Yhteistyössä Citrus Solutions Oy: Ajankohtaisia kuulumisia tietosuojasta
Tietosuojan toteutuminen vaatii jatkuvaa hallinnointia ja dokumentointia. Vaikka lait ja asetukset ovat olleet voimassa useamman vuoden, tietosuojan soveltaminen käytännössä on jättänyt ilmaan kysymyksiä. Miten tietty lain edellytys toteutetaan käytännön toimenpitein? Entä onko seloste käsittelytoimista ajan tasalla ja tehty asianmukaisesti? Kesän aikana saatiin myös mielenkiintoisia uutisia EU:n tuomioistuimelta ja tietosuojaviranomaisilta: Privacy Shield -järjestely kumoutui.
Kulkeutuuko yrityksestänne henkilötietoja Yhdysvaltoihin?
EU:n tuomioistuin kumosi heinäkuussa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, jota monet organisaatiot olivat käyttäneet perusteena henkilötietojensa käsittelylle USA:ssa. Päätöksen mukaan Privacy Shield -järjestelyllä ei voitu taata, että henkilötiedoille taataan Yhdysvalloissa EU:n tietosuojaa vastaava taso, ja että esimerkiksi yhdysvaltalaisille palvelimille varastoidut henkilötiedot eivät päätyisi tiedustelupalveluiden tai muiden kolmansien osapuolten käyttöön. Tästä johtuen kaikki henkilötietojen siirtämiset USA:han, jotka perustuivat ainoastaan Privacy Shield -järjestelyyn, ovat olleet mitättömiä 16. heinäkuuta lähtien.
Kaikki henkilötietojen siirtämiset USA:han, jotka perustuivat ainoastaan Privacy Shield -järjestelyyn, ovat olleet mitättömiä 16. heinäkuuta lähtien.
Toimi näin:
- Selvitä, käytetäänkö organisaatiossasi yhdysvaltalaisia pilvipalvelujen toimittajia tai siirretäänkö toiminnoissanne muilla tavoin henkilötietoja Yhdysvaltoihin.
- Selvitä sopimuksista, siirrättekö itse tai siirtävätkö alihankkijanne henkilötietoja Yhdysvaltoihin nimenomaan Privacy Shield -järjestelyn perusteella.
- Jos vastaus edelliseen on kyllä, selvitä, voiko organisaatiosi jatkaa henkilötietojen siirtoa tai palvelun käyttöä muiden tietojensiirtoperusteiden, esimerkiksi EU:n komission hyväksymien mallisopimuslausekkeiden (SCC) nojalla. Selvitä myös Eurooppaan sijoittuneet vaihtoehdot tarvitsemallenne palvelulle.
- Tee tarvittavat muutokset sopimuksiin alihankkijoiden/palveluntarjoajien kanssa.
- Informoi asiakkaitanne ja muita käyttäjiänne mahdollisista muutoksista.
Suomessa on määrätty ensimmäiset seuraamusmaksut tietosuojarikkomuksista
Välty seuraamuksilta. Huolehdi, että seloste henkilötietojen käsittelytoimista on kunnossa.
Tällä hetkellä Euroopan unionin alueella on annettu jo satoja sakkoja tietosuoja-asetuksen vastaisista toimista. Suomessa tietosuojaviranomaiset ovat antaneet useita huomautuksia erilaisista tietosuojaan liittyvistä puutteista, ja viimeisin sakko määrättiin heinäkuussa.
Erityishuomion ansaitsee se, että kaikki Suomessa määrätyt sakot ovat tulleet esille käyttäjien ilmiantojen pohjalta – kansalaiset ovat siis valppaina henkilötietojensa käyttämisestä!
Viimeistään nyt jokaisen organisaation kannattaa varmistaa riittävä tietosuojan taso – erityisesti se, että seloste henkilötietojen käsittelytoimista on ajan tasalla ja tehty asianmukaisesti kaikkien organisaation käsittelemien henkilötietojen osalta.
Et ole näiden asioiden kanssa yksin
Citruksen myGDPR-palvelu on helppokäyttöinen käyttäjää ohjaava työkalu, jolla yritys tai organisaatio huolehtii läpinäkyvästi ja vastuullisesti henkilötietojen tietosuojasta EU:n tietosuoja-asetuksen mukaisesti. myGDPR-palvelu kokoaa monimutkaisen lainsäädännön helposti ymmärrettäväksi kokonaisuudeksi ja tuottaa raportointia varten vaadittavan dokumentaation ja tietotilinpäätöksen sinun puolestasi.
myGDPR-palvelun käyttöönotossa tutustutaan palveluun yhdessä tietosuojaan perehtyneen Citruksen asiantuntijan kanssa sekä kartoitetaan organisaation tietosuojan taso. Halutessasi saat yksilöllistä tukea vaatimusten täyttämiseen ja oikeanlaisen dokumentaation tuottamiseen. Lopputuloksena organisaation tietosuoja-asiakirjat ovat asianmukaisesti tehty.
Mikäli organisaatio on aloittanut selvitystyön ja raportteja tai GDPR-dokumentaatiota on jo olemassa, ei se estä palvelun käyttöönottoa. Päinvastoin – palvelun lähtötietoselvityksessä otetaan huomioon olemassa oleva dokumentaatio ja sitä voidaan hyödyntää työssä. Palvelun avulla saat tässäkin tapauksessa selville puuttuvat toimenpiteet ja tehtävät.
Tarvitsetko asiantuntija-apua ja helppokäyttöisen palvelun tietosuoja-asioiden kuntoon laittamiseksi? Ota yhteyttä, niin kartoitetaan organisaatiosi yksilöllinen tietosuojan taso.
myGDPR-palvelun asiantuntijoineen saat nyt kumppanihintaan. Kysy lisää!
