki hallussasi olevat henkilötiedot
EU:n määritelmän mukaan henkilötiedoilla tarkoitetaan kaikkia tietoja, joiden avulla voidaan suoraan tai välillisesti tunnistaa henkilö (rekisteröity). Näihin tietoihin sisältyy kaikkea nimestä, sähköpostiosoitteesta, IP-osoitteesta ja kuvista. Siihen sisältyvät myös arkaluonteiset henkilötiedot, kuten biometriset tai geneettiset tiedot, joita voidaan käsitellä yksilön tunnistamiseksi.
Jos organisaatiosi käsittelee Euroopan kansalaisten tietoja, sinun on suoritettava auditointi ja selvitettävä asia:
- Mitä tietoja kerätään?
- Mistä tiedot on hankittu?
- Miksi tietoja kerätään?
- Miten se käsitellään?
- Kenellä on pääsy?
- Kuinka kauan tietoja säilytetään?
- Minne tiedot siirretään?
- Tarvitaanko kaikki tiedot?
2. Kouluta henkilötietojen käsittelijöitäsi
Henkilötietojen käsittelijä on kuka tahansa organisaatiossasi, jolla on valtuudet käsitellä ja käsitellä henkilötietoja. Vastuualueet jaetaan usein osastokohtaisesti. Ihannetapauksessa kullakin toimialalla on tietosuojavaltuutettu, joka ymmärtää henkilötietojen käsittelyä, prosessointia ja yksityisyyden suojaa koskevia käytäntöjä. Henkilötietojen käsittelijän nimeäminen helpottaa sääntöjen noudattamista organisaatiossasi.
3. Rekisteröidyn suostumuksen ymmärtäminen
Yleisessä tietosuoja-asetuksessa täsmennetään, että käyttäjän on annettava nimenomainen suostumus. Tämä suostumus on kirjattava raportointi- ja tarkastusprosesseja varten. Jos käsittely perustuu rekisteröidyn suostumukseen, hän voi peruuttaa suostumuksensa milloin tahansa. Hänellä on myös oikeus tietää, kuinka kauan hänen henkilötietojaan säilytetään tulevaa käsittelyä varten. Jos organisaatiosi käsittelee alaikäisten rekisteröityjen tietoja, sinun on varmistettava, että käytössäsi on asianmukaiset järjestelmät, joiden avulla voit tarkistaa henkilöiden iän ja saada suostumuksen huoltajilta.
Rekisteröidyille olisi annettava selkeät ja helposti ymmärrettävät ilmoitukset. Heillä olisi myös oltava oikeus tietää, mitä suojatoimia heidän henkilötietojensa suojaamiseksi on käytössä ja ovatko kolmannet osapuolet mukana heidän tietojensa käsittelyssä.
4. Rekisteröidyn pyyntöjen käsittelyä koskevien menettelyjen päivittäminen
Organisaatioilla on oltava käytössään prosessit rekisteröityjen pyyntöjen käsittelemiseksi. Rekisteröidyn on voitava käyttää oikeuksiaan maksutta, ja organisaatioiden on vastattava pyyntöön kuukauden kuluessa sen vastaanottamisesta tai enintään kahden kuukauden pidennyksellä pyyntöjen monimutkaisuudesta ja määrästä riippuen.
5. Suunnitelma tietosuojaloukkausten tunnistamista ja niihin reagoimista varten
Kun organisaatiot ovat tietoisia siitä, että yksityisyyden suojaa on loukattu, välittömänä huolenaiheena on estää loukkauksen jatkuminen. Tietosuoja-asetuksessa edellytetään, että organisaatiot ilmoittavat kaikista henkilötietojen tietoturvaloukkauksista asianomaiselle valvontaviranomaiselle 72 tunnin kuluessa niiden havaitsemisesta.
Jos loukkaus aiheuttaa suuren riskin vaikuttaa yksilön oikeuksiin ja vapauksiin, siitä on ilmoitettava välittömästi.
Yrityksillä tulisi olla käytössä suunnitelma, jossa hahmotellaan, miten tietoturvaloukkaukset tunnistetaan, keitä niihin osallistuu, miten uhka rajoitetaan ja poistetaan ja miten yritys dokumentoi ja raportoi tietoturvaloukkauksesta.
6. Todisteet tietosuojaa koskevasta ymmärryksestä
Organisaatioiden on osoitettava, että henkilöstö on lukenut ja ymmärtänyt GDPR-periaatteet. Kun organisaatio pystyy toimittamaan tämän todisteen, se voi osoittaa, että tietosuojasta on tullut olennainen osa sen päivittäistä liiketoimintaa. eLearning on yksi parhaista tavoista varmistaa, että henkilöstö ymmärtää GDPR:n toimintaperiaatteet täysin.
Verkko-oppimisohjelmalla varmistetaan oppimiskokemuksen tehokkuus, ja sen avulla organisaatiot voivat myös osoittaa, että toimintaperiaatteet on jaettu asianmukaisesti, mielekkäällä ja mitattavissa olevalla tavalla.
7. Raportoi meneillään olevista sääntöjen noudattamiseen liittyvistä toimista
Yleisessä tietosuoja-asetuksessa edellytetään, että organisaatiot arvioivat toimintakäytäntöihin liittyvien henkilötietojen tehokkuutta. Säännölliset arvioinnit sääntöjen noudattamista koskevista toimista ja käytössä oleva raportointirakenne antavat yrityksille mahdollisuuden todistaa vastuuvelvollisuutensa ylimmälle johdolle, sidosryhmille ja valvontaviranomaisille, jos tarvetta ilmenee. Jatkuvan vaatimustenmukaisuusohjelman tehokkuus edellyttää mitattavissa olevien mittareiden seuraamista ja prosessien mukauttamista, kun havaitaan epäjohdonmukaisuuksia.
8. Suorita kyberturvallisuuden arviointi
Tietoverkkorikollisuus kehittyy ja lisääntyy edelleen nopeasti, ja se on todellinen uhka organisaatioille kaikkialla maailmassa. Organisaatioiden on arvioitava, kuinka turvallinen niiden verkko on, kuinka helposti siihen voidaan tunkeutua, onko tiedot salattu ja onko henkilöstö koulutettu tunnistamaan riskit.
Suurin osa tietomurroista alkaa yksinkertaisella phishing-sähköpostilla, joten on tärkeää, että organisaatiot panostavat työntekijöidensä kouluttamiseen, jotta nämä uhat voidaan tunnistaa ja niihin voidaan reagoida asianmukaisesti.
Lähestyvä GDPR:n määräaika ei suinkaan merkitse vaatimustenmukaisuuden loppupistettä. Tietosuoja-asetus kehittyy edelleen ajan myötä, ja organisaatioiden on jatkuvasti päivitettävä prosessejaan ja järjestelmiään asetuksen noudattamiseksi.
Jos haluat lisätietoja siitä, miten organisaatiosi voi parantaa lähestymistapaansa GDPR-vaatimustenmukaisuuteen, klikkaa tästä, niin saat tietää, miten MetaCompliance voi auttaa.
GDPR for Dummies
Jos haluat kopion GDPR for Dummies -oppaastamme täysin ILMAISEKSI, klikkaa alla olevaa kuvaa.
Helppo ymmärtää GDPR:n henkilöstökoulutus
Yhdistettynä GDPR for Dummies -oppaaseen, pienimuotoiset nanovideomme antavat henkilöstöllesi mahdollisuuden ymmärtää GDPR:n keskeiset näkökohdat. Tämä on laadukkain saatavilla oleva GDPR-koulutusohjelma. Ota selvää, miksi asiakkaamme edistyvät GDPR-hankkeissaan.
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista tai mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston perusteella.