GDPR eli virallisesti yleinen tietosuoja-asetus 2016/679 tulee voimaan 25. toukokuuta 2018.
Toisin sanoen tämä tarkoittaa, että sinulla on nyt alle yhdeksäntoista kuukautta aikaa valmistautua tietosuojaa koskevaan suurimpaan muutokseen viime vuosikymmeneen. Yrityksillä, niiden työntekijöillä ja kolmansilla osapuolilla on siis alle yhdeksäntoista kuukautta aikaa valmistautua merkittäviin häiriöihin tavassa, jolla ne tallentavat, hallinnoivat ja käsittelevät henkilötietoja.
Miten voitte yrityksenä nähdä puilta puun? Mihin sinun pitäisi keskittyä, ja jos luokittelisit ne viiden tärkeimmän asian luetteloon, jotka sinun pitäisi yrityksenä tehdä, mitkä ne olisivat?
- GDPR:n soveltamisalan ymmärtäminen
- GDPR:n soveltamisalan ymmärtäminen
Yksinkertaisimmillaan entisen tietosuoja-asetuksen ja uuden tietosuoja-asetuksen välinen tärkein ero on ikä. Kuten monet esi-isämme, myös edellinen on syntynyt edellisen sukupolven aikana, ennen esimerkiksi internetin, Facebookin ja Googlen nousua. Uuden asetuksen soveltamisala on laaja ja kauaskantoinen.
Ensinnäkin GDPR:n noudattamista vaaditaan kaikilta yrityksiltä, jotka käsittelevät EU:n kansalaisten henkilötietoja tai seuraavat heidän käyttäytymistään tai joilla voi olla EU:ssa toimivaa henkilöstöä. GDPR:llä on myös laajempi alueellinen ulottuvuus, joten jos olet EU:n ulkopuolinen organisaatio, jolla ei ole edes fyysistä läsnäoloa EU:ssa, GDPR:ää voidaan silti soveltaa.
- Määritä lisävelvoitteiden asettaminen
Yleinen tietosuoja-asetus edellyttää avoimuutta, kun henkilöille annetaan tietoa heidän henkilötietojensa käsittelystä. On tärkeää, että organisaatiot tarkistavat tietosuojailmoituksensa ja -käytäntönsä varmistaakseen, että kaikki tarvittavat tiedot annetaan yksilöille.
Suostumus on edelleen yksi uudessa asetuksessa säädetyistä perusteista tietojen jatkokäsittelylle, mutta kynnysarvo on nyt aiempaa korkeampi. Koska kynnysarvo on korkeampi, organisaatioiden on keskityttävä hankkimaan selkeä ja selkeä asiakkaan suostumus, jos ne haluavat vedota tähän käsittelyperusteeseen. On myös huomattava, että suostumuksen todistaminen on ratkaisevan tärkeää, ja siksi tietojen kirjaamisen ja säilyttämisen on oltava korkeatasoista.
- Lisätään tietoisuutta rekisteröidyn oikeuksista.
Yleinen tietosuoja-asetus on tuonut yksityishenkilöille joitakin merkittäviä uusia ja parannettuja oikeuksia henkilötietojensa osalta. Rekisteröidyillä on oikeus saada pääsy henkilötietoihinsa, siirtää niitä, rajoittaa niiden käsittelyä ja vastustaa sitä. Rekisteröidyt voivat myös vaatia, että heidän henkilötietonsa siirretään heille tai suoraan uudelle palveluntarjoajalle yhteentoimivassa, koneluettavassa muodossa. Tätä sovelletaan, jos rekisteröity on toimittanut tiedot rekisterinpitäjälle, niitä on käsitelty automaattisesti tai niitä on käsitelty suostumuksen tai sopimuksen täyttämisen perusteella. Henkilötietojen siirtämistä koskeva oikeus edellyttää organisaatiossa suunnittelua ja valmistelua, jotta työntekijöilläsi on käytettävissään kaikki tarvittavat resurssit tällaisten pyyntöjen käsittelemiseksi.
- Kouluttaudu, kouluttaudu, kouluttaudu, kouluttaudu tai saat moitteita.
Nykyisen tietosuojadirektiivin mukaan taloudelliset seuraamukset vaihtelevat suuresti jäsenvaltioiden välillä. Sen sijaan uuden tietosuoja-asetuksen myötä täytäntöönpanovaltuuksia lisätään merkittävästi, mukaan lukien mahdolliset sakot, jotka voivat olla enintään 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisista kokonaistuloista.
Kun otetaan huomioon mahdolliset huomattavat sakot, organisaatioiden olisi investoitava aikaa ja resursseja GDPR:n noudattamiseen. Tähän sisältyy kaikkien niiden eri sidosryhmien kouluttaminen johtajista kolmannen osapuolen käsittelijöihin, jotka vaikuttavat kykyyn saavuttaa ja ylläpitää GDPR:n noudattamista.
- GDPR:ään on puututtava suoraan ja toimittava kiireesti.
Leonardo da Vinciä lainatakseni: "Minuun on tehnyt vaikutuksen tekemisen kiireellisyys. Tietäminen ei riitä. Meidän on sovellettava". Organisaatioilla on oltava tällaista ajatusjohtajuutta, jos ne aikovat vastata GDPR-asetukseen.
Vaatimusten noudattamisen kulttuuri on ratkaisevan tärkeää organisaatiosi menestyksen kannalta, kun on kyse GDPR:n noudattamisesta, henkilöstön koulutuksesta ja selkeistä toimintaperiaatteista. Tämä vastaa myös GDPR:n vastuuvelvollisuutta koskevien säännösten tarpeeseen. Tietosuojatapahtumien hallintaprosessien on oltava selkeitä ja ytimekkäitä, ja niihin liittyviä sisäisiä toimintatapoja on tarkistettava sen varmistamiseksi, että tietosuojaloukkaukset käsitellään välittömästi ja oikean prosessin kautta.
Oletko kiinnostunut suunnittelemaan GDPR-vaatimustenmukaisuuden mahdollisimman aikaisessa vaiheessa ja saamaan organisaatiosi keskeiset sidosryhmät hyväksymään sen?
Jos tarvitset apua GDPR-hankkeessasi, olemme tehneet yhteistyötä asiantuntijoiden kanssa GDPR for Dummies -julkaisun tuottamiseksi yhdessä Wileyn, virallisen Dummies-brändin, kanssa. Voit lunastaa ilmaisen kappaleen täältä.
MetaCompliance on suunnitellut ja luonut eLearning-kursseja, jotka voivat auttaa organisaatiotasi lisäämään tietoisuutta työntekijöiden keskuudessa ja sitouttaa samalla ylin johto varmistamaan, että he hyväksyvät sen. Ota yhteyttä MetaComplianceen ja tutustu siihen, miten sen kyberturvallisuus- ja eLearning-kirjasto ja tietoisuuspalvelut voivat auttaa sinua rakentamaan GDPR-vaatimustenmukaisuutta organisaatiossasi tietosuoja- ja tietoturvanäkökulmasta.