Covid-19 on luonut ennennäkemättömiä haasteita organisaatioille kaikkialla maailmassa. Lyhyessä ajassa organisaatioiden on täytynyt nopeasti perustaa etätoimintoja, reagoida nopeasti uusiin riskeihin, mukauttaa prosesseja ja noudattaa samalla GDPR-asetusta.
Pandemian seurauksena organisaatiot keräävät ja käsittelevät nyt uudenlaisia tietoja yksilöistä. Suuri osa näistä tiedoista kuuluu luokkiin "henkilötiedot" ja "erityiset henkilötietoryhmät", joihin molempiin sovelletaan tietosuoja-asetuksen mukaisia tiukkoja vaatimustenmukaisuusvaatimuksia.
Nopea siirtyminen etätyöhön on myös korostanut tietosuojan tärkeyttä, sillä tietoverkkorikolliset pyrkivät hyödyntämään pandemiaa ja käyttämään sitä keinona käynnistää kohdennettuja hyökkäyksiä. Uusia kyberturvallisuusriskejä syntyy koko ajan, joten on ratkaisevan tärkeää, että organisaatiot toteuttavat oikeat toimenpiteet, joita tarvitaan GDPR:n edellyttämän tiukan tietoturvan ylläpitämiseksi.
Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimisto (ICO ) on todennut ymmärtävänsä organisaatioiden nykyiset vaikeudet ja noudattavansa "kohtuullista ja käytännöllistä" lähestymistapaa tietosuojavelvoitteiden täytäntöönpanossa. Se on kuitenkin tehnyt selväksi, että organisaatioiden odotetaan edelleen noudattavan tietosuoja-asetusta hyvällä tasolla samalla, kun ne sopeutuvat tähän uuteen työympäristöön.
Varmistaaksesi, että organisaatiosi pysyy GDPR:n mukaisena Covid-19:n aikana, olemme esittäneet useita toimenpiteitä, joita voit toteuttaa.
Parhaat vinkit GDPR-vaatimustenmukaisuuden saavuttamiseen Covid-19:n aikana
1. Suorita tietosuojaa koskeva vaikutustenarviointi (DPIA).
Jotta voisit noudattaa tietosuoja-asetusta, sinun on pystyttävä osoittamaan, että noudatat arkaluonteisia tietoja käsitellessäsi ylimääräisiä tallennusvaatimuksia. Koska terveystiedot on luokiteltu "erityiseksi henkilötietoryhmäksi", niihin liittyy suurempi riski. Yksi tapa osoittaa vastuullisuus ja varmistaa, että asianmukaiset toimenpiteet on toteutettu näiden tietojen suojaamiseksi, on tietosuojaa koskeva vaikutustenarviointi. Vaikutustenarviointi auttaa tunnistamaan ja minimoimaan henkilötietojen käsittelyyn liittyvät riskit.
DPIA:ssa olisi esitettävä:
- Käsiteltävä toiminta
- Tietosuojariskit
- Onko toiminta tarpeellista ja oikeasuhteista
- Miten riskejä lievennetään
- Vahvistus siitä, että lieventäminen on ollut tehokasta
Tietosuojan vaikutustenarviointi on ratkaisevan tärkeää, jotta voit osoittaa vaatimustenmukaisuuden ja vähentää organisaatiosi tietosuojaan liittyviä riskejä.
2. Kerää ja käsittele vain välttämättömät tiedot.
Yleisen tietosuoja-asetuksen mukaan organisaatioilla on oltava erityinen ja oikeutettu syy henkilötietojen keräämiseen ja käsittelyyn. Tietoja voidaan käyttää vain tiettyihin tarkoituksiin, eikä niitä saa käsitellä mihinkään muuhun tarkoitukseen, ellei rekisteröity ole antanut siihen nimenomaista suostumustaan. Kaikki kerätyt tiedot on rajoitettava vain siihen, mikä on tarpeen näiden erityistarkoitusten saavuttamiseksi.
Tämä tarkoittaa, että organisaatiosi olisi arvioitava ja tunnistettava, minkä tyyppisiä henkilötietoja on käsiteltävä henkilöstön turvallisuuden takaamiseksi. Onko esimerkiksi tarpeen tehdä lämpötilatarkastuksia, kun työntekijät tulevat toimistoon? Pitäisikö Covid-19-testissä positiivisen tuloksen saaneen työntekijän yhteyshenkilöille ilmoittaa asiasta? Organisaatio ei voi kerätä henkilötietoja vain siksi, että niistä saattaisi olla hyötyä tulevaisuudessa, vaan on oltava selkeät tavoitteet sille, miksi näitä tietoja käsitellään. Jos voit osoittaa, että lähestymistapasi on kohtuullinen, oikeudenmukainen ja oikeasuhteinen olosuhteisiin nähden, se ei todennäköisesti ole lainvastainen.
3. Ole läpinäkyvä
Kun käsittelet henkilötietoja, sinun on oltava avoin ja rehellinen siitä, mitä teet niillä. Jos organisaatiosi on esimerkiksi testattava työntekijöitä tai kerättävä tietoja yhteystietojen jäljittämistä varten, sinun on oltava avoin ja annettava tietyt tiedot näiden henkilöiden käyttöön. Työntekijöillä on oikeus tietää, miksi tarvitset näitä tietoja, mitä aiot tehdä niillä ja kenen kanssa aiot jakaa ne.
Nämä tiedot on parasta kirjata tietosuojailmoitukseksi kutsuttuun asiakirjaan. Tietosuojailmoitus on yksi tärkeimmistä asiakirjoista, jotka sinun on laadittava, jos käsittelet henkilötietoja GDPR:n noudattamiseksi. Siinä kerrotaan pohjimmiltaan, miten keräät, käsittelet ja käytät ihmisten tietoja. Olemassa olevassa tietosuojailmoituksessasi saatetaan jo kertoa, mitä tietoja voidaan kerätä ja käsitellä terveyskriisin aikana, mutta sitä on ehkä päivitettävä, jotta siinä otetaan huomioon mahdolliset uudet tietojenkäsittelytoimet, joita toteutetaan nykyisen Covid-19-pandemian aikana.
4. Pidä tiedot turvassa
Kaikki hallussasi olevat henkilötiedot on säilytettävä turvallisesti ja vain niin kauan kuin on tarpeen. Säilytyspolitiikka auttaa määrittämään, milloin henkilötiedot on tarkistettava, poistettava tai hävitettävä. Fyysiset tallenteet olisi lukittava tietoturvaloukkausten estämiseksi, ja digitaalisesti tallennettujen henkilötietojen suojaamiseksi olisi toteutettava asianmukaiset turvatoimet.
Vaikka etätyöskentelyyn siirrytään nopeasti, ICO on todennut, että organisaatioiden olisi otettava käyttöön samanlaiset turvatoimenpiteet kuin ne käyttäisivät normaalioloissa. Henkilötietojen tietoturvaloukkausten estämiseksi ja kalliin verkkohyökkäyksen todennäköisyyden vähentämiseksi on tärkeää, että ylläpidät järjestelmien ja ohjelmistojen turvallisuutta ja pysyt valppaana Coronavirukseen liittyvien verkkouhkien suhteen. Työntekijöitä on myös koulutettava kehittyvistä uhkista ja opetettava käyttämään uusia tietoturvatyökaluja ja -prosesseja, jotka mahdollistavat turvallisen etätyöskentelyn.
Lisäksi organisaatioilla on edelleen lakisääteinen velvollisuus ilmoittaa kaikista henkilötietojen tietoturvaloukkauksista asianomaiselle valvontaviranomaiselle 72 tunnin kuluessa niiden havaitsemisesta.
5. Rekisteröidyn oikeuksien kunnioittaminen
Vaikka organisaatiosi toimii poikkeuksellisissa olosuhteissa, on ratkaisevan tärkeää, että se tiedottaa henkilöille heidän oikeuksistaan henkilötietoihinsa liittyen. Yleisessä tietosuoja-asetuksessa yksilöille annetaan seuraavat oikeudet:
- Oikeus saada tietoa - Henkilöillä on oikeus saada tietoa henkilötietojensa keräämisestä ja käytöstä.
- Oikeus tutustua tietoihin - Henkilöillä on oikeus tutustua henkilötietoihinsa ja mahdollisiin lisätietoihin. He voivat pyytää kopiota kaikista heistä hallussaan olevista tiedoista, ja se on toimitettava maksutta ja kuukauden kuluessa pyynnön esittämisestä.
- Oikeus tietojen oikaisemiseen - Henkilöt voivat pyytää, että virheelliset henkilötiedot oikaistaan.
- Oikeus tietojen poistamiseen - Henkilöt voivat pyytää henkilötietojensa poistamista. Oikeus tietojen poistamiseen tunnetaan myös nimellä oikeus tulla unohdetuksi.
- Oikeus rajoittaa tietojen käsittelyä - Tietyissä olosuhteissa henkilö voi pyytää, että hänen tietojensa jatkokäsittelyä rajoitetaan. Kun käsittelyä rajoitetaan, sinulla on lupa säilyttää heidän henkilötietonsa mutta olla käyttämättä niitä.
- Oikeus tietojen siirrettävyyteen - Yksilöt voivat saada ja käyttää henkilötietojaan uudelleen omiin tarkoituksiinsa muissa palveluissa.
- Oikeus vastustaa käsittely ä - Ellei henkilötietojen käsittelylle ole perusteltua syytä, henkilöllä on oikeus vastustaa käsittelyä.
- Automaattiseen päätöksentekoon ja profilointiin liittyvät oikeudet - Yleisessä tietosuoja-asetuksessa on säännöksiä automaattisesta yksilöllisestä päätöksenteosta. Tämä vähentää riskiä siitä, että haitallisia päätöksiä tehdään ilman ihmisen puuttumista asiaan.
Jos organisaatiosi on ottanut käyttöön oireiden tarkastuksen tai testauksen, sinun on noudatettava lisävaatimuksia. Näihin kuuluu kerättyjen tietojen käytön laillisen perusteen määrittäminen ja DPIA:n tekeminen, jos terveystietoja käsitellään laajamittaisesti.