Verkkovaraani valmistautuu EU:n tietosuoja-asetukseen (GDPR)
Euroopan Unionin uusi yhtenäistetty tietosuoja-asetus (GDPR) astuu voimaan 25.5.2018. Tässä artikkelissa on kuvattu miten Verkkovaraani on varautunut uuteen lainsäädäntöön.
Euroopan Unioni yhtenäistää tietosuojaa luomalla yhteisen sääntelyn nimeltään General Data Protection Regulation (GDPR), joka tulee voimaan 25.5.2018. EU:n jäsenmailla on myös mahdollisuus muokata osaa asetuksen säännöistä omaan lainsäädäntöönsä sopivaksi. Suomi ei ole tätä vielä tehnyt, joten tarkkaa tietoa Suomessa voimaan tulevasta lainsäädännöstä ei vielä ole.
Verkkovaraani tarjoaa asiakkailleen verkkopalveluita ja niiden ylläpitoa, joissa osassa käsitellään myös henkilötietoja. Verkkovaraani varautuu uuteen tietosuoja-asetukseen muun muassa seuraavilla toimilla.
Sopimukset asiakkaiden ja Verkkovaraanin välillä
Uusi tietosuoja-asetus määrittelee rekisterinpitäjän ja henkilötietojen käsittelijän. Rekisterinpitäjällä tarkoitetaan tahoa, jonka käyttöä varten rekisteri on luotu. Henkilötietojen käsittelijä on toinen taho, joka käsittelee rekisterin tietoja toimittamissaan palveluissa. Tässä tapauksessa rekisterinpitäjä on siis asiakkaamme ja me toimimme osittain henkilötietojen käsittelijänä ylläpitäessämme järjestelmää. Asiakas tekee henkilötietojen käsittelyä myös itse käsitellessään järjestelmän tietoja.
Eri roolien vastuiden ja velvollisuuksien määrittelemiseksi olemme tehneet sopimusliitteen, jonka viemme osaksi kaikkia nykyisiä ja tulevia asiakkuuksiamme. Sopimuksella olemme osaltamme edesauttamassa asiakkaidemme toiminnan viemistä uuden tietosuoja-asetuksen vaatimalle tasolle, sillä siinä sovitaan GDPR:n edellyttämistä asioista meidän osaltamme.
Tietosuojapolitiikka ja käytännöt
Varmistaaksemme, että myös toimimme sopimuksen edellyttävällä tavalla, meillä on tietosuojapolitiikka.Tietosuojapolitiikassa määritellään tietojen suojaamisen ja henkilötietojen käsittelyn periaatteet. Tarkemmissa käytännöissä on kuvattu toimintamallit erilaisissa henkilötietojen käsittelyyn liittyvissä tilanteissa kuten tietojen poistamisessa, tietomurroissa ja tietopyynnöissä. Sisäisten käytäntöjen lisäksi tarvitaan julkinen rekisteriseloste, jossa on kuvattu tietojen käsittelyn periaatteet henkilöille, joiden tietoja järjestelmäämme on syötetty.
Tietosuojapolitiikalla ja käytännöillä voimme siis tarvittaessa osoittaa, että toimintamme on uuden tietosuoja-asetuksen mukaista.
Järjestelmien läpikäynti ja tietoinventaario
Käytäntöjen kuvaamisen lisäksi olemme luonnollisesti käyneet järjestelmämme läpi, ja varmistaneet, että ne toimivat uuden tietosuoja-asetuksen edellyttämällä tavalla. Samalla olemme inventoineet, missä järjestelmän osissa henkilötietoja mahdollisesti on. Asetuksen tuomia uusia ja tiukentuneita vaatimuksia ovat mm. henkilön mahdollisuus pyytää omia tietojaan nähtäville ja poistettavaksi, edellytys tarkemmista lokeista tietojen käsittelyyn liittyen. Lisäksi henkilöiden antama hyväksyntä tietojen käsittelylle tulee kirjata.
Järjestelmien läpikäynti on vielä kesken, mutta tähän mennessä olemme pystyneet noudattamaan myös uutta tietosuoja-asetusta tarkentamalla toimintamallejamme. Joka tapauksessa olemme hyvässä vauhdissa vastaanottamassa uutta asetusta ja avustamme mielellämme myös muita toiminnan saattamisessa ajantasalle.