Uuden yleisen tietosuoja-asetuksen (GDPR) myötä tietoja käsittelevien yritysten on varmistettava, että niillä on yksityiskohtaiset tiedot siitä, mitä ne tekevät tiedoilla.
30 artiklassa sanotaan: "Kunkin rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on pidettävä kirjaa vastuullaan olevista käsittelytoimista.".
Yleisen tietosuoja-asetuksen myötä sisäisten ja ulkoisten rekisterien välinen ero poistuu. Nyt on olemassa vain yhdenlainen rekisteri - sisäinen rekisteri - joka on annettava valvontaviranomaisten saataville näiden pyynnöstä.
Äärimmäisissä tapauksissa GDPR:n vaatimusten noudattamatta jättäminen voi johtaa siihen, että organisaatiosi joutuu maksamaan jopa 20 miljoonan euron sakon tai 4 %:n sakon tai 4 %:n sakon vuotuisesta maailmanlaajuisesta liikevaihdosta - riippuen siitä, kumpi on suurempi.
Ohjain tai prosessori
Jos organisaatiosi päättää, mihin tarkoitukseen tietoja kerätään tai miten niitä kerätään, olet rekisterinpitäjä.
Jos kuitenkin suoritat käsittelyn toisen organisaation puolesta, olet tietojen käsittelijä. On todennäköistä, että organisaatiosi on sekä rekisterinpitäjä että henkilötietojen käsittelijä.
Uudessa GDPR-asetuksessa on tiukat vaatimukset sekä rekisterinpitäjille että henkilötietojen käsittelijöille. Sen mukaan sinun on kirjattava:
1) Organisaatiotietosi ja tietosuojavastaavan yhteystiedot. Jos yrityksesi ei sijaitse EU:n alueella, sinun on lisäksi ilmoitettava EU:ssa olevan nimetyn edustajasi tiedot.
2) Kuvaus tietoturvatoimenpiteistä, joita olet toteuttanut tietojen suojaamiseksi. Tähän sisältyvät sekä tekniset turvatoimet, kuten salaus, että organisatorinen turvallisuus, esim. sisäiset rajoitukset sille, kenellä on pääsy tiettyihin verkon osiin
3) ETA:n ulkopuolelle tapahtuvien tiedonsiirtojen osalta organisaatioiden on dokumentoitava, minne tiedot siirretään ja mitä suojatoimia tietojen suojaamiseksi on käytössä.
30 artikla - Mitä se merkitsee rekisterinpitäjälle?
Jos olet rekisterinpitäjä, sinun on määritettävä tietojenkäsittelyn tarkoitus.
Sinun on myös kirjattava, minkälaisten ihmisten ja minkälaisten tietojen kanssa työskentelet, ja minkälaisten tietojen kanssa työskentelet, mikä väistämättä vaihtelee liiketoimintasi luonteen mukaan.
Jos olet rekisterinpitäjä, sinun on myös kirjattava, millaisille vastaanottajille aiot luovuttaa tietoja. Rekisterinpitäjän vastuulla on myös dokumentoida, kuinka kauan aiot säilyttää kutakin tietoryhmää ennen kuin se poistetaan.
30 artikla - Mitä se merkitsee jalostajalle?
Jos olet tietojen käsittelijä, sinun on huolehdittava tietojen dokumentoinnista. Sinun on kirjattava:
- Sen rekisterinpitäjän nimet ja yhteystiedot, jonka lukuun käsittelet tietoja
- Rekisterinpitäjän tietosuojavastaavan tiedot (jos rekisterinpitäjällä on tietosuojavastaava) ja hänen edustajansa tiedot, jos hän ei ole EU:n alueella.
Tämä ei ehkä kuulosta liian raskaalta, mutta on muistettava, että keskimääräinen henkilötietojen käsittelijä, esimerkiksi markkinointitoimisto, käsittelee tietoja lukuisten asiakkaiden puolesta. Nämä tiedot on kirjattava myös jokaisen rekisterinpitäjän osalta, jonka puolesta henkilötietojen käsittelijä käsittelee tietoja.
Lisäksi henkilötietojen käsittelijöiden on dokumentoitava kunkin rekisterinpitäjän puolesta suoritettavan käsittelyn eri luokat. GDPR:ssä käsittely määritellään seuraavasti: "kaikki henkilötietoihin tai henkilötietoryhmiin kohdistuvat toimenpiteet tai toimenpidekokonaisuudet, riippumatta siitä, onko ne suoritettu automatisoidusti, kuten tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, tallentaminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, luovuttaminen välittämällä, levittämällä tai asettamalla ne muutoin saataville, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen"."
Kun muuttujia on niin paljon, voit ymmärtää, että tästä voi tulla nopeasti monimutkainen ongelma.
Mitä muuta sinun on tiedettävä 30 artiklasta?
Monet eivät ole valmistautuneet tämäntasoiseen tietosuojavaatimusten noudattamiseen. Niiden on nopeasti otettava käyttöön kypsät tietosuojaohjeet, joilla voidaan tarkastaa käsittelytoimia useilla osastoilla, liiketoiminnoissa ja markkinoilla.
Sinun on pidettävä kirjaa kaikesta tietojenkäsittelystä riippumatta siitä, ovatko tiedot kirjallisessa vai sähköisessä muodossa, ja sen on oltava paikallisen valvontaviranomaisen saatavilla, kun se sitä pyytää.
30 artiklan valmistelu
Asiaankuuluvat liiketoimintatoiminnot ja kolmannen osapuolen tietojenkäsittelytoiminnot on yksilöitävä, ja on luotava henkilötietorekisteri. Tietosuojakäytännöt ja -tiedotteet olisi päivitettävä, ja sisäinen henkilöstö olisi saatettava ajan tasalle GDPR:stä siltä osin kuin se koskee heidän toimenkuvaansa.
Laajemmassa yhteydessä yleisen tietosuoja-asetuksen ytimessä on sen vastuullisuuden korostaminen. Vastuuketju olisi luotava osasto-, yritys- ja organisaatiotasolla, jotta vaaratilanteita, toimintaprosesseja ja raportointitoimia voidaan käsitellä johdonmukaisesti. Voit lukea lisää vastuuvelvollisuuden merkityksestä aiemmasta blogistamme täältä.
Jos haluat lisäapua GDPR-hankkeessasi, voit vierailla yhdellä pysähdyspaikallamme osana GDPR for Dummies -tapahtumaamme, joka on tulossa lähikaupunkiisi lähiaikoina. Ilmoittaudu ilmaisiin aamiaistilaisuuksiin täällä.
Olemme myös luoneet MetaPrivacy - GDPR-ratkaisun, joka on suunniteltu erityisesti auttamaan yritystäsi 30 artiklan noudattamisessa. Lisätietoja MetaPrivacy-ratkaisusta ja muista GDPR-resursseistamme saat täältä.
