Yrityksillä kiire mukautua EU:n uuteen tietosuoja-asetukseen

Atoksen TOP5-vinkit yksityisyyden ja henkilötietojen suojan varmistamiseen

Helsinki, 16. helmikuuta 2016

Euroopan parlamentti vahvisti vuoden 2015 lopulla uuden eurooppalaisen tietosuoja-asetuksen. GDPR (General Data Protection Regulation) parantaa EU-kansalaisten oikeutta tietosuojaan ja omien henkilötietojen luottamukselliseen käsittelyyn. Samalla kun kansalaisten oikeudet vahvistuvat, heidän tietojaan säilyttävien ja käsittelevien yritysten velvollisuudet lisääntyvät. Eurooppalainen IT-jätti Atos listasi, millaisia toimenpiteitä uusi tietosuoja-asetus yrityksiltä vaatii.

EU:n yleinen tietosuoja-asetus tulee voimaan vuoden 2018 aikana, kahden vuoden siirtymäajan jälkeen. Yleiseurooppalainen asetus tuo yrityksille uudenlaisia vastuita ja vaatimuksia, joten valmistautuminen vuoteen 2018 on syytä aloittaa mahdollisimman pian. Asetuksen mukaan yrityksillä on oltava riittävät valmiudet hallussaan olevan tiedon suojaamiseen. Asetus velvoittaa myös ilmoittamaan kaikista mahdollisista puutteista välittömästi asiaa valvoville viranomaisille.

Yritysten on nimitettävä tietosuojavastaava (Data Protection Officer) toimimaan yhdyshenkilönä viranomaisten suuntaan ja varmistettava, että organisaation kaikilla työntekijöillä on riittävät valmiudet käsitellä luottamuksellistadataa asianmukaisesti. Yritykset, jotka eivät noudata tulevaa tietosuoja-asetusta, voidaan tuomita sakkoon, jonka suuruus voi olla jopa viisi prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta – eli yrityksestä riippuen jopa satoja miljoonia euroja.

”Yksityisyys on yhä tärkeämpi teema asiakkaillemme ja kuluttajille.  Yrityksillä on oltava kokonaisvaltainen kuva hallussaan olevasta tiedosta, jotta ne voivat suojata henkilötiedot ja pystyvät vakuuttamaan asiakkaat, kuluttajat ja kumppanit tietojen luottamuksellisesta käsittelystä”, linjaa Patrick Nolan, Atoksen Benelux- ja Pohjoismaiden operatiivinen johtaja.

Atoksen 5 ohjenuoraa GDPR-tietosuoja-asetuksen vaatimuksiin valmistautumiseen:

1. Rakenna yritykselle kattava tiedonhallintamalli. Jotta yritys voisi vastata EU:n tietosuoja-asetuksen vaatimuksiin, sen täytyy tietää hallussaan olevien henkilötietojen alkuperä, tietojen oikeellisuus sekä sovellukset, joissa tietoja käsitellään ja säilytetään. Jos henkilötietojen käsittelyyn osallistuu kolmansia osapuolia, yrityksen on syytä varmistaa, että tietojen säilytystä, käyttöä ja omistajuutta koskevat sopimukset ovat kunnossa.

2. Analysoi ero nykytilan ja tulevien vaatimusten välillä. Useimmilla yrityksillä on jo entuudestaan käytössään yksityisyydensuojaa koskevia sääntöjä ja toimintamalleja. Kun lainsäädännössä tapahtuu esimerkiksi yleisen tietosuoja-asetuksen kaltaisia muutoksia, on tärkeää suorittaa arviointi siitä, mitkä nykyiset toimintamallit täyttävät uudet vaatimukset ja mitä puolestaan pitäisi laajentaa tai kehittää.

3. Suunnittele ja ota käyttöön uudet kontrollit. Kun yritys on tunnistanut puutteet nykyisissä käytännöissä – esimerkiksi HR:ssä tai lakitoiminnoissa – sen on laadittava ja otettava käyttöön uudet kontrollit näiden puutteiden korjaamiseksi.

4. Salaa tiedot. Salausratkaisujen avulla yritys varmistaa henkilötietojen turvallisen säilytyksen ja siirtämisen. Tietojen salaus ei silti täysin poista kaikkia riskejä, etenkään inhimillistä riskiä: vaikka tiedot olisi suojattu, joku voi silti käyttää niitä luvattomiin tarkoituksiin.

5. Valmistaudu todistamaan tietosuoja-asetuksen noudattaminen ja tietojen jäljitettävyys. Viranomaiset voivat uuden tietoturva-asetuksen nojalla suorittaa yrityksille auditointeja. Siksi on tärkeää, että yrityksen kaikki data on kootusti valmiina auditointia varten. Suosittelemme harkitsemaan kolmannen osapuolen käyttämistä puolueettomana apuna auditointiin valmistautumisessa. Atos toimii useiden kansainvälisten organisaatioiden tukena varmistamassa, että heidän toimintansa vastaa kaikkia tietoturvaa koskevia vaatimuksia.

Lue Atoksen koko tiedote Atos Global -sivustolta: Countdown to ensure compliance with GDPR

EU:n yleinen tietosuoja-asetus pähkinänkuoressa:

General Data Protection Regulation on EU-asetus, joka määrittelee, miten EU-kansalaisten henkilötietojen käsittely ja yksityisyydensuoja tulee järjestää. Tietosuoja-asetus koskee kaikkia yrityksiä ja organisaatioita, jotka käsittelevät EU-kansalaisten henkilödataa – myös silloin, kun organisaatio sijaitsee EU-alueen ulkopuolella.

Henkilödataksi käsitetään käytännössä kaikki yksityishenkilöön liittyvä informaatio, esimerkiksi nimi, sosiaalisen median kanaviin ladattu kuva, sähköpostiosoite, potilastiedot, tilitiedot, ym.

Euroopan parlamentin Kansalaisvapauksien sekä sisä- ja oikeusasioiden valiokunta LIBE hyväksyi uuden tietoturva-asetuksen luonnoksen 17.12.2015 äänin 48–4. Asetusta oli valmisteltu Euroopan parlamentin, Eurooppa-neuvoston sekä Komission kesken vuodesta 2012 alkaen. Valiokunnan hyväksymisen jälkeen asetus etenee vielä neuvoston hyväksyttäväksi sekä koko parlamentin äänestykseen, joka on odotettavissa keväälle 2016. Kun asetus on saanut virallisen vahvistuksen, käynnistyy kaksivuotinen siirtymäaika, eli asetus tullee kokonaisuudessaan käyttöön vuoden 2018 aikana.

Lähde: Euroopan komissio

Atos

Eurooppayhtiö Atos SE on johtava digitaalisten palveluiden tarjoaja. Atoksen pro forma -liikevaihto on noin 12 miljardia euroa ja yhtiössä työskentelee noin 100,000 työntekijää 72 maassa. Maailmanlaajuiselle asiakaskunnalleen yritys tarjoaa konsultointipalveluita (Consulting & Systems Integration), ulkoistuspalveluita (Managed Services & BPO), pilvipalveluita, Big Data- ja turvallisuusratkaisuja, sekä maksuvälityspalveluita alansa Euroopan johtajan Worldlinen kautta. Laaja-alaisella toimiala- ja teknologiatuntemuksella Atos työskentelee asiakkaidensa kanssa useilla eri sektoreilla: puolustus, rahoitus, terveydenhuolto, valmistava teollisuus, media, energia, julkishallinto, kauppa, telecom sekä kuljetus- ja liikenne.

Atos on keskittynyt liiketoimintateknologioihin jotka edistävät kehittymistä ja auttavat organisaatioita kasvamaan tulevaisuuden yrityksiksi. Atos on listautunut Euronext Parisissa ja toimii maailmanlaajuisesti Olympia- ja Paralympiakisojen IT-kumppanina. Atos toimii nimillä Atos, Atos Consulting, Atos Worldgrid, Bull, Canopy, Unify ja Worldline.