Ratkaisut

GDPR-tarkistuslista

Varaa ilmainen konsultaatio

GDPR-tarkistuslista rekisterinpitäjille/yritysten omistajille

Oletko ajan tasalla GDPR:stä? GDPR-tarkistusluettelomme voi auttaa sinua turvaamaan organisaatiosi, suojaamaan asiakkaidesi tietoja ja välttämään kalliita sakkoja noudattamatta jättämisestä.

GDPR-tarkistuslistan ymmärtämiseksi on myös hyödyllistä tuntea joitakin terminologiaa ja lain perusrakennetta. Löydät nämä tiedot sivultamme “Mikä on GDPR?” Huomaa, että mikään tällä sivulla ei ole oikeudellista neuvontaa. Suosittelemme, että keskustelet asianajajan kanssa, joka on erikoistunut GDPR:n noudattamiseen ja joka voi soveltaa lakia sinun erityistilanteeseesi.

GDPR Checklist Fi

Oikeusperusta ja avoimuus

(Organisaatioiden, joissa on vähintään 250 työntekijää tai jotka suorittavat korkean riskin tietojenkäsittelyä on pidettävä ajan tasalla olevaa ja yksityiskohtaista luetteloa käsittelytoimistaan ​​ja oltava valmiita esittämään tämä luettelo pyynnöstä valvontaviranomaisille. Paras tapa GDPR-vaatimustenmukaisuuden osoittamiseksi organisaatioiden, joissa on alle 250 työntekijää tulee myös suorittaa arviointi, koska se helpottaa GDPR-asetuksen vaatimusten noudattamista, pääsy siihen organisaatiossasi, kolmansien osapuolten (ja missä ne sijaitsevat), joilla on pääsy siihen. mitä teet tietojen suojaamiseksi (esim. salaus) ja milloin aiot poistaa ne (jos mahdollista).

GDPR:n mukaan kaikilla henkilötietoja käsittelevillä organisaatioilla on oltava siihen laillinen peruste. On olemassa useita mahdollisia oikeusperusteita, jotka voivat oikeuttaa henkilötietojen käsittelyn, esim. Suostumus: Jos olet saanut rekisteröidyltä suostumuksen käsitellä hänen tietojaan tiettyä tarkoitusta varten, tämä tekee toiminnasta laillisen

Sinun on kerrottava ihmisille, että keräät heidän tietojaan ja miksi. Sinun tulee selittää, miten tietoja käsitellään, kenellä on pääsy niihin ja kuinka suojaat ne. Nämä tiedot on sisällytettävä tietosuojakäytäntöösi ja annettava rekisteröidyille, kun keräät heidän tietojaan. Se on esitettävä “tiiviissä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä, varsinkin jos tieto on erityisesti osoitettu lapselle”.



Tietoturva

Sinun on noudatettava “suunniteltu- ja oletustietosuojan” periaatteita, mukaan lukien “asianmukaisten teknisten ja organisatoristen toimenpiteiden” toteuttaminen tietojen suojaamiseksi. Toisin sanoen tietosuoja on nyt oltava asia, joka sinun on aina otettava huomioon, kun käsittelet muiden henkilötietoja. Sinun on myös varmistettava, että henkilötietojen käsittelyssä noudatetaan gdpr.eu:n artikkelissa 5 kuvattuja tietosuojaperiaatteita. Teknisiä toimenpiteitä ovat salaus, ja byrokraattisia toimenpiteitä ovat esimerkiksi keräämiesi henkilötietojen määrän rajoittaminen tai tarpeettomien tietojen poistaminen. Asia on siinä, että sen on oltava jotain, josta sinä ja työntekijäsi olette aina tietoisia.

Linkki artikkeliin 5

Useimmat yritysten käyttämät tuottavuustyökalut ovat nyt saatavilla sisäänrakennetulla päästä päähän -salauksella, mukaan lukien sähköposti, viestipalvelut, muistiinpanot ja pilvitallennus. GDPR edellyttää, että organisaatiot käyttävät salausta tai pseudonymisaatiota mahdollisuuksien mukaan.

Vaikka tekninen tietoturvasi olisi vahva, toimintaturvallisuus voi silti olla heikko kohta. Luo tietoturvakäytäntö, joka varmistaa, että tiimisi jäsenet ovat tietoisia tietoturvasta. Sen tulisi sisältää ohjeita sähköpostin turvallisuudesta, salasanoista, kaksivaiheisesta todennusta, laitteen salauksesta ja VPN:istä. Työntekijöiden, joilla on pääsy henkilötietoihin ja ei-teknisten työntekijöiden tulee saada lisäkoulutusta GDPR-vaatimuksista.

Tietosuoja-arvionti (tunnetaan myös nimellä tietosuojavaikutusten arviointi) on tapa auttaa sinua ymmärtämään, kuinka tuotteesi tai palvelusi voi uhata asiakkaidesi tietoja ja miten voit minimoida nämä riskit. Tietosuojavaltuutetun toimistolla (TIEVA) on verkkosivustollaan tietosuoja-arvioinnin tarkistuslista.. GDPR edellyttää, että organisaatiot suorittavat tämäntyyppisen analyysin, kun ne aikovat käyttää ihmisten tietoja tavalla, joka “johtaisi todennäköisesti suureen riskiin heidän oikeuksiinsa ja vapauksiinsa”. TIEVA suosittelee tekemään sen aina, kun joudut käsittelemään henkilötietoja.

Linkki tietosuojavaikutusten arviointiin

Jos tapahtuu tietoturvahyökkäys ja henkilötietoja paljastetaan sinun on ilmoitettava asiasta oman alueesi valvontaviranomaiselle 72 tunnin kuluessa. Luettelo monien EU-maiden valvontaviranomaisista löytyy osoitteesta gdpr.eu. GDPR ei täsmennä, kenelle sinun on ilmoitettava, jos et ole EU:hun sijoittautunut organisaatio. EU:n ulkopuolisissa englanninkielisissä maissa voi olla helpointa ilmoittaa asiasta Irlannin tietosuojavaltuutetun toimistoon. Sinun on ilmoitettava viipymättä niille rekisteröidyille, joita asia koskee, jos tapahtuu tietoturvaloukkaus. Ilmoitusta ei kuitenkaan tarvitse tehdä, jos loukkaus ei todennäköisesti vaaranna heitä, esimerkiksi jos varastetut tiedot on salattu.



Vastuullisuus ja hallinto

Toinen osa “suunniteltua ja oletustietosuojaa” on varmistaa, että joku organisaatiossasi on vastuussa GDPR:n noudattamisesta. Tällä henkilöllä tulisi olla valtuudet arvioida tietosuojakäytäntöjä ja niiden täytäntöönpanoa.

Tämä sisältää kaikki kolmannen osapuolen palvelut, jotka käsittelevät rekisteröityjen henkilötietoja, mukaan lukien analytiikkaohjelmistot, sähköpostipalvelut, pilvipalvelimet jne. Suurimmalla osalla palveluista on tavallinen tietojenkäsittelysopimus, joka on saatavilla heidän verkkosivuillaan, ja voit tarkastella niitä. Näissä sopimuksissa kuvataan kunkin osapuolen oikeudet ja velvollisuudet liittyen GDPR:n noudattamiseen. Sinun tulee käyttää vain luotettavia kolmansia osapuolia, jotka voivat antaa riittävät takuut tietosuojasta.

Jos käsittelet tietoja, jotka koskevat henkilöitä tietyssä jäsenvaltiossa, sinun on nimettävä edustaja kyseiseen maahan. Edustaja voi kommunikoida puolestasi tietosuojaviranomaisten kanssa. GDPR ja sen viralliset tukiasiakirjat eivät anna ohjeita tilanteissa, joissa käsittely vaikuttaa EU kansalaisiin useissa jäsenvaltioissa. Ennen kuin tämä vaatimus on selvästi tulkittu, on viisasta nimittää edustaja johonkin jäsenvaltioon, jossa puhutaan kieltäsi. Huomioithan, että jotkut organisaatiot, kuten julkiset organisaatiot, eivät ole velvollisia nimittämään edustajaa EU.

On kolme tapausta, joissa organisaatioilla on oltava tietosuojavastaava (DPO), mutta sellainen on hyvä olla, vaikka sääntö ei koske sinua. Tietosuojavastaavan tulee olla tietosuoja-asiantuntija, jonka tehtävänä on valvoa GDPR:n noudattamista, arvioida tietosuojariskejä, neuvoa tietosuoja-arvioinneissa ja tehdä yhteistyötä valvontaviranomaisten kanssa. Lue siitä lisää täältä

Linkki tietosuojavastaavalle



Yksityisyyden suoja

Ihmisillä on oikeus nähdä, mitä henkilötietoja sinulla on heistä ja miten käytät niitä. Heillä on myös oikeus tietää, kuinka kauan aiot säilyttää heidän tietojaan ja miksi niitä säilytetään tänä aikana. Sinun on lähetettävä heille ensimmäinen kopio näistä tiedoista maksutta, mutta voit periä kohtuullisen maksun myöhemmistä kopioista. Varmista, että voit vahvistaa tietoja pyytävän henkilön henkilöllisyyden. Sinun pitäisi pystyä vastaamaan tällaisiin pyyntöihin kuukauden kuluessa.

Pyri pitämään tiedot ajan tasalla luomalla tietojen laatuprosessi ja varmista, että asiakkaidesi on helppo tarkastella ja päivittää henkilökohtaisia ​​tietojaan tarkkuuden ja täydellisyyden vuoksi. Varmista, että voit vahvistaa tietoja pyytävän henkilön henkilöllisyyden. Sinun pitäisi pystyä vastaamaan pyyntöihin kuukauden sisällä.

Linkki artikkeliin 15
Linkki artikkeliin 16

Ihmisillä on yleensä oikeus pyytää sinua poistamaan kaikki hallussasi olevat henkilötiedot, ja sinun on täytettävä heidän pyyntönsä noin kuukauden kuluessa. Voit hylätä pyynnön viidestä syystä, kuten sananvapauden käyttämisestä tai lakisääteisen velvoitteen noudattamisesta. Sinun tulee myös yrittää varmistaa pyynnön esittäneen henkilön henkilöllisyys.

Rekisteröidyt voivat pyytää tietojensa käsittelyn rajoittamista tai lopettamista tietyistä syistä, erityisesti jos on epäilyksiä käsittelyn laillisuudesta tai tietojen oikeellisuudesta. Sinun on täytettävä heidän pyyntönsä noin kuukauden kuluessa. Vaikka käsittely on rajoitettua, voit silti säilyttää heidän tietojaan, mutta sinun tulee ilmoittaa rekisteröidylle ennen kuin alat jälleen käsitellä hänen tietojaan.

Tämä tarkoittaa, että sinun on voitava lähettää heidän henkilötietonsa yleisesti luettavassa muodossa (esim. laskentataulukkona) joko itselleen tai heidän nimeämälleen kolmannelle osapuolelle. Tämä voi tuntua epäreilulta liiketoiminnan kannalta, koska saatat joutua luovuttamaan asiakkaidesi tiedot kilpailijalle. Mutta yksityisyyden näkökulmasta ajatus on, että ihmiset omistavat tietonsa, et sinä.

Jos käsittelet heidän tietojaan suoramarkkinointitarkoituksiin, sinun tulee välittömästi lopettaa käsittely tähän tarkoitukseen. Muussa tapauksessa saatat pystyä riitauttamaan heidän vastalauseensa, jos voit osoittaa “pakottavia oikeutettuja syitä”.

Jotkut organisaatiotyypit käyttävät automatisoituja prosesseja auttaakseen tekemään päätöksiä ihmisistä, joilla voi olla oikeudellisia tai ‘yhtä merkittäviä’ seurauksia. Jos uskot, että tämä koskee sinua, sinun on luotava menettely, joka varmistaa, että suojaat heidän oikeuksiaan, vapauksiaan ja oikeutettuja etujaan. Sinun on myös tehtävä ihmisille helpoksi pyytää väliintuloa, ilmaista mielipiteensä päätöksistä ja kyseenalaistaa tekemäsi päätökset.

Onnittelut!

Olette saavuttaneet merkittävän tavoitteen, mikäli olette käyneet huolellisesti läpi GDPR-tarkistuslistan. Tämä toimenpide on huomattavasti vähentänyt altistumistanne oikeudellisille seuraamuksille.

Haluamme kuitenkin korostaa, että tämä tarkistuslista ei ole oikeudellinen neuvonta. GDPR ä on lukuisia säännöksiä, jotka soveltuvat ainoastaan tietyissä olosuhteissa, ja niiden käsittely tässä kontekstissa voisi olla haitallista. Suosittelemme, että varmistatte asiantuntevalta asianajajalta, että organisaationne on täysin GDPR-yhteensopiva.

033-document-1.png
Ota meihin yhteyttä

Yhteistyö kanssamme takaa teille kattavan ja nykyaikaisen tietoturva suojaksen

Vastaamme mielellämme kaikkiin kysymyksiisi ja autamme sinua löytämään tarpeitasi parhaiten vastaavat palvelut.

Soita meille: 0 2744677

Meidän etumme:

  • Asiakaslähtöisyys
  • Suvereeni
  • Pätevyys
  • Tuloksellisuus
  • Ongelmanratkaisu
  • Läpinäkyvyys

Mitä tapahtuu seuraavaksi?

1

Ehdotamme, että sopisimme puhelinajan, joka olisi teille sopiva.

2

Suunnittelemme kyselyn, jonka avulla voimme kerätä tarpeelliset tiedot ja näkökulmat.

3

Kyselyn tulosten perusteella laadimme ehdotuksen, joka vastaa tarpeitanne.

Varaa ilmainen konsultaatio

Contact FI