GDPR – yrittäjien tärkeimmät haasteet

Palvelus

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46/EY kumoamisesta, Yleisesti nimitetty GDPR on epäilemättä vuoden kuumin aihe. Tämä asetus tulee voimaan 25.5.2018. Mitä haasteita GDPR tuo yrittäjille?

Keneen GDPR vaikuttaa?

GDPR koskee jokaista henkilötietoja käsittelevää tahoa – käytännössä se on siis jokainen yrittäjä, niin suuri osakeyhtiö tai osakeyhtiö kuin yksityinen elinkeinonharjoittaja (esim. tilitoimistot, verkkokaupat, kampaajat, kauneushoitolat) salongit jne.) tukkukauppiaat, lääkärin vastaanotot, kaikki työntekijöitä työllistävät yksiköt).

Mitä henkilötiedot ovat?

Henkilötiedot ovat GDPR:n mukaisia ​​kaikkia tietoja, jotka mahdollistavat henkilön tunnistamisen, eikä siis vain etu- ja sukunimi ja asuinpaikka tai PESEL- tai NIP-numero, vaan myös sähköpostiosoite, IP-numero, ääni ja kuva. henkilö (jos kyseessä ovat ääni- ja videotallenteet). GDPR-menettelyt eivät koske vainajan tietoja, eli kivipajoja pitävän tai hautauspalveluja tarjoavan yrittäjän ei tarvitse ottaa käyttöön suojamääräyksiä vainajan henkilötietojen suhteen (he kuitenkin luonnollisesti käsittelevät ja tallentavat asiakkaiden tietoja tiettyjen palvelujen suorittamisen tilaaminen).

Mitä muutoksia GDPR tuo?

EU:n asetus ei ole selkeä ja vaatii siksi yrittäjiltä hieman luovuutta, jota tietysti rajoittavat GDPR:n säännökset. Tarkastuksen yhteydessä yrittäjän on osoitettava, kuinka hän suojaa henkilötietoja. Jokaisen yrittäjän tulee ensin analysoida, mitä työntekijöiden tai asiakkaiden henkilötietoja hänellä on, miten hän on käsitellyt niitä tähän mennessä, missä muodossa hän on tallentanut, onko hän saanut asiakkailta tai työntekijöiltä suostumuksen näiden henkilötietojen käsittelyyn ja tämän seurauksena Valitse tässä analyysissä sellaiset ratkaisut, jotka takaavat optimaalisen tietosuojan. Yrittäjä voi myös tilata auditoinnin sovellettujen turvatoimien ja tarvittavien muutosten osalta, mikä vaikuttaa järkevältä ja perustellulta ratkaisulta.

Tietojenkäsittelysopimus

Yksi tärkeimmistä GDPR:ään liittyvistä kysymyksistä on velvollisuus hankkia niiden käsittelyyn ja säilyttämiseen suostumus henkilöltä, jonka tietoja yrittäjä käsittelee. Tärkeää on, että tämä suostumus on annettava ennen toimenpiteen suorittamista ja sen tulee olla nimenomaista - siksi lausunnon sisältö on suositeltavaa laatia asiakkaalle yksinkertaisessa muodossa. Puolan henkilötietojen suojasta annetun lain luonnoksen mukaan henkilö voi antaa suostumuksensa täytettyään 13 vuotta, joten teini-ikäisen asiakkaan ei tarvitse kysyä omaa oikeustoimikelpoisuuttaan huolimatta vanhemmille suostumuksen saamiseksi heidän puolestaan. Asiakkaalle on myös kerrottava selkeästi mahdollisuudesta poistaa hänen henkilötietonsa yrittäjän tietojoukosta.

Toimeksiantosopimukset

Jos yrittäjä käyttää muiden yritysten palveluita (esim. IT-yritykset, tilitoimistot, koulutusyritykset, kuriiripalvelut), yrittäjän tulee tehdä sopimukset henkilötietojen käsittelyn uskomisesta. Tällaisen sopimuksen tulee olla kirjallinen ja sisältää tiedot sen kestosta, tietojenkäsittelyn kohteesta ja niiden tyypistä, käsittelyn tarkoituksesta ja henkilöryhmistä, joiden tietoja käsitellään, sekä tietojen käsittelijän ja rekisterinpitäjän velvollisuuksista ja oikeuksista. .

Asiakirjojen valokopioiden säilytys

Valtaosassa yrityksistä yleinen käytäntö oli pitää työntekijöiden arkistoissa valokopiot henkilökorteista, ajokorteista tai opiskelijakorteista. Tällaisia ​​käytäntöjä ei pitäisi hyväksyä pelkästään GDPR:n näkökulmasta, vaan myös henkilötietojen ylitarkastajan toistuvasti ilmaisemien huolenaiheiden vuoksi (esim. teleyritysten osalta, mutta myös yrittäjiä, jotka pitävät yllä hotelleja ja maatilamatkailulaitoksia tai kilpailujen ja myynninedistämiskampanjoiden järjestäminen kuluttajille) koskien näiden kopioiden mahdollista luvatonta käyttöä. GIODO:n mielestä pelkkä henkilöllisyystodistuksen esittäminen pitäisi riittää. Uusien GDPR-säädösten valossa herää kysymys, mitä tehdä yrittäjien hallussa jo oleville henkilöllisyystodistusten valokopioille. Asianmukaisin ratkaisu näyttää olevan niiden tuhoaminen, jolloin työntekijän henkilökansioon jätetään muistiinpano, jossa ilmoitetaan tuhoamisen päivämäärä ja syy. Tämäntyyppiset huomautukset ovat erityisen tärkeitä tiedostoissa, joiden sivut on numeroitu. Tuhotut valokopiot tulee korvata työntekijän henkilötiedoistaan ​​antamilla lausunnoilla tai työnantajayrityksen henkilöstöhallinnosta vastaavan työntekijän lausunnoilla siitä, että henkilöllisyystodistus on esitetty ja se on yhdenmukainen työntekijän muiden antamien tietojen kanssa.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Rekisteri tietojenkäsittelytoimista

GDPR asettaa joillekin yrittäjille (esim. yli 250 työntekijää työllistäville, arkaluonteisia tietoja käsitteleville tai oikeuksia ja vapauksia uhkaavalla tavalla käsitteleville) velvollisuuden pitää rekisteriä tietojenkäsittelytoimista. Tämän velvoitteen epätarkan sanamuodon vuoksi ("oikeuksien ja vapauksien uhka") on suositeltavaa, että jokainen yrittäjä pitää tällaista rekisteriä, kuten jokaisen yrittäjän tulisi harkita henkilötietojen tarkastajan nimeämistä. Tämä on tarpeen esimerkiksi arkaluonteisia tietoja käsittelevien yrittäjien tapauksessa. Arkaluonteiset tiedot ovat erityinen tietoluokka, esimerkiksi terveydestä, seksuaalisesta suuntautumisesta, uskonnollisista vakaumuksista ja poliittisten puolueiden jäsenyydestä. Henkilötietojen tarkastaja voi olla yrittäjän palveluksessa oleva työntekijä, ellei kyseessä ole esimerkiksi tietojärjestelmän turvallisuudesta vastaava työntekijä. Se voi olla myös kolmas osapuoli, joten yrittäjä voi ulkoistaa tämän palvelun. Tällöin yrittäjän tulee kuitenkin varmistaa, syntyykö henkilötietojen tarkastajan tehtävää hoitavan tahon asiakkaiden välillä eturistiriitaa.

Pilveen tallennettujen tietojen suojaus

Jos yrittäjä käyttää IT-järjestelmiä (esim. nettisivut, verkkokauppa, sosiaalinen media), hänen tulee ottaa käyttöön asianmukaiset järjestelmät, jotka varmistavat tällä tavalla lähetettyjen tietojen turvallisuuden. Erityiset haasteet koskevat yrittäjiä, jotka käyttävät ns pilvijärjestelmät, joissa tietoja ei tallenneta levyille yrittäjän tiloissa. Tässä tapauksessa yrittäjän tulee ottaa yhteyttä IT-palveluntarjoajaan ja yhdessä arvioida, miten henkilötiedot on suojattu ja mitä muutoksia tulisi tehdä. Yrittäjä ei myöskään saa käyttää ilmaisia ​​sähköpostipalvelimia, koska tällöin hän on erityisen alttiina mahdollisille hakkerointihyökkäyksille ja tietovarkauksille. Tästä syystä on suositeltavaa, että kaikki yrittäjät hankkivat sähköpostipalvelimen ja palvelimen tiedostojen tallentamiseen, jotka on varustettu asianmukaisilla suojausvarmenteilla sekä mahdollisten tiedostojen lähettämisessä - suojata ne asiakkaalle tai työntekijälle annetulla salasanalla. erillinen viesti. Myös suosituissa portaaleissa yritysblogeja pitävän yrittäjän kannattaa tarkistaa, ovatko käyttäjien – näiden blogien lukijoiden – henkilötiedot turvassa ja miten.

GDPR yrityspuhelimissa

Mielenkiintoisena ongelmana näyttää olevan yrittäjän työntekijöiden työpuhelinten käyttö, ratkaisu, joka on yleinen ja läsnä lähes jokaisessa yrityksessä. Myös puhelimen muistiin tallennetut yhteystiedot ja tiedot tulee suojata GDPR:n määräysten mukaisesti, eikä itse PIN-koodia vaativaa näytön lukitusta voida pitää riittävänä suojausmenetelmänä. Tästä syystä työnantajan tulee herkistää työntekijänsä olemaan asentamatta heille uskottuihin kameroihin tuntemattomia sovelluksia, jotka voivat varastaa niille tallennetut tiedot.Mikäli mahdollista, yrittäjien kannattaa panostaa myös sovelluksiin, jotka salaavat tietoja ja suojaavat puhelimia luvattomalta häiriöltä.

Mitkä ovat GDPR-asetuksen noudattamatta jättämisen riskit?

GDPR:n määräysten noudattamatta jättäminen voi johtaa vahingonkorvausvastuuseen henkilöille, joiden tiedot on luovutettu, rikosoikeudelliseen vastuuseen ja ennen kaikkea hallinnolliseen vastuuseen. Asetuksessa säädetään korkeista sakoista uusista määräyksistä johtuvien velvoitteiden laiminlyönnistä. Lisäksi henkilötietoja tallentavan ja käsittelevän tahon tulee ilmoittaa GDPR:n rikkomuksista henkilötietosuojaviraston pääjohtajalle 72 tunnin kuluessa. Tämä tarkoittaa, että esimerkiksi yrittäjän käyttämälle palvelimelle murtautuessa tai muussa henkilötietojen vuotamisessa yrittäjän on ryhdyttävä erityisiin turvatoimiin.