GDPR – kuinka me olemme valmistautuneet?

GDPR:ista (General Data Protection Regulation) puhutaan tällä hetkellä paljon. Uusi EU:n laajuinen tietosuoja-asetus on tullut voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018. Asetus koskee kaikkia yrityksiä, jotka toimivat EU:ssa tai käsittelevät EU-kansalaisten henkilötietoja. Mitä tämä meidän toiminnassamme tarkoittaa?

GDPR-yhteensopivuuden saavuttaminen voi vaatia yrityksissä paljon työtä, jos valmistautumista ei ole aloitettu ajoissa tai jos tietoturvaan ei ylipäätään ole kiinnitetty tarpeeksi huomiota aiemmin. Sanktiot GDPR-vaatimusten noudattamatta jättämiselle ovat kovat, mutta hyvänä puolena voi kuitenkin pitää sitä, että se tuo kaikki yritykset samalle viivalle ja yhtenäistää europpalaisten yritysten tietojenkäsittelyn henkilötietojen osalta.

Vastuullinen ja luotettava kumppani

Vaikka GDPR saattaa aiheuttaa monissa yrityksissä myös päänvaivaa, on mielestäni hyvä asia, että tiedetään tarkkaan missä tieto menee ja miten sitä käytetään. Tämä tuo toimintaan kurinalaisuutta.

Henkilötietoja sisältävien rekisterien pitäjillä on vastuullaan huolehtia siitä, että heidän rekistereidensä kanssa työskentelevät tahot osaavat käsitellä henkilötietoja oikein. Me Call Wavesilla emme ole varsinaisia rekisterinpitäjiä, vaan hoidamme rekistereitä asiakkaidemme toimeksiannosta. Kuten muussakin toiminnassamme, haluamme olla tietosuoja-asioissa vastuullinen ja luotettava kumppani.

Tietosuoja-asiat hoidettu tarkasti aina

GDPR-asetukseen olemme valmistautuneet erityisesti viimeisen vuoden ajan. Toki jo tätä ennen meillä tehty paljon tietosuojaan liittyviä auditointeja, sillä asiakkainamme on suuria yrityksiä, joiden toimintaan nämä kuuluvat. Olemme opiskelleet GDPR:n sisältöä ja soveltamista tarkasti, jotta tiedämme miten asiat tulee jatkossa hoitaa. Keskeinen asia on huolellisuusvelvoite.

Olemme käsitelleet henkilötietoja jo hyvin pitkään ja käsittelemme toimeksiannoissamme myös maksukorttitietoja PCI DSS-standardin vaatimusten mukaisesti.  Nämä vaatimukset ovat aivan yhtä tiukkoja, elleivät jopa tiukempia kuin GDPR. Toki henkilöstöämme on ohjeistettu GDPR:in myötä, mutta varsinaisesti asetus ei tuo toimintaamme hirveästi uutta, sillä tietojen erittäin huolellinen käsittely on ollut toimintatapamme aina.

Henkilötietojen käsittelyn todentaminen

GDPR:n myötä henkilötiedot tulee käsitellä huolellisuusvelvoitteen mukaisesti ja ei saa synnyttää ns. pöydänkulmalle omia muistiinpanoja. Tietovuodon riski kasvaa massoissa, mutta isoin ongelma monessa yrityksessä ovat sisäiset menettelytavat.

Olemme panostaneet siihen, että pystymme todentamaan henkilötietojen käsittelyn ja tiedon liikkumisen tarkasti teknisesti. Uusimme järjestelmiä pystyäksemme ajamaan tarkat raportit näistä asioista. Tarvittaessa pystymme selvittämään millaista henkilötietoa liikkuu eri järjestelmien välillä, kuka sitä käsittelee ja mitä sillä on tehty. Toki otamme näiden tietojen käsittelyssä huomioon myös henkilökuntamme tietosuojan.

Tieto ei jää roikkumaan

Henkilötietojen lisäksi meillä on hallussamme runsaasti puheludataa. Säilytämme kumpiakin määräajan ja luovutamme datan takaisin toimeksiantajallemme. Toki nämä ovat myös sopimusteknisiä asioita, mutta on tärkeää, että tieto ei jää turhaan roikkumaan, vaan löytyy vain siltä taholta, jolle se kuuluu.

Mikäli GDPR-asiat vielä mietityttävät, kannattaa oman yrityksen tietosuoja-asiat tarkastaa ja hoitaa säädöksen mukaisiksi erittäin pikaisella aikataululla. Viimeistään tietovuotojen sattuessa ovelle tullaan varmasti kolkuttelemaan, jos asiat eivät ole kunnossa.

 

Esa Tuovinen
CTO, Vice President
esa.tuovinen@callwaves.fi

Onko sinulla kysyttävää webinaarin aiheesta?

Be the First to Comment!

avatar
  Subscribe  
Notify of