GDPR eli EU:n tietosuojauudistus - asiakkaiden ja palveluntarjoajien toimet ja vastuut

Yleistä uudistuksesta

EU:n tietosuojalainsäädäntö uudistui yleisen tietosuoja-asetuksen tullessa voimaan 25.5.2016. Tietosuoja-asetuksen soveltaminen alkaa 25.5.2018, jolloin henkilötietojen käsittelyn tulee olla toteutettu tietosuoja-asetuksen mukaisesti. Olemme Creamailerissa valmistautuneet muutokseen hyvissä ajoin.

Uuden tietosuoja-asetuksen tarkoituksena on yhdenmukaistaa EU:n jäsenvaltioiden tietosuojaa koskevat säännökset ja ajantasaistaa tietosuoja teknologisen kehityksen ja globalisaation vaateiden mukaiseksi. Asetuksen tarkoituksena on myös lisätä henkilötietojen käsittelyn läpinäkyvyyttä, vahvistaa rekisteröityjen oikeuksia ja valvoa henkilötietojen käsittelyä. 

Tietosuoja-asetus päivittää nykyistä, Suomessa henkilötietolakiin perustuvaa tietosuojasääntelyä, lisäämällä sääntelyn määrää. Vaikka tietosuoja-asetus rakentuu henkilötietolaissa olevien tuttujen periaatteiden varaan, tulee henkilötietoja käsittelevien tahojen vastuu kasvamaan, yksilön oikeudet vahvistumaan ja tietosuojaviranomaisten toimivalta lisääntymään. Näin ollen uusi tietosuoja-asetus luo uusia velvotteita rekisterinpitäjälle ja oikeuksia rekisteröidylle. 

Uusi tietosuoja-asetus koskee kaikkia julkisella ja yksityisellä sektorilla toimivia organisaatioita ja toimijoita, jotka käsittelevät henkilötietoja. Asetusta sovelletaan tietyissä tilanteissa myös EU:n ulkopuolelle sijoittuneisiin organisaatioihin. Tällaisia ovat esim. yritykset, jotka tarjoavat palveluita EU:ssa oleville kuluttajille. 

Mitä uudistus merkitsee Creamailerin asiakkaille?

Tietosuoja-asetuksen mukaan asiakkaillamme (rekisterinpitäjillä) on velvollisuus valita yhteistyökumppanikseen toimija, joka noudattaa hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla. Tämän lisäksi yhteistyökumppanin tulee täyttää tietosuoja-asetuksen vaatimukset ja pystyä huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Lisäksi tulee varmistaa, että toimija mm.:

• Käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tähän sisältyy myös henkilötietojen käsittelyyn liittyvät tietojen siirrot ja sijainnit. 
   
• Noudattaa salassapitovelvollisuutta.
   
• Toteuttaa tietoturvallisuutta henkilötietojen käsittelyssä tietosuoja-asetuksen vaatimilla toimenpiteillä.
   
• Ei ulkoista henkilötietojen käsittelyä ilman rekisterinpitäjän ennakkosuostumusta.
   
• Auttaa rekisterinpitäjää rekisteröidyn oikeuksien toteuttamisessa.
   
• Auttaa rekisterinpitäjää tietoturvallisuuden toteuttamisessa, henkilötietojen tietoturvaloukkausten havaitsemisessa ja niistä ilmoittamisessa sekä vahinkojen minimoinnissa ja vaikutustenarviointien tekemisessä.
   
• Joko poistaa tai palauttaa henkilötiedot rekisterinpitäjälle käsittelypalvelujen päättyessä. Toimijan tulee myös poistaa niistä hallussaan olevat kopiot.
   
• Toimijan tulee saattaa rekisterinpitäjän saataville kaikki sellaiset tiedot, jotka ovat tarpeen asetuksen velvollisuuksien noudattamisen osoittamista varten. 
   
• Rekisterinpitäjän velvollisuuksiin kuuluu pitää kirjaa kaikista henkilötietojen käsittelytoimista. Tähän velvollisuuteen kuuluu tieto kaikista henkilötietojen käsittelijöistä, joille käsittelytoimia on ulkoistettu sekä inventaario kyseisten käsittelijöiden kanssa tehdyistä sopimuksista. Sopimusvaatimuksia tulee hallita ja tehdä niihin tarvittaessa tarkennuksia tai muutoksia esimerkiksi henkilötietojen käsittelyn riskiarvion muuttuessa.   

Creamailerin toimet ja vastuut

Creamailer Oy toteuttaa toiminnassaan tietosuoja-asetuksen määräyksiä ja velvollisuuksia. Meillä on räätälöity tietosuojariskien hallintaprosessi, joka arvio henkilötietojen tms. käsittelyyn liittyviä riskejä sekä riskeihin liittyviä ja niiden vaativia toimenpiteitä. 

Tietosuoja on kiinteänä osana kehitystyötämme. Kehitystyössä huomioidaan vaikutustenarviointi, joka kohdistuu esimerkiksi tietosuojaa koskevien elementtien tietoturvatestaukseen. Tietosuoja on sisällytetty myös järjestelmä- ja sovelluskehitykseen sekä projektihallintaan. Kehitystyössä otetaan huomioon työvaiheet, jossa analysoidaan kunkin palvelun osa-alueen tietosuojavaatimukset. Tekninen toteutus suunnitellaan niin, että se täyttää vaadittavat tietoturvavaatimukset. 

Henkilökuntamme pysyy tietoturva-asioissa ajan tasalla kouluttautumalla sekä erilaisten verkostoyhteistöiden kautta. Tietoturva-asiat, kuten salaukset ja muut tietoturvaan liittyvät käytänteet, päivitetään aina ajan vaatimusten mukaisiksi. 

Creamailer-palveluun tuotujen tietojen käsittely on turvattua teknisin ja organisatorisin toimenpitein. Palveluun tuodut tiedot on turvattu ja suojattu muun muassa siirron, tallennuksen ja käsittelyn aikana tuhoamiselta, muuttamiselta, luovuttamiselta sekä pääsyltä. Asiakkaan Creamaileriin lisäämä data on ainoastaan asiakkaan käytettävissä, eikä Creamailer käytä itse, lainaa, vuokraa tai myy tietoja kolmansille osapuolille. Tämä ei kuitenkaan koske sähköpostiosoitteen virheellisyyteen ja roskapostimerkkauksien kautta kertyviä tietoja, joita meillä on lupa käyttää käyttöehtojen vastaisen toiminnan seuraamisen ja sekä palvelun laadun takaamiseen. 

Asiakastietoja käytetään vain asiakassuhteen hoitamiseen eikä Creamailer lainaa, vuokraa tai myy tietoja kolmansille osapuolille. 

Yrityksen tietosuojavastaavana toimii ohjelmistokehittäjä Jami Pietilä.

Creamailerin tietoturva pähkinänkuoressa

• Alan parhaiden toimijoiden hyödyntäminen niin tietoturvan kuin toimintavarmuudenkin suhteen.
   
• Uusimman tekniikan käyttäminen ja alalla tapahtuvien muutosten ja tietoturvarikkomusten seuraaminen.
   
• Tietovälineiden turvallinen huolto ja hävittäminen, jolloin tietoja ei päädy kolmansille osapuolille.
   
• Turvalliset palomuurit, verkkojen eriyttäminen, palvelinten kovennukset sekä siirtoväylien salaus.
   
• Palvelun tiedot sijaitsevat EU:n sisäisillä, turvallisilla palvelimilla. Toiminnassa noudatetaan Suomen ja EU:n lakeja ja asetuksia. Palvelinkeskuksen tilat täyttävät Viestintäviraston korkeimman tärkeysluokan 1 vaatimukset: Viestintävirasto 54 B/2014 M (Määräys viestintäverkkojen ja -palvelujen varmistamisesta sekä viestintäverkkojen synkronoinnista).
   
• Tietoturvallisuudesta huolehtiminen ja muutostenhallinta järjestelmien päivitysten yhteydessä.
   
• Palvelujen kahdentaminen käyttökatkojen minimoimiseksi.
   
• Palveluun kirjautuminen suojatun yhteyden kautta.
   
• Henkilöstön osaamisen ylläpitäminen erilaisin koulutuksin ja ohjeistuksin. Henkilökunnalla on vaitiolo- ja salassapitovelvollisuus.
   
• Tietoturvallisuuteen vaikuttavien poikkeamien monitorointi ympäristössä. Henkilökunta on koulutettu selvittämään poikkeaman syyt, seuraukset ja vaikutukset sekä estämään poikkeaman leviäminen.
   
• Creamailerilla on nimetty tietoturvavastaava, joka huolehtii tietoturvan hallintatehtävistä. Tietoturvavastaava huolehtii myös tietoturvan mittaamisesta, todentamisesta ja kehittämisestä.

Tietojen poistaminen

Kaikki asiakkaan tiedot poistetaan välittömästi palvelusta mikäli asiakas sitä kirjallisesti pyytää. Asiakastiedot poistetaan myös palvelusuhteen päättyessä. Laskutusyhteystiedot säilytetään sopimuskauden ajan.

Lue Creamailerin tietotilinpäätös.

Lisätietoja: Tietosuojavaltuutetun toimisto , Valtiovarainministeriö, Oikeusministeriö 

Lue myös: 

• GDPR eli EU:n tietosuoja-asetus - Markkinoijan, viestijän ja asiakkaan näkökulmat
• Miten Creamailer auttaa huomioimaan GDPR:n tuomat postituslistoja koskevat velvoitteet?
• Suoramarkkinointi ja rekisterin ylläpitäminen - laki ja hyvät käytänteet