EU tietosuoja-asetus (GDPR)

Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018 ja tuo mukanaan useita muutoksia tietosuojan sääntelyyn. Jos käsittelette henkilötietoja, on korkea aika varmistaa asetuksen vaatimusten täyttäminen.

Autamme teitä

  • kertomalla selkeästi mitä asetuksen vaatimukset tarkoittavat juuri teidän organisaatiossanne
  • varmistamalla että henkilötietojenne käsittely on asetuksen mukaista
  • varmistamalla että tietoturvanne on asetuksen vaatimassa kunnossa
  • varmistamalla että täytätte osoitusvelvollisuuden ja näin voitte unohtaa asetuksen säätämät valtavat sakot, jopa 4% liikevaihdostanne

Saatte käyttöönne asiantuntemuksemme ja tehokkaat työkalut tietosuojan ja tietoturvan varmistamiseen. Kustannustehokkaasti.

Ota yhteyttä tai lue lisää alta.

 

Uusi EU:n tietosuoja-asetus, GDPR (General Data Protection Regulation) on saanut paljon huomiota, erityisesti siihen sisältyvien suurten hallinnollisten sakkojen takia. Asetuksen mukanaan tuomat muutokset laajentavat rekisteröityjen oikeuksia, joita Suomessa on turvannut jo aiempi Henkilötietolaki.

Suurimmat muutokset rekisterinpitäjille ovat uudenlaiset velvollisuudet henkilötietojen suojaamisen suhteen ja velvollisuus osoittaa tietosuojan ja tietoturvan riittävä toteuttaminen.

Merkittävimmät EU:n tietosuoja-asetuksen uudet vaatimukset ovat

  • Valtavat hallinnolliset sakot asetuksen noudattamatta jättämisestä
  • Laajennuksia henkilötietojen käsittelyn laillisiin edellytyksiin
  • Laajennuksia rekisteröityjen oikeuksiin
  • Rekisterinpitäjien velvollisuus arvioida henkilötietojen käsittelyyn liittyviä riskejä ja toteuttaa niiden hallintakeinot
  • Rekisterinpitäjien velvollisuus toteuttaa riskien arviointiin perustuvat tietoturvamenettelyt, sekä ylläpitää ja arvioida niitä
  • Rekisterinpitäjien velvollisuus ilmoittaa tapahtuneista tietoturvaloukkauksista valvontaviranomaiselle ja tietyissä tapauksissa rekisteröidyille
  • Osoitusvelvollisuus: rekisterinpitäjien on pystyttävä osoittamaan, että noudattavat asetusta, mukaan lukien kaikki edellä mainittu

Käsittelemme tässä GDPR:n haasteita jokaiselle henkilötietoja käsittelevälle organisaatiolle ja CastilSec -ohjelmiston tarjoamaa ratkaisua selvitä haasteista minimipanostuksella ja -kustannuksilla.

Mistä syistä hallinnollisia sakkoja voidaan määrätä?

Tietosuoja-asetuksen 83 artikla määrittelee kahden tasoisia hallinnollisia sakkoja. Suuremmat sakot, enintään 20 miljoonaa euroa tai 4% yrityksen liikevaihdosta, voidaan määrätä henkilötietojen käsittelystä ilman lainmukaisia perusteita, rekisteröityjen oikeuksien rikkomisesta tai henkilötietojen siirtämisestä asetuksen vastaisesti kolmanteen maahan. Muiden rekisterinpitäjän velvollisuuksien rikkomisesta voidaan määrätä sakko, joka on enintään 10 miljoonaa euroa tai 2% yrityksen liikevaihdosta.

On huomattava, että esimerkiksi tapahtunut tietoturvaloukkaus ei ole sakon peruste, mutta tietoturvatoimien toteuttamatta jättäminen on, vaikka mitään loukkausta ei tapahtuisikaan.

Jos siis henkilötietoja käsittelevä organisaatio noudattaa asetuksen vaatimuksia ja pystyy osoittamaan sen, sakoista ei tarvitse huolehtia.

Valmistautuminen EU:n tietosuoja-asetuksen voimaan tuloon

EU:n tietosuoja-asetuksen vaatimuksia on noudatettava 25.5.2018 alkaen, mikä merkitsee henkilötietoja käsitteleville organisaatioille monien uusien toimintamallien toteuttamista. Uudet velvollisuudet koskevat itse organisaatiota, jokaista sen käsittelemää henkilörekisteriä (tai käsittelyn ulkoistamista) sekä henkilötietoja käsitteleviä tietojärjestelmiä. CastilSec -verkkopalvelu sisältää selkeät toimenpiteet kaikille näille osa-alueille, kattaen kaikki asetuksen vaatimukset.

CastilSec ohjaa käyttäjäorganisaation tehtäviä asetuksen vaatimusten täyttämiseksi sen voimaan tuloon mennessä ja sen jälkeen. CastilSeciä käyttävän organisaation ei tarvitse itse selvittää asetuksen yksityiskohtia tai kehittää tietoturvamenettelyjä, vaan voi seurata selkeää CastilSecin antamaa toimenpideohjelmaa. Halutessanne asiantuntijamme tukevat prosessissa.

Riskien arviointi ja hallinta

Tietosuoja-asetus edellyttää rekisteröityjen oikeuksille aiheutuvien riskien arviointia ja henkilötietojen käsittelyä ja suojaamista riskien mukaisesti. Osoitusvelvollisuuden toteutumiseksi riskien arviointi on dokumentoitava, samoin sen johdosta tehdyt toimenpiteet. CastilSec -verkkopalvelu sisältää riskienhallinnan osion, jonka avulla riskejä voi arvioida, priorisoida ja niiden käsittelyä hallita. CastilSec tuottaa kattavat raportit riskeistä ja niiden hallintatoimenpiteistä vastuuhenkilöineen. Lisäksi tarjoamme asiantuntijoidemme apua riskienhallintaan.

Asetuksen vaatimukset tietoturvalle

EU:n tietosuoja-asetus edellyttää selvästi, että henkilötietoja käsiteltäessä on toteutettava tekniset ja organisatoriset menetelmät, joilla varmistetaan tietojenkäsittelyn turvallisuus. Tietoturvamenettelyiden on perustuttava riskien arviointiin ja niiden toimivuus on kyettävä osoittamaan. Asetus ei kuitenkaan määrittele, millaisia riittävät toimenpiteet ovat.

CastilSec antaa laajan joukon suositeltavia tietoturvamenettelyjä eri aihealueille. CastilSec -verkkopalvelua käyttävä organisaatio ei jää epätietoisuuteen tietoturvamenettelyjen suhteen, vaan voi alkaa toteuttaa CastilSecin antamia menettelyjä ja kuitata ne CastilSeciin toteutetuiksi. CastilSecillä myös johdetaan tietoturvatyötä ja siihen liittyviä tehtäviä.

CastilSec tuottaa erilaisia raportteja toteutetuista tietoturvamenettelyistä, mikä tukee osoitusvelvollisuutta.

Osoitusvelvollisuuden täyttäminen

Osoitusvelvollisuus täytetään ensisijaisesti dokumentoimalla asetuksen vaatimien toimenpiteiden toteutus, sekä organisaation, jokaisen henkilörekisterin että henkilötietoja käsittelevien tietojärjestelmien osalta.

CastilSec tukee EU:n tietosuoja-asetuksen vaatimusten täyttämistä

CastilSec antaa kaikki tietosuoja-asetuksen vaatimukset sekä laajan joukon tietoturvamenettelyjä, jotka kuitataan suoritetuiksi CastilSeciin. Kun myös riskit ja niiden käsittely on kirjattu CastilSeciin, tuottaa se ajantasaiset raportit, jotka täyttävät osoitusvelvollisuuden.

Ilman CastilSeciä tarvittavat toimenpiteet ja tietoturvamenettelyt jouduttaisiin selvittämään ja dokumentoimaan itse. Lisäksi olisi kehitettävä riskienhallintamenetelmä ja dokumentoitava se.

CastilSec tarjoaa helppokäyttöisen, valtavasti työtä säästävän ja kustannustehokkaimman tavan vastata EU:n tietosuoja-asetuksen haasteisiin.

 

Lue lisää CastilSec -verkkopalvelusta tästä

Lue tarkempi kuvaus CastilSecin toiminnoista tästä

Pyydä tarjous tai jätä yhteydenotto tästä

EU:n tietosuoja-asetuksen teksti löytyy täältä: https://www.privacy-regulation.eu/fi/

Lisää tietoa EU tietosuoja-asetuksesta Tietosuojavaltuutetun sivuilla