Kalmar (10) 0.jpg

GDPR projekti on ollut mieluinen projekti

27 huhtikuuta 2018

25. toukokuuta 2018 on jo nurkan takana, kuukauden päästä, ja silloin EU:n tietosuoja-asetus astuu voimaan. Meistä monet ovat työnsä puolesta päässeet perehtymään jo pidemmän aikaa tulevaan asetukseen ja valmistelut ovat meilläkin jo pitkällä.

GDPR (General Data Protection Regulation) on itse asiassa yksinkertainen asetus. Henkilötiedot joita tallennamme, täytyy vain pitää ajan tasalla, ja niihin saa päästä käsiksi vain ne henkilöt, jotka tietoa tarvitsevat. Pääsy henkilötietoihin estetään henkilöiltä, jotka eivät tietoa tarvitse. Tämähän on yksinkertaista.

EU-kansalaisella ja vakituisella asukkaalla, siis meillä jokaisella, on oikeudet rekistereissä oleviin tietoihin:

  • oikeus päästä käsiksi omiin tietoihimme
  • oikeus korjata tietojamme
  • oikeus saada tiedot omaan käyttöömme
  • oikeus poistaa tiedot.

Yllä olevat oikeudet ovat mielestäni hyvin asiallisia oikeuksia.

Teillä on käytössänne JHL toiminnanohjausjärjestelmä, josta löytyy teidän asiakastietoja. Te toimitte joko rekisterin ylläpitäjänä, käsittelijänä tai teknisenä ylläpitäjänä.

 JHL toiminnanohjausjärjestelmän saattaminen EU tietosuoja-asetuksen vaatimalle tasolle on ollut meille iso projekti. Olemme tehneet muutoksia mm. suojauksiin ja teettänyt auditoinnit ulkopuolisella taholla. JHL-päivitystyöt asiakkaillemme on aloitettu ja niitä jatketaan tulevan kuukauden aikana.

Eri ohjelmistojen ja komponenttien GDPR-vaatimuksia on pyritty ratkaisemaan seuraavilla kysymyksillä:

  • Pystymmekö kohtuullisessa ajassa toimittamaan henkilön kaikki tiedot rekisteröidylle?
  • Pystymmekö poistamaan kaikki tarvittavat tiedot pyydettäessä?
  • Pystymmekö lähettämään henkilölle kaikki hänen tietonsa helposti luettavassa muodossa, esim. CSV-tiedostona?

Näihin kysymyksiin olemme tuoneet JHL:n uudessa versiossa helpotusta ja lisäksi olemme parantaneet ohjelman lokituksia sekä tietoturvaa.

Tämänkin jälkeen teidän IT-tiimeille ja muille rekisterivastaaville jää vielä monia kysymyksiä vastattavaksi. On syytä varmistaa vielä seuraavat asiat:

  • minne henkilötiedot on tallennettu
  • miten ne on suojattu
  • miksi niitä tallennetaan
  • mihin kaikkeen tietoja käytetään
  • kenellä kaikilla on pääsy tietoihin
  • minne tiedot varmuuskopioidaan
  • miten kaikki tiedot ja varmuuskopiot pidetään ajan tasalla?

 

Tämän lisäksi meille ja teille jää haastavaksi osa-alueeksi staattisen sisällön varaan jäävät henkilötiedot yrityksissä. GDPR pakottaa meidät rajaamaan pääsyn vain tarpeellisiin tietoihin. Pääsyä ei saa avata henkilötietoon, mikäli se sisältää informaatiota jota ei tarvita kyseisessä tietopyynnössä. Henkilötietoja ei myöskään saa luovuttaa toiselle käyttäjälle ilman vahvoja perusteita. Miten esim. tulostettuja työmääräimiä ja ajolistoja käsitellään? Onko kaikki jo sähköisenä?

Näitä näkyvyysrajoituksia on JHL:ssä voinut rajoittaa kenttäkohtaisesti eri näkymissä jo vuosituhannen vaihteesta alkaen, ja autopäätteet ja muut mobiililaitteet ovat poistaneet paperisten listojen tarpeen.

Tällä hetkellä tiedetään asetuksesta jo paljon ja viranomaiset ovat antaneet ohjeita ja suuntaviivoja. Yksityiskohdat ovat kuitenkin vielä auki. Uusia ohjeita tulee vieläkin ja varmasti syksyllä tulee jo ennakkopäätöksiä. Työ GDPR:n parissa siis jatkuu.

Koostamme teille JHL:n GDPR-ohjeeseen perusasiat, jotka tulee ottaa huomioon. Lopuksi kertauksena:

Tietosuoja-asetuksen vaatimusten täyttäminen tarkoittaa, että henkilödata on ajantasaista (vaatii paljon työtä) ja saatavilla ainoastaan henkilöille, jotka tarvitsevat sitä.

Hyvää kevään jatkoa!