On vaikea uskoa, että GDPR:n vuosipäivä lähestyy. Kahden vuoden siirtymäkauden jälkeen GDPR tuli voimaan 25. toukokuuta 2018, ja se muutti täysin organisaatioiden suhtautumisen tietosuojaan.
Lainsäädäntö otettiin käyttöön, jotta se heijastaisi yhä digitalisoituneempaa maailmaamme ja tunnustaisi yksilöiden oikeudet henkilötietojensa käyttöön.
Monet organisaatiot ovat käyttäneet paljon aikaa ja vaivaa varmistaakseen, että ne ovat uuden lainsäädännön mukaisia, mutta toisille matka on ollut vaikeampi ja vaivalloisempi. GDPR:n noudattamisen osoittaminen on jatkuva prosessi, ja monet lainsäädännön näkökohdat vaativat vielä selvennystä ja voivat olla organisaatioille hämmentäviä.
Kaksi termiä, joita kuulemme jatkuvasti GDPR:n yhteydessä, ovat "rekisterinpitäjät" ja "henkilötietojen käsittelijät". On tärkeää ymmärtää näiden kahden termin välinen ero, sillä se määrittää lainsäädännön mukaiset velvollisuutesi.
Rekisterinpitäjän ja henkilötietojen käsittelijän välisellä erottelulla voi olla merkittäviä käytännön seurauksia. Jos organisaatio osallistuu tietojenkäsittelyyn, on elintärkeää, että se määrittää roolit ja vastuualueet varhaisessa vaiheessa, jotta vältytään epäselvyyksiltä, jos tietomurto tapahtuu. Näin voidaan varmistaa, että vastuualueissa ei ole aukkoja ja että organisaatiot voivat käsitellä näitä kysymyksiä tehokkaasti ja tuloksellisesti.
Mitä henkilötiedot ovat?
Jos organisaatiosi käsittelee henkilötietoja, GDPR koskee sinua. EU:n määritelmän mukaan "henkilötiedot" ovat kaikkia tietoja, joiden avulla voidaan suoraan tai välillisesti tunnistaa henkilö (rekisteröity). Tähän sisältyy kaikkea nimestä, sähköpostiosoitteesta, IP-osoitteesta ja kuvista lähtien. Siihen sisältyvät myös arkaluonteiset henkilötiedot, kuten biometriset tai geneettiset tiedot, joita voidaan käsitellä yksilön tunnistamiseksi.
Oletko "rekisterinpitäjä" vai "henkilötietojen käsittelijä"?
Jos organisaatiosi määrittelee henkilötietojen käsittelyn tarkoitukset ja tavan, sitä pidetään rekisterinpitäjänä.
Rekisterinpitäjät ovat avainasemassa GDPR:n noudattamisessa, koska ne säilyttävät ja keräävät asiakkaiden ja työntekijöiden henkilötietoja.
Rekisterinpitäjän tehtäviin kuuluu:
- Yksityisyyden suojaa koskevien tietojen käsittelyn avoimuuden lisääminen suhteessa rekisteröidyn pyyntöihin.
- Sen varmistaminen, että rekisteröityjä käsitellään tietosuoja-asetuksessa määritellyissä määräajoissa.
- Yksityisyyden suojan arvioinnin suorittaminen ja tietosuojavastaavien nimittäminen.
- Valvontaviranomaisille ilmoittaminen tietoturvaloukkauksista 72 tunnin kuluessa loukkauksen havaitsemisesta.
- säännösten noudattamista koskevien määräysten muutosten seuranta ja niihin reagoiminen
- tunnistetietokenttien korvaaminen pseudonyymeillä ja henkilötietojen salaaminen
- Henkilötietojen käsittelyn kirjaaminen henkilötietorekisterin avulla.
- henkilötietojen käsittelyyn ja käsittelyyn liittyvän kolmansien osapuolten vuorovaikutuksen hallinnointi ja ohjaus.
Kuka on henkilötietojen käsittelijä ja mitkä ovat sen velvollisuudet?
Jos henkilö, organisaatio, virasto tai muu elin toimii rekisterinpitäjän puolesta, sen katsotaan olevan henkilötietojen käsittelijä.
Esimerkkejä henkilötietojen käsittelijöistä ovat:
- Ulkopuolinen virasto (esim. asiakastietojen hävittämisestä vastaava yritys).
- Henkilötietoja tallentava pilvipalveluntarjoaja
- kaikki palveluntarjoajat, jotka toimivat puolestasi ja joilla on pääsy asiakkaan tai työntekijän henkilötietoihin.
Lue myös Dummies-opas sähköisen viestinnän tietosuoja-asetuksesta.
Tietojenkäsittelijän tehtäviin kuuluu:
- Päätetään, mitä tietojärjestelmiä tai muita menetelmiä käytetään henkilötietojen keräämiseen.
- Miten henkilötietoja säilytetään
- Tietoturva
- Välineet, joita käytetään tietojen siirtämiseen organisaatiosta toiseen.
- Keinot, joita käytetään tiettyjä henkilöitä koskevien henkilötietojen hakemiseen.
- Varmistetaan, että säilytysaikataulun taustalla olevaa menetelmää noudatetaan.
- Tietojen poistamiseen/hävittämiseen käytettävät keinot
Tietojen käsittelijöihin kohdistuu useita GDPR:n mukaisia uusia velvoitteita, joihin kuuluu sellaisten toimenpiteiden ylläpitäminen, joilla henkilötietojen turvallisuus on riittävällä tasolla suhteessa mahdolliseen riskiin.
Tietojen käsittelijöiden on noudatettava rekisterinpitäjien ohjeita, elleivät nämä ohjeet ole ristiriidassa yleisen tietosuoja-asetuksen kanssa.
Voiko rekisterinpitäjä olla myös henkilötietojen käsittelijä?
On tiettyjä harmaita alueita, joilla tilanteet voivat olla päällekkäisiä, jolloin on vaikea erottaa, oletko rekisterinpitäjä vai henkilötietojen käsittelijä. ICO on kuitenkin antanut selkeät ohjeet, joissa todetaan seuraavaa: "Organisaatio ei voi olla sekä rekisterinpitäjä että henkilötietojen käsittelijä samassa tietojenkäsittelytoiminnassa; sen on oltava jompikumpi.
Tämä tarkoittaa sitä, että sen määrittämiseksi, mikä organisaatio on vastuussa mistäkin tiedoista, on tarpeen tarkastella kyseistä käsittelyä ja siihen osallistuvia organisaatioita. On myös tärkeää, että järjestelmissä ja menettelyissä tehdään mahdollisuuksien mukaan ero organisaation "omien" tietojen ja niiden tietojen välillä, joita se käsittelee muiden puolesta."
Lue myös , mikä on pätevä GDPR-suostumus
GDPR:n täydellisen noudattamisen varmistamiseksi organisaatioiden on määriteltävä selkeästi roolit ja vastuualueet, jotta ne eivät riko lainsäädäntöä. Jos olet epävarma organisaatiosi tilanteesta, ota yhteyttä lakimieheen lisäselvitysten saamiseksi.
MetaPrivacy on suunniteltu tarjoamaan parhaita käytäntöjä yksityisyydensuojan noudattamiseen. Ota meihin yhteyttä, jos haluat lisätietoja siitä, miten voimme auttaa organisaatiotasi parantamaan vaatimustenmukaisuusrakennettaan.
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista eikä mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston käyttämisestä.