Yleinen tietosuoja-asetus on suurin muutos tietosuojalainsäädäntöön yli 20 vuoteen. Sen tavoitteena on antaa EU:n kansalaisille enemmän määräysvaltaa henkilötietojensa suhteen, ja se tulee voimaan 25. toukokuuta 2018.
Vaikka kyseessä on muutos EU:n lainsäädäntöön, sen vaikutukset heijastuvat ympäri maailmaa, sillä se koskee kaikkia yrityksiä, joilla on hallussaan kansalaisten henkilötietoja Euroopassa. Näillä yrityksillä on velvollisuus noudattaa GDPR-asetusta. Se on voitto pienille ihmisille, ja siksi henkilötietojen valvonnan lisäämistä olisi kannatettava. GDPR-vaatimustenmukaisuus on kuitenkin monimutkainen haaste yrityksille.
Esimerkiksi yleistä tietosuoja-asetusta rikkovalle yritykselle voidaan määrätä sakkoja, jotka voivat olla jopa 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdosta. Puhumattakaan mainehaitoista, joista yrityksen voi olla vaikea toipua. Seuraavassa tarkastelemme joitakin muita tapoja, joilla työnantajat joutuvat kohtaamaan ylimääräistä taakkaa pyrkiessään noudattamaan GDPR-asetusta. MetaCompliance tekee GDPR:stä yksinkertaisen.
GDPR yksinkertaisesti: - Tietojen eheys
Tällä hetkellä työnantajien on annettava työntekijöille ja työnhakijoille tietosuojatiedote, jossa annetaan tiettyjä tietoja. Yleinen tietosuoja-asetus edellyttää paljon yksityiskohtaisempia tietoja työntekijöille ja työnhakijoille, jos ne aikovat noudattaa tietosuoja-asetusta.
Tämä sisältää:
- Kuinka kauan tietoja säilytetään
- Jos tietoja siirretään muihin maihin
- Tiedot, joiden perusteella voidaan tehdä pyyntö tietojen saamiseksi käyttöön
- Tiedot, joiden perusteella henkilötiedot voidaan poistaa tai oikaista tietyissä olosuhteissa.
Suostumus ja tietoturvaloukkauksista ilmoittaminen GDPR:n noudattamista varten
Monet yritykset käsittelevät nykyisin henkilötietoja työntekijöiden suostumuksen perusteella. Tätä lähestymistapaa on usein tarkasteltu, ja se vaatii tiukempia vaatimuksia, kun yleinen tietosuoja-asetus tulee voimaan ensi vuonna. Tämä vaikeuttaa sitä, että yritykset voivat luottaa suostumukseen tietojenkäsittelyssä. Sen sijaan yritysten on pakko tarkastella muita oikeudellisia perusteita henkilötietojen käsittelylle.
GDPR:n noudattaminen riippuu myös uudesta pakollisesta raportointivaatimuksesta. Tämä tarkoittaa, että jos tietosuojarikkomus tapahtuu, työnantajan on ilmoitettava ja toimitettava tietyt tiedot tietosuojaviranomaiselle 72 tunnin kuluessa. Jos tietoturvaloukkaus on niin vakava, että se aiheuttaa riskin yksilöiden oikeuksille ja vapauksille, myös heille on ilmoitettava.
Tietosuojavastaavat
Kuten edellisessä blogissa todettiin, vastuuvelvollisuus on avainasemassa yleisen tietosuoja-asetuksen kannalta. Siksi kaikkien viranomaisten ja yksityisten yritysten, jotka osallistuvat EU:n kansalaisten henkilötietojen säännölliseen seurantaan tai laajamittaiseen käsittelyyn, on nimitettävä tietosuojavastaava.
Yleiseen tietosuoja-asetukseen liittyen niiden tehtävänä on varmistaa, että dokumentoidut prosessit, tietosuojaa koskevat vaikutustenarvioinnit ja tietoturvamenetelmät ovat käytössä ennen asetuksen voimaantuloa ensi vuonna. Ilman tietosuojavastaavia työnantajat eivät todennäköisesti saavuta GDPR:n vaatimustenmukaisuutta.
Yleinen tietosuoja-asetus tarkoittaa, että yksityisyyden suoja on laajentunut. Aiemmin eri osastot, kuten henkilöstö- tai lakiosasto, ovat lähestyneet tietosuojaa tapauskohtaisesti ja reaktiivisesti. Kun tietojen määrä koko organisaatiossa kuitenkin kasvaa räjähdysmäisesti, GDPR:n vaatimustenmukaisuuden saavuttaminen tällä tavoin ei yksinkertaisesti ole enää toteuttamiskelpoinen lähestymistapa.
Oletko työnantaja ja sinulla on ajatuksia siitä, miten GDPR vaikuttaa yritykseesi? Ratkaisut GDPR:stä helposti, tai jos sinulla on yleistä kommenttia GDPR:stä, voit jättää kommentin alla.
