Euroopan kyberturvallisuuskuukausi on täydessä vauhdissa, eikä ole yllätys, että yksi tänä vuonna yrityksiä hallinneista aiheista on koko kuukauden kestäneen tiedotusohjelman toisen viikon teema. Hallinnointi, yksityisyys ja tietosuoja ovat tänä vuonna kaikkien mielissä, ja syynä tähän on EU:n uuden yleisen tietosuoja-asetuksen (GDPR) lähestyvä voimaantulo.
Tämän viikon tavoitteena on saada sinut valmiiksi sääntöjen noudattamiseen. Käytä tämä viikko siihen, miten voit valmistella organisaatiotasi uusiin EU:n direktiiveihin ja asetuksiin, kuten GDPR:ään.
Hallinto ja yksityisyyden suoja
Tässä jatkuvasti verkottuneessa maailmassa riskienhallinta on tärkeämpää kuin koskaan. Tietoverkkouhkien kehittyneisyys ja monimutkaisuus tarkoittaa, että jokaisella organisaatiolla pitäisi olla vankka riskienhallintastrategia, ja ilman sitä on vaarana vakava tietoturvaloukkaus ja/tai rangaistus joltakin sääntelyviranomaiselta. Tämä vuosi on ollut erityisen merkittävä, kun on kyse yrityksistä, jotka eivät ole pystyneet säilyttämään asiakkaidensa yksityisyyttä.
Kuten aiemmin tällä viikolla pitämästämme blogista voitte huomata, kyse ei ole pelkästään peltipata-yrityksistä, jotka ovat jääneet kiinni. Deloitte ja Equifax ovat vain kaksi esimerkkiä yrityksistä, jotka eivät ole onnistuneet suojaamaan asiakkaidensa henkilötietoja asianmukaisesti. Toisaalta on ehkä hyvä, että nämä tietoturvaloukkaukset tulivat ilmi tänä vuonna, sillä ne eivät vielä kuulu yleisen tietosuoja-asetuksen soveltamisalaan. Jos ne olisivat tapahtuneet GDPR:n sääntöjen mukaisesti, nämä yritykset olisivat joutuneet maksamaan jopa 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdostaan.
Deloitten tapauksessa tämä olisi voinut tarkoittaa 1,5 miljardin dollarin sakkoa. GDPR:n seuraukset ovat siis kaikkien nähtävissä.
GDPR tulee voimaan ensi vuonna
Huhtikuussa 2016 hyväksytty yleinen tietosuoja-asetus korvaa tietosuojadirektiivin, ja sitä aletaan soveltaa 25. toukokuuta 2018 alkaen. Euroopan parlamentti on hyväksynyt tämän uuden asetuksen, jossa laajennetaan aiempia henkilötietojen keräämistä, tallentamista ja jakamista koskevia vaatimuksia.
Tässä uudessa säännössä edellytetään, että kohteen suostumus on annettava nimenomaisesti eikä sitä saa oletusarvoisesti rastittaa. Euroopan komissio on asettanut uudelle tietosuoja-asetukselle muun muassa seuraavat tavoitteet:
- 27 kansallisen tietosuoja-asetuksen yhteensovittaminen yhdeksi yhtenäiseksi asetukseksi.
- Yritystietojen siirtoa Euroopan unionin ulkopuolelle koskevien sääntöjen parantaminen
- Henkilökohtaisten tunnistetietojen valvonnan parantaminen. GDPR:llä on erilaisia merkityksiä eri toimialoilla.
Esimerkiksi GDPR:n vaikutus on erilainen yritysten lakimiehille kuin esimerkiksi henkilöstöhallinnolle. Olemme kuitenkin laatineet luettelon ratkaisuista, jotka auttavat sinua GDPR-hankkeessasi. Lisätietoja GDPR-ratkaisuistamme saat klikkaamalla tästä.
