EU:n uusi tietosuoja-asetus (GDPR)

Kuinka EU yleinen tietosuoja-asetus vaikuttaa tietojensuojaus käytäntöihin

TAKE THE COMPLIANCE CHECK LATAA ILMAINEN OPAS

Onko toimintanne yhdenmukaista GDPR-tietosuoja-asetuksen vaatimusten kanssa?

Uusi tietosuoja-asetus astuu voimaan toukokuussa 2018, ja se koskee kaikkia EU-maita.

Jos se vaikuttaa yrityksenne toimintaan, nyt on korkea aika pohtia vaatimustenmukaisuusasioita. Yleinen tietosuoja-asetus (GPDR) tulee koskemaan kaikkia niitä organisaatioita, joissa käsitellään mitä tahansa henkilötietoja. Säännöt ovat monimutkaisia ja vaatimustenmukaisuusloukkauksista määrättävät sakot ovat huomattavia, jopa 20 milj. euroa!

Mutta olet tullut oikeaan paikkaan oppiaksesi enemmän tästä aiheesta.

https://encryption.eset.com/fi/wp-content/themes/twentysixteen/img/images/calendar.png

Hanki ilmainen GDPR-opas

ESET ja sen lakiasian neuvonantajat ovat laatineet tämän perusteellisen oppaan, jossa tarkastellaan, miten uusi EU-asetus vaikuttaa organisaationne toimintaan.

https://encryption.eset.com/fi/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Verkkoyhteensopivuuden tarkistus

Onko organisaatiossanne noudatettu asetusta?

GDPR-tietosuoja-asetuksen noudattaminen, askel askeleelta

GDPR-tietosuoja-asetuksen seuraukset ovat monitahoisia, joten olemme jaotelleet vaatimustenmukaisuusprosessin kolmeen huomioitaviksi tarkoitettujen toteutettavien toimenpiteiden ryhmään, jotka olemme edelleen jakaneet eri alueiksi, joita kuvaillaan tarkemmin. Klikkaa oheisen kaavion eri palkkeja tututustuaksesi näihin osa-alueisiin.

+Yhteenveto

Jotkin GDPR-tietosuoja-asetuksen periaatteista ovat jatkoa tietosuojadirektiivin periaatteille, ja niillä tarkoitetaan oikeudenmukaisuutta, laillisuutta ja läpinäkyvyyttä, käyttötarkoituksen rajoittamista, datan minimointia, datan laatua, eheyttä ja luottamuksellisuutta.

GDPR asettaa uuden vastuuvelvollisuusperiaatteen tekemällä rekisterinpitäjistä vastuullisia siitä, että periaatteita noudatetaan. Lisäksi GDPR-tietosuoja-asetus lisää seuraavat uudet näkökulmat olemassa oleviin tietosuojaperiaatteisiin.

Oikeudenmukaisuus laillisuus ja läpinäkyvyys – Henkilötiedot on tästä lähtien käsiteltävä läpinäkyvästi rekisteröityä henkilöä ajatellen.

Käyttötarkoituksen rajoittaminen – Tietyin varauksin todetaan, että sellaisten henkilötietojen arkistointia ei pidetä ristiriidassa alkuperäisten käsittelytarkoitusten kanssa, jos arkistointi palvelee yleistä etua.

Säilytys – Henkilötiedot on säilytettävä sellaisessa formaatissa, joka mahdollistaa  rekisteröityjen identifioinnin vain niin kauan kuin on tarpeellista niitä käyttötarkoituksia ajatellen, joita varten henkilötietoja käsitellään.

Vastuuvelvollisuus – Rekisterinpitäjä on vastuussa periaatteiden noudattamisesta ja rekisterinpitäjän on pystyttävä osoittamaan, että niitä noudatetaan.

+Organisaation rakennevaatimukset

Varmistaaksesi että vahennät riskin rikkoa GDPR:ää ja että voit todistaa että otat tieto-ohjauksen vakavasti. Niistä tarvittavat vastuun vaatimukset ovat: vaikutukset henkilötiedot, tarkastukset, poliittiset lausunnot, aktiivisuus hakemisto ja (mahdollisesti) tietosuojahenkilöstön nimitykset (DPO, a data protection officer).

GDPR:n kanssa ehdotuksessa velvoitetaan joidenkin organisaatioiden nimetä tietosuojahenkilö (DPO). Organisaatioiden on nimettävä työntekija tai ulkopuolinen konsultti tietosuojahenkilöksi.

Jos olet markkinoija suuren kuluttajatietokannan kanssa tarvitset todennäköisesti nimetä DPO:n kansallisen tietosuojaviranomaisen odotetaan antamaan ohjeita,jotka täyttävät vaatimukset.

Teidän DPO valvoo yhteensopivuuimoituksen noudattamista GDPR:n kanssa, neuvoo velvollisuutesi, neuvoo milloin ja miten. Vaikutusten arvioinnin suorittaa ja vastaanottaa pyyntöjä kansallisille tietosuojavirannomaisille ja yksilöille.

Yhden toimipisteen käsite mahdollistaa useissa EU-maissa perustetun organisaation, joka käsittelee vain yhtä kansalaista. tietosuojaviranomainen , vaikka säännöt, joiden mukaan DPA:n pitäisi ottaa tämä tehtävä ja miten ne käsittelevät valituksia, ovat momissa tapauksissa monimutkaisia.

+Prosessit, menettelyt ja periaatteet

GDPR määrittelee tietosuojan uudelleen “tietoturvaloukkauksiksi jotka johtavat muutoin tallennettujen henkilötietojen tuhoamiseen, hävittämiseen, muuttamiseen, luvattomaan ilmaisemiseen tain niihin pääsemiseen”.

Tämä on laajempi määritelmä kuin aiemmin, eikä se ota huomioon sitä, aiheuttaako rikkomus yksilölle haittaa. Jos olet joutunut tietiturvarikkomuksen kohteeksi, on sinun ilmoiettava kansalliselle tietosuojaviranomaiselle välittömästi tai viimeistään 72 tunnin kuluttua rikkomisen havaitsemisesta.

Sinut kuitenkin vapautetaan ilmoittautumasta hekilöille, jos olet toteuttanut asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen, kuten salauksen, suojelemiseksi.

Tärkeä osa GDPR:n noudattamista on yksityisyys suunnitellulla tavalla, eli jokaisen uuden prosessin tai tuotteen suunnittelussa tietosuojavaatimukset edessä ja keskellä. Tämä lähestymistapa, vaikka aikaisemmin onlikin paras käytäntö, on nyt nimenomainen vaatimus

Tietosuoja-iskujen arviointi, joka tunnetaan myös nimellä yksityisyyden vaikutusten arviointi (PIA, privacy impact assessment), tarkoituksena on tunnistaa ja minimoida noudattamatta jättämisen riskejä.

GDPR tekee PIA:sta muodollisen vaatimuksen, erityisesti on varmistettava että PIA on suoritettu ennen sen alkamista millä tahansa “suuririskisellä” käsittelytoiminnalla.

Jos työskentelet kansainvälisesti, sääntöjä ja prosesseja tietojen siirto EU:n ulkopuolisille lainkäyttöalueille on merkittävä huomio , koska seuraamuksia ei ole noudatettu tai tietojen siirtoa (Euroopan komissio) ei ole tunnustettu riittäviksi tietosuojasäännöksiksi, koska ne ovat huomattavasti vakavampia GDPR:n alaisuudessa.

+Tieto tietoturvasta

Nyt on aika aloittaa selvittäminen, miksi tarvitaan GDPR-sääntöjen noudattamista omille työntekijöille. Sinun on ehkä käynnistettävä suunniteltuja menettelyjä, jotta ne voivat käsitellä GDPR:n uusia avoimuutta ja yksilöllisiä oikeuksia koskevia säännöksiä. Tällä voisi olla merkittäviä taloudellisia, tietoteknisiä ja koulutuksellisia vaikutuksia.taloudellisia, tietoteknisiä ja koulutuksellisia vaikutuksia.

+Vastuullisuus - tekniset toimenpiteet

GDPR määritelee varmistettava vastuussa sen tietosuojaperiaatteiden noudattamisen osoittamisesta , joten sinun on varmistettava, että sinulla on selkeät käytännöt, jotka osoittavat, että olet täyttänyt vaaditut standardit säännöllisesti tarkkailemalla, tarkistamalla ja arvioimalla tietojenkäsittelymenetelmiä, suojatoimia ja varmistamalla, että henkilöstösi on koulutettu ymmärtämään velvollisuutensa – ja olemaan valmis osoittamaan tämän milloin tahansa, kun kansalliset tietosuojaviranomaiset sitä vaativat.

+Tietojen rikkominen - tekniset toimenpiteet

Sinun täytyy valmistautua tietoturva-aukkojen (määritelty “turvallisuus vaarannetaan johtaa tahattoman tai laittoman tuhoamisen, kadottamisen, muuttamisen, luvaton luovuttaminen tai käyttö henkilöstön siirrettyjen, tallennettujen muuten käsitelty“) mukaan asettaa selkeät käytännöt ja testattuja menettelyjä, jotta voidaan varmistaa, että voit reagoida ja ilmoittamaan kaikista tietomurroista tarvittaessa.

Rikoksen ilmoittamatta jättäminen voi johtaa sakkorangaistukseen sekä sakkoihin itse rikoksesta.

+Varmistaa oikeudet – teknisesti

GDPR vahvistaa oikeudet rekisteröidyille , esimerkiksi lisäämällä oikeus vaatia tietoja käsiteltäviin asioihin, pääsy tietoihin tietyissä olosuhteissa, ja tietojen korjaaminen, mikä on väärin.

Yksi tärkeimmistä tavoitteista GDPR:llä on vahvistaa yksilöiden oikeuksia. Näin ollen säännöt, joissa käsitellään pääsyä aiheeeseen muuttuvat, ja sinun tulee päivittää menettelyjä vastaavasti.

Yleensä et saa veloittaa noudattamis-pyynnöistä; Lisäksi sinulla on tyypillisesti vain yksi kuukausi aikaa veloittaa noudattamis-pyynöistä (nykyinen raja on 40 päivää).

Oikeus olla unohdettu (poistaa GDPR-terminologiassa) antaa yksilöille mahdollisuuden vaatia poista henkilötietonsa ilman aiheetonta viivytystä tietyissä tilanteissa, esimerkiksi silloin, kun käsittelyn taustalla oleva laillisuus on ongelma tai jos suostumusta ei ole annettu.

Nämä säännöt kattavat myös kolmannet osapuolet, joiden kanssa jaat henkilötietoja.

GDPR määrittelee profiilin “ kaikenlaisten henkilötietojen automaattisen käsittelyn, joka koostuu henkilötietojen käytöstä tietyn luonnollisen henkilön henkilökohtaisten näkökohtien arvioimiseksi, erityisesti analysoida tai ennustaa tiettyjä luonnollisen henkilön suorituskyvyn työssä vaikuttavia näkökohtia, Taloudelliset tilanteet, terveys, henkilökohtaiset mieltymykset, edut, luotettavuus, käyttäytyminen, sijainti tai liikkuminen “; On kuitenkin epäselvyyttä siitä, miten rekisteröityjen oikeuksia olla tekemättä profilointiin perustuvien päätösten noudattamiseen.

GDPR tuo mukanaan uudet oikeudet tietojen siirrettävyyteen, joka ylittää yksilön oikeudet vaatia tietojen toimittamista yleisesti käytetyssä sähköisessä muodossa ja vaatii, että rekisterinpitäjä toimittaa tietoja jäsennellyissä, yleisesti käytössä olevissa ja koneellisesti luettavassa muodossa.

Tähän sääntöön liittyy joitain rajoituksia, esimerkiksi se koskee vain henkilötietoja, joita käsitellään automaattisella tavalla.

Euroopan komissio myöntää myös oikeuden rajoittaa tietyn käsittelyn ja oikeuden vastustaa henkilökohtaisia tietoja, joita käsitellään suoramarkkinointitarkoituksiin, mukaan lukien profiilitoiminnot suoramarkkinointitarkoituksiin.

Kun yksittäisiä esineitä, niiden tietoja ei saa käsitellä suoramarkkinointiin enää, ja yksilön yhteystiedot on lisättävä sisäiseen suppressiotiedostoon.

Järjestöjen on ilmoitettava yksilöille heidän oikeuksistaan vastustaa tietojensa käsittelyä tavalla, joka on selkeä ja erillinen muista tiedoista, jotka heidän on myös toimitettava yksityishenkilöille.

+Yksityisyystietojen viestiminen (suostumukset, oikeudenmukaiset käsittelyilmoitukset)

Sinun on ehkä tarkistettava, miten etsit, hankitset ja kirjaat rekisteröintiin suostumuksen . Henkilötietojesi käsittelyssä, on yhtä helppoa kuin antaa, ja sen on myös oltava positiivinen osoitus siitä, että käsitellään käsiteltäviä henkilötietoja – sitä ei voida päätellä hiljaisuudesta, ennalta “ruutuisista laatikoista” tai toimimattomuudesta .

GDPR myöntää erityisiä suojatoimenpiteitä lapsille tarkoitettujen henkilötietojen käsittelyssä erityisesti suhteessa kaupallisiin internetpalveluihin, kuten sosiaaliseen verkottumiseen.

Verkossa on oltava vanhempien etukäteissuostumus, jotta he voivat käyttää henkilötietoja alle 13-vuotiaille; Jäsenvaltiot voivat asettaa omat säännöt 13-15-vuotiaille. Jos ne eivät näin menettele, vaaditaan vanhempien suostumus alle 16-vuotiaille lapsille.

Tämän takia sinun pitäisi alkaa miettiä, kuinka toteuttaa vankat järjestelmät yksilöiden ikäryhmien tarkistamiseksi ja kerätä vanhempien tai huoltajien suostumus käsitellä tällaisia tietoja.

Suostumuksen on oltava todennettavissa, ja lasten keräämisen yhteydessä tietosuojatietosi on kirjoitettava kielellä, jota lapset ymmärtävät.

GDPR luultavasti kasvattaa asioita, joista sinun täytyy kertoa, rekitesteröitsijä esimerkiksi tutkii oikeusperustasi tietojen käsittelyyn, tietojen säilytysaikoihin ja oikeuteen valittaa kansalliselle tietosuojaviranomaiselle , jos he ajattelevat, että tietojesi käsittely on ongelmallista; huomaa että GDPR edellyttää, että nämä tiedot annetaan suppealla, selkeällä kielellä.

+Tietoturva (eheys ja luottamuksellisuus)

GDPR asettaa nykyisen direktiivin mukaiset tietosuojaperiaatteet, kuten oikeudenmukaisuus, laillisuus ja avoimuus; Käyttörajoitukset; Tietojen minimointi; Tietojen laatu; Turvallisuus, eheys ja luottamuksellisuus.

Sinun on varmistettava, että henkilötiedot käsitellään tavalla, joka varmistaa sen turvallisuuden, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä tahattomilta häviöiltä, tuhoutumiselta tai vahingoittumiselta : “Organisaation ja ulkoistetun palveluntarjoajan on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskille sopivan turvallisuuden tason” .

Asetuksessa ehdotetaan tietoturvatoimenpiteiden määrää, joita voidaan käyttää tietosuojan saavuttamiseen, mukaan lukien pseudonymisointi ja henkilötietojen salaus ; Kyky varmistaa henkilötietojen käsittelyjärjestelmien ja -palvelujen luottamuksellisuus, eheys, saatavuus ja joustavuus; Kyky palauttaa henkilökohtaisten tietojen saatavuus ja saatavuus ajoissa fyysisen tai teknisen tapahtuman sattuessa; Ja prosessi, jonka avulla voidaan säännöllisesti testata ja arvioida teknisten ja organisatoristen toimenpiteiden tehokkuutta henkilötietojen käsittelyn turvallisuuden varmistamiseksi.

GDPR määrittelee salauksen yhdeksi lähestymistavaksi, joka voi auttaa varmistamaan tiettyjen velvoitteidensa noudattamisen. Tarjouspyyntö asetuksesta:

32 artikla – Prosessoinnin turvallisuus

“1. Kun otetaan huomioon tekniikan taso, täytäntöönpanon kustannukset sekä käsittelyn luonne, laajuus, konteksti ja tarkoitukset sekä luonnollisten henkilöiden oikeuksien ja vapauksien vaihtelevuuden todennäköisyys ja vakavuus, rekisterinpitäjä ja prosessorit toteuttavat asianmukaiset tekniset ja organisatoriset toimenpiteet riskin edellyttämän turvallisuuden tason varmistamiseksi muun muassa tarvittaessa: a) henkilötietojen pseudonymisointi ja salaus […]”

34 artikla – Henkilötietojen tietosuojasta ilmoittaminen rekisteröidylle

“3. Edellä kohdassa 1. tarkoitettua tiedonantajaa ei vaadita, jos jokin seuraavista ehdoista täyttyy: (a) ohjain on toteuttanut asianmukaisia teknisiä ja organisatorisia suojaustoimenpiteitä ja näitä toimenpiteitä sovellettiin henkilötietoihin, joihin henkilötietojen rikkominen vaikuttaa erityisesti. Se ei ole ymmärrettävä kaikille käyttäjille, joilla ei ole oikeutta käyttää sitä, kuten esim. salaus […]”

+Tietojen dokumentointi, oikeusperusta ja tarkastus

Sinun on dokumentoitava, mitä henkilötietoja sinulla on, mistä ne ovat peräisin ja kenen kanssa jaat ne.

Jos sinulla on virheellisiä henkilötietoja ja olet jakanut tämän toisen organisaation kanssa, GDPR edellyttää, että kerrot muulle organisaatiolle epätarkkuudesta, jotta se voi korjata omat tietonsa. Voit tehdä tämän edellyttävän tietotarkastuksen koko organisaatiossasi tai tietyillä liiketoiminta-alueilla. Tämä auttaa myös sinua noudattamaan GDPR:n vastuullisuusperiaatetta.

GDPR:n alla on tutkittava, miten käsittelet henkilötietoja ja määrität sen oikeudellisen perustan, jolla teet ja dokumentoit nämä prosessit.

Tämä on välttämätöntä, koska GDPR muuttaa henkilötietojasi riippuen oikeusperustasi henkilötietojen käsittelystä. Yksi esimerkki on se, että ihmisillä on vahvempi oikeus poistaa tietonsa, jos käytät hyväksyntää oikeudellisen perustan käsittelyyn. Suostumus on kuitenkin vain yksi monista eri tavoista parantaa jalostustoiminta, eikä se välttämättä ole paras (koska se voidaan peruuttaa).

Tässä verkkosivustossa esitetyt tiedot eivät ole oikeudellisia lausuntoja, eikä käyttäjien tarvitse luottaa siihen, että ne ovat oikeita, kun ne tekevät taloudellisia tai liiketoimintaa koskevia päätöksiä. ESET ei ole vastuussa näiden toimien tuloksista. Pyydä aina riippumatonta oikeudellista neuvontaa

Liity meidän GDPR-webinaariin

Kerro meille siitä, miten uusi yleinen tietosuojasäädäntö vaikuttaa yritykseesi. ESET ylläpitää webinaareja selittääkseen ongelmat, jotka liittyvät GDPR:ään. Nämä webinaarit voivat osallistua ilmaiseksi: rekisteröidy alla ja kutsumme sinut seuraavaan tapahtumaan.

Nearly 80% of companies are not ready for GDPR

A new survey conducted by independent analysts IDC has found that most European SMBs are unprepared for the GDPR. IDC surveyed IT professionals at more than 700 businesses. It found that understanding of the new regulation remains low.

For more details- and to find out more about the GDPR for yourself – get the full IDC report, courtesy of ESET:

Understanding of GDPR impact

25% none | 52% limited | 22% full

Käytämme evästeitä varmistaaksemme jotta saat parhaan kokemuksen verkkosivustollamme. Lisätietoja.

Okej