Hei ja kiitos kysymyksestäsi!

GDPR:n noudattaminen – mistä aloittaa?

Aivan kuten monessa muussakin asiassa, GDPR:n noudattaminen alkaa jostakin. Yksi GDPR:n asettamista vaatimuksista sekä rekisterinpitäjille että henkilötietojen käsittelijöille on ylläpitää jatkuvasti rekisteriä tai luetteloa kaikesta yrityksen suorittamasta henkilötietojen käsittelystä. Henkilötietojen käsittelyllä tarkoitetaan kaikkia henkilötietoihin kohdistuvia toimia, kuten tietojen keräämistä, säilyttämistä, käsittelyä tai luovuttamista. 

Henkilötietojen tyypit GDPR:ssä

GDPR:ssä erotetaan toisistaan ei-arkaluonteiset ja arkaluonteiset henkilötiedot.

Henkilötiedot

Henkilötietoja ovat kaikki tiedot, jotka suoraan tai epäsuorasti voidaan yhdistää henkilöön. Näitä voivat esimerkiksi olla nimi, osoite, henkilötunnus tai valokuvat.

Arkaluonteiset henkilötiedot

Arkaluonteisia henkilötietoja ovat muun muassa tiedot henkilön terveydestä, etnisyydestä, seksuaalisesta suuntautumisesta ja poliittisista mielipiteistä.

GDPR-työn aloitaminen

Käytännössä alkuvaiheen työ tarkoittaa yrityksen käsittelemien tietojen tarkistamista ja niiden käsittelyn syiden selvittämistä. Käsiteltävät henkilötiedot voivat koskea esimerkiksi henkilöstöä, asiakkaita ja toimittajia, potentiaalisia asiakkaita ja toimittajia tai muita yhteistyökumppaneita. Tietosuojaselosteen laatiminen ja mukauttaminen GDPR:n mukaiseksi on hyvä ensimmäinen askel. Tietosuojaseloste tarjoaa kokonaiskuvan yrityksen henkilötietojen käsittelystä ja voi toimia perustana muulle ja jatkuvalle GDPR-työlle.

Henkilötietojen säilytys ja poistaminen

Toinen suositus on luoda varhaisessa vaiheessa rutiinit henkilötietojen poistamiselle. Joissain tapauksissa laki määrää, kuinka kauan henkilötietoja tulee säilyttää. Tällaisia säännöksiä on kirjanpitolaissa, rahanpesun ja terrorismin rahoittamisen estämistä koskevassa laissa ja tietyissä työoikeudellisissa säädöksissä. 

Turvallisuusnäkökohdat osana GDPR-työtä

Tekninen turvallisuus

Kattavaan GDPR-työhön vaaditaan myös teknisten ja organisatoristen turvallisuusnäkökohtien huomioimista. Tekninen turvallisuus voi tarkoittaa esimerkiksi palomuureja ja varmuuskopiointijärjestelmiä.

Organisatorinen turvallisuus

Organisatorinen turvallisuus tarkoittaa esimerkiksi sitä, että pääsy tiettyihin järjestelmiin on rajoitettu dokumentoitujen suuntaviivojen mukaisesti. Hyvä lähtökohta on, että vain niiden, jotka työtehtäviensä suorittamiseksi tarvitsevat pääsyä tiettyihin henkilötietoihin, tulisi saada pääsy näihin tietoihin. Esimerkiksi voi olla sopimatonta, että myyjä pääsee käsiksi kollegoidensa sairauspoissaolotietoihin – pääsy tällaisiin tietoihin tulisi rajoittaa HR:ään ja esihenkilöhin, jotka tarvitsevat tietoja. 

Tarvitsetko lisää apua?

Jos tarvitset lisää apua, autamme sinua mielellämme. Voit ottaa meihin yhteyttä sähköpostitse tai varaamalla ajan suoraan juristiemme kanssa.