GDPR, asetus henkilötietojen suojasta ja vaikutuksista pieniin yrityksiin

Palvelus

GDPR on osoitettu kaikille yrityksille, joille henkilötietoja luovutetaan. Uudistus antaa EU:n kansalaisille mahdollisuuden hallita tietoja. EU-kansalaisen tulee olla varma mm. ankarien rangaistusten kautta, että hänen tietojaan suojellaan. GDPR:ää sovelletaan kaikissa EU-maissa 25. toukokuuta 2018 alkaen. Teksti löytyy Euroopan unionin virallisesta lehdestä L 2016, nro 119, s. 1.

GDPR - uudet määräykset

GDPR:n lähestyvän voimaantulopäivän vuoksi pienten ja keskisuurten yritysten omistajien keskuudessa on lukuisia kysymyksiä ja epäilyksiä niiden uusien säännösten soveltamisalasta. GDPR:n säännökset tuovat monia muutoksia lähestymistapaan henkilötietojen suojaan, mukaan lukien: tarve ottaa henkilötietojen suoja huomioon jo IT-ratkaisujen suunnitteluvaiheessa, velvoite pitää rekisteriä henkilötietojen käsittelytoimista, velvollisuus analysoida yrittäjän toiminnan vaikutuksia henkilötietojen suojaan, velvollisuus ilmoittaa valvontaviranomaiselle henkilötietosuojasääntöjen rikkomisesta.

GDPR:n säännökset koskevat kaikkia yrittäjiä, jotka osana liiketoimintaansa käsittelevät (eli myös tallentavat) henkilötietoja (mukaan lukien etu- ja sukunimi, verotunniste, sähköpostiosoite jne.) millään tavalla henkilöitä (esim. heidän asiakkaitaan) riippumatta siitä, onko heillä työntekijöitä vai ei. Esimerkiksi yrittäjä, joka hoitaa yhden hengen tilitoimistoa, jonka alaisuudessa asuu muita yhden hengen yrittäjiä, on velvollinen soveltamaan GDPR:n säännöksiä, koska tilitoimisto käsittelee asiakkaidensa (selvittämiensä yrittäjien) henkilötietoja, mutta myös asiakkaidensa urakoitsijoiden henkilötiedot (laskuasiakkaiden sisältämät henkilötiedot). Se voi olla toimintaa missä tahansa oikeudellisessa muodossa: yritys, yksityinen elinkeinonharjoittaja tai jopa EU:n ulkopuolelle sijoittautuneen yrittäjän sivuliike EU:ssa, mutta käsiteltävien henkilöiden kansalaisuudella ja palvelimien sijainnilla ei ole merkitystä.

GDPR:n alaiset toiminnot

GDPR:n alaisia ​​toimia ovat henkilötietojen käsittely, joka koostuu tietojen keräämisestä, tallentamisesta, poistamisesta, käsittelystä ja jakamisesta. Rekisterinpitäjä on X, joka harjoittaa yksityistä yritystä, osakeyhtiötä, ei sen hallituksen puheenjohtaja tai markkinointijohtaja. Toimintarekisteriä ei tarvitse pitää alle 250 henkilöä työllistävien yrittäjien, paitsi jos: käsittely voi loukata rekisteröityjen oikeuksia tai vapauksia, se sisältää erityistietoluokkia tai rikostuomioita koskevia tietoja, se ei ole satunnaista luontoa.

GDPR ei aseta erityisiä ohjeita menettelyistä, joita yrityksen on noudatettava tietosuojan suhteen. Suoja voidaan tarjota erilaisilla toimenpiteillä, jotka sopivat yrityksen profiiliin. Yrittäjän tehtävänä on kehittää markkinatilannetta ja toimintaprofiilia vastaava kattava tietosuojamalli. Näiden oletusten toteuttamisen yhteydessä tarkistetaan, onko asianmukaisia ​​menettelyjä sovellettu ja onko kuluttajan etu asianmukaisesti turvattu. GDPR-vaatimusten mukaan yritysten on annettava asiakkaille erittäin yksityiskohtaista tietoa henkilötietojensa käsittelystä ja pyydettävä suostumus tietojen käyttämiseen tietyn liiketoimintaprosessin yhteydessä. Jokainen suostumus tietojen käsittelyyn tulee luonnehtia seuraavilla ominaisuuksilla:

  • vapaaehtoisuus,

  • spesifisyys,

  • tietoisuus,

  • yksiselitteisyys.

GDPR:n mukaan suostumus voi olla ilmoituksen lisäksi myös selkeä myönteinen toimenpide. Suostumusmuodot ovat kirjallinen, sähköinen tai suullinen lausunto. On erittäin tärkeää, että ilmaistaan ​​selkeästi, että hiljaisuutta, oletusarvoisesti valittuja ruutuja tai toimettomuutta ei tule tulkita suostumuksena. Suostumuksen antaneelle tulee toimittaa tiedot eli rekisterinpitäjän henkilöllisyys, yhteystiedot ja käsittelyn aiotut tarkoitukset, suunniteltu säilytysaika. Sinun tulee myös ilmoittaa oikeudesta pyytää rekisterinpitäjältä pääsy henkilötietoihisi, oikaista ne, poistaa ne, rajoittaa käsittelyä, vastustaa käsittelyä sekä oikeudesta siirtää tietoja. Jos käsittely tapahtuu suostumuksen perusteella - ilmoita oikeudesta peruuttaa suostumus milloin tahansa ja oikeudesta tehdä valitus valvontaelimelle (nämä laajat tiedotusvelvollisuudet jätetään pois alle 250 henkilöä työllistävien yrittäjien osalta , käsittelee elinkeinotoiminnan käyttämiseksi, erityisesti sopimusten tekoa ja kirjanpitoa varten tarvittavia henkilötietoja). Tästä syystä suostumus ei ole abstraktia. Uusien säännösten mukaan on mahdollista saada yksi suostumus henkilötietojen käsittelyyn useaan eri tarkoitukseen. Tietovelvollisuudet henkilötietojen käsittelyyn suostumuksessa ovat ns suostumuslauseke tietojen käsittelyyn. Sitä ei vaadita esimerkiksi silloin, kun tietojenkäsittely on tarpeen sopimuksen toteuttamiseksi (kirjojen postimyynti Internetin kautta - tietojen käsittely tapahtuu GDPR:n mukaisesti myyntisopimuksen toteuttamisen edellyttämällä tavalla), kun käsittely on tarpeen ylläpitäjän lakisääteisen velvoitteen täyttämiseksi (esim. suostumusta ei tarvita) tai käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseksi (esim. maksukanteen nostaminen epärehellistä asiakasta vastaan ​​ei edellytä hänen suostumustaan tietojen käsittelyyn).

Huomio!

Suostumus vaaditaan kaupallisten tietojen lähettämiseen sähköisen viestinnän keinoin (mainokset) tai telepäätelaitteiden käyttämiseen suoramarkkinointitarkoituksiin (esim. tekstiviestit mainossisällöllä). Profilointi edellyttää aina tiedottamista ihmisille, joihin tämä prosessi vaikuttaa, esimerkiksi henkilöille, jotka on valittu automaattisesti tietyn verkkosivuston toiminnan perusteella.

Yksi suurimmista haasteista tulee olemaan ns oikeus tulla unohdetuksi, mikä tarkoittaa, että henkilötiedot, jotka sitä haluavat, jos jokin ehdoista täyttyy (esim. henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty, vastustaminen, suostumuksen peruuttaminen, lain rikkominen ) on poistettava kokonaan järjestelmänvalvojan järjestelmistä. Tämä koskee myös kopioita, linkkejä, viitteitä ja paperidokumentaatiota, kuten asiakirjojen tulosteita tai skannauksia. Jos nämä tiedot on aiemmin saatettu saataville tai ne on siirretty Internetiin, ylläpitäjän on varmistettava, että kaikki kopiot ja linkit poistetaan, vaikka ne olisivat jo muiden tahojen hallussa. GDPR tarjoaa myös oikeuden tietojen siirrettävyyteen. Se voidaan suorittaa vain, jos: tietojenkäsittely perustuu suostumukseen tai sopimuksen täyttämiseen ja kun se tapahtuu automatisoidusti, se ei sisällä perinteisiä paperitiedostoja.

Tärkeä!

Useimpien yrittäjien toiminnassa henkilötietojen käsittely on uskottu (esim. tilitoimiston palvelujen käyttö, sähköpostipalveluita tarjoavan verkkosivuston palvelut). Pyynnöstä henkilötietoja käsittelevän tahon tulee tehdä rekisterinpitäjän kanssa asianmukainen toimeksiantosopimus (kirjallisessa tai sähköisessä muodossa), jossa määritellään tietojen käsittelyn säännöt. Valitse sertifioitu taho. Varmenteet myönnetään sertifioidun tahon suorittaman tietojenkäsittelyn vaatimustenmukaisuuden osoittamiseksi.

Jokaisessa yrityksessä on laadittava turvallisuussäännöt:

HENKILÖKOHTAINEN JA ORGANISAATIOTURVALLISUUS

  • ottaa käyttöön turvamenettelyt yrityksessä ja noudattaa niitä,

  • velvollisuus pitää rekisteriä tietojenkäsittelytoimista,

  • työntekijöiden asianmukainen koulutus,

  • sisäinen valvontajärjestelmä, tietovuotojen raportointi.

IT-TURVALLISUUS

  • yrityksen IT-järjestelmien turvallisuus ja valvonta sekä arkaluonteisten tietojen pääsynvalvonta,

  • turvallisuuden seuranta.

FYYSINEN TURVALLISUUS

  • tilojen turvaaminen,

  • paperidokumenttien turvaaminen,

  • huoneen kulunvalvonta.

Tietosuojatoimiston työntekijän on arvioitava, onko hänet valittu oikein. On ehdottomasti suositeltavaa kouluttaa työntekijät asianmukaisesti ja tehdä heistä arkaluonteisia, jotta he käsittelevät vastaanottamiaan tai jakamiaan tietoja huolellisesti. Tietojen siirto pilveen voi olla ratkaisu monille yrityksille. Jos henkilötietoja on loukattu, esimerkiksi hakkerointihyökkäyksen seurauksena, yrityksen on välittömästi ilmoitettava tästä tietosuojavaltuutetulle, vahingossa tai laittomassa tuhoutumisessa tai katoamisessa, muuttamisessa henkilötiedoista, luvatta luovuttamisesta, luvatta pääsystä lähetettyihin, tallennettuihin tai käsiteltyihin henkilötietoihin, on velvollisuus ilmoittaa tietoturvaloukkauksista. Aikaa siihen on vain 72 tuntia. Tämä uusi velvoite edellyttää tapahtuneen tietoturvaloukkauksen tunnistamisen lisäksi myös menettelyjen valmistelua tietosuojapoikkeamiin reagoimiseksi (tapaturmailmoitusvelvollisuus on poissuljettu alle 250 henkilöä työllistävien yrittäjien osalta, jotka käsittelevät liiketoiminnan käyttämiseen tarvittavia henkilötietoja toimintaa, erityisesti sopimusten tekemiseen ja kirjanpitoon).

Tämä kannattaa tehdä, koska on muistettava, että yrityksen laiminlyönnistä määrätään ankarat seuraamukset - enintään 20 miljoonaa euroa tai enintään 4 % yrityksen vuosittaisen globaalin liikevaihdon arvosta. Ne määrätään suhteellisesti rikkomisen laajuuden mukaan.

GDPR:n oletetaan olevan teknologisesti neutraali, joustava ja antaa yrittäjille enemmän toimintavapautta, minkä vuoksi se sisältää vain yleisiä määräyksiä. Sinun on totuttava tähän henkilötietojen suojaamista koskevan lähestymistavan muutokseen ja organisoitava asianmukaisesti käsittelyprosessit pienessäkin yrityksessäsi.Renata Sobolewska