1. Mikä on EU:n yleinen tietosuoja-asetus?
Euroopan unionin uusi yleinen tietosuoja-asetus (General Data Protection Regulation eli GDPR) tiukensi henkilötietojen käsittelyvaatimuksia 25.5.2018 sekä toi yrityksille uusia velvoitteita. Asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa, joka on kaikille kuuluva perusoikeus.
- Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) asettama asiantuntijaryhmä julkaisee tietosuojaa ja tietoturvallisuutta edistäviä videokoulutuksia ja nettitestejä, joihin pääset tutustumaan täältä: https://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit
- Tietosuojavaltuutetun verkkosivuilta löytyy paljon yleishyödyllistä tietoa tietosuoja-asetuksesta.
2. Miten Finagolla huomioitiin GDPR?
Käynnistimme 2016 Accountor-konsernitasolla projektin, jonka avulla vastasimme yleisen tietosuoja-asetuksen asettamiin vaatimuksiin päivittäisessä toiminnassamme. Nimitimme tietosuojavastaavan, sekä kaikista yksiköistä ja yrityksistä henkilöt, jotka ovat vastuussa oman organisaationsa tietosuoja-asioista. Projekti sisälsi erilaisia työvaiheita, muun muassa dokumentoinnin, koulutuksen sekä prosessi- ja järjestelmämuutokset.
3. Mihin tietosuoja-asetus käytännössä vaikutti?
Päivitimme sopimusehtojamme ja niihin liittyviä ohjeistuksia, sillä yleinen tietosuoja-asetus asettaa vaatimuksia alihankkijoiden hallinnalle sekä edellyttää joitakin muutoksia palvelusopimuksiimme.
Kuvaamme tietosuojavaatimusten toteuttamisen tietosuojaselosteessamme ja -ilmoituksissamme sekä tuotteiden ohjeissa. Näin voimme varmistaa, että sekä yritysasiakkaamme että yksityishenkilöt saavat aina käyttöönsä läpinäkyvät tiedot henkilötietojen käsittelystä. Kartoitimme esimerkiksi järjestelmät, joissa vaadittiin tietojen siirrettävyystoimintoja, ja tietojärjestelmät, jotka vaativat korkeampaa suojaustasoa.
Konsernitasolla arvioimme tietosuojavaikutuksia käyttämissämme järjestelmissä ja tuotekehityksessämme. Kuvasimme ja analysoimme henkilötietojen käsittelyyn liittyviä riskejä, jotta varmistuimme asetuksen vaatimusten noudattamisesta.
Henkilöstön kouluttaminen tietosuoja-asioissa oli keskeisenä osana projektia.
Accountor-konsernissa seurataan tarkkaan tietosuojalakeihin liittyviä muutoksia, esimerkiksi EU:n sähköisen viestinnän tietosuojadirektiivin uudistamista, sekä viranomaisten tulkintoja ja lausuntoja uudesta yleisestä tietosuoja-asetuksesta.
Kaikki yleisen tietosuoja-asetuksen vaatimusten täyttämiseen tarvittavat toimet, jotka koskevat järjestelmiä, prosesseja ja ohjeistusta, toteutettiin ennen kuin asetus tuli voimaan.
4. Muut julkaisut GDPR:ään liittyen
Procountorin sisällä olevasta GDPR-tiedostopankista löydät Selosteet henkilötietojen käsittelytoimista, sekä muita EU:n tietosuoja-asetukseen liittyviä dokumentteja, joita voit ladata omaan käyttöön. ”GDPR-tiedostopankki” löytyy Perustietojen alta.
Tikonin asiakassivuilta löytyy myös ”GDPR-tiedostopankki”.
- Accountor Finagon asiakassopimusehdot, missä henkilötietojen käsittelyyn liittyvät ehdot (DPA) kuvattuna kohdassa 4
- Procountorin ohjekirjassa tietosuojasetukseen liittyviä toiminnallisuuksia
- Webinaaritallenne: Riikka Lehtinen – GDPR & Tilitoimisto tiedonkäsittelijänä
- Blogissa
- Code of conduct
- GDPR Accountor-konsernissa englanniksi
Kysyttävää tietosuojaan liittyen
Mikäli sinulla on kysyttävää tietosuojasta, laitathan sähköpostia [email protected]. SME-klusterin Data and Information Manager on Kasper Räsänen.