Tietosuojasta on tullut yritysten ja yksityishenkilöiden etusija. Monimutkaisten säädösten, kuten yleisen tietosuoja-asetuksen (GDPR) vuoksi, noudattaminen voi olla haastavaa. Itse asiassa, Merkittäviä GDPR-sakkoja on tähän mennessä määrätty yli 359 miljoonaa euroa. Sinun on ymmärrettävä velvollisuutesi ja noudatettava näitä sääntöjä samalla kun suojelet asiakkaidesi ja työntekijöidesi yksityisyyttä.

Ja vaikka monet organisaatiot väittävät olevansa valmiita tietosuojasäännökset, niiden on ehkä vielä toteutettava kaikki tarvittavat toimenpiteet tällaisten väitteiden perustelemiseksi.

Asianajotoimisto Womble Bond Dickinsonin tekemän kyselyn mukaan 205 yritysjohtajaa Isossa-Britanniassa ja Yhdysvalloissa, vaikka monet yritykset saattavat toteuttaa ulkopuolisia toimia, kuten laittaa evästebannerin verkkosivuilleen tai päivittää yksityisyyttä. politiikkaa, vain 34 % kaikista vastaajista sanoo tehneensä datakartoituksen ja ymmärtäneensä tietokäytäntöjä koko organisaatiossa.

”Yritykset ovat usein aliresurssoituja ja niiden on keskityttävä kosmeettisiin muutoksiin päivittämällä julkista sisältöä. Tämä ei kuitenkaan poista väistämätöntä tarvetta rakentaa taustavaatimuksia, jotta vaatimustenmukaisuusvaatimukset voidaan todella toteuttaa”, sanoo Tara Cho, Womble Bond Dickinsonin (USA) tietosuoja- ja kyberturvatiimin kumppani ja puheenjohtaja.

Miten organisaatiot selviävät tietosuojamääräysten sokkelosta?

GDPR:n periaatteet ja noudattaminen

Focus-patjan GDPR hahmotellaan seitsemän elintärkeää tietojenkäsittelyn periaatetta: laillisuus, oikeudenmukaisuus, avoimuus, käyttötarkoituksen rajoittaminen, tietojen minimointi, tarkkuus, tallennusrajoitukset, turvallisuus (eheys ja luottamuksellisuus) ja vastuullisuus. Nämä periaatteet muodostavat organisaation tietojenkäsittelytavan ytimen. Henkilötietoja tulee kerätä ja käsitellä laillisesti, oikeudenmukaisesti ja avoimesti. Se on hankittava tiettyihin, laillisiin tarkoituksiin, eikä sitä saa käyttää yhteensopimattomilla tavoilla. Kerättyjen tietojen tulee olla merkityksellisiä, rajoitettuja ja tarkkoja. Toimenpiteisiin on ryhdyttävä epätarkkuuksien korjaamiseksi viipymättä.

Rekisteröityjen tietoja tulee säilyttää vain käsittelytarkoituksiin tarpeen mukaan. Turvatoimet on otettava käyttöön luvattomalta käsittelyltä, katoamiselta tai vahingoittumiselta. Organisaatioiden on osoitettava noudattaminen.

Näiden periaatteiden lisäksi GDPR kattaa useita näkökohtia, mukaan lukien erityiset käsittelyskenaariot, tiedonsiirrot, korjauskeinot, vastuut ja rangaistukset.

Mukaan Louise Brooks, konsulttipäällikkö osoitteessa DQM GRC, Yhdistyneen kuningaskunnan GDPR on periaatteisiin perustuva, mikä tarkoittaa, että sillä ei ole määrättyä luetteloa suosituksista ja kielloista. 

"Organisaatioiden on otettava huomioon Yhdistyneen kuningaskunnan GDPR:n tarjoamat puitteet ja otettava se käyttöön liiketoimintansa kontekstissa. Huomaamme, että asiakkaat voivat kamppailla tämän konseptin kanssa”, hän sanoo.

”Toisinaan voi myös olla vaikeaa luoda positiivista noudattamiskulttuuria, joka antaa organisaatioille mahdollisuuden tehdä oikeita tietosuojavalintoja. Tietosuojaa pidetään usein liiketoimintatavoitteiden estäjänä eikä mahdollistajana. Oikea kulttuuri organisaatiossa helpottaa yhteistyötä ja varmistaa, että tietosuoja on perusta, jolle kaikki henkilötietoja sisältävä liiketoiminta perustuu."

Yksilölliset oikeudet

GDPR tarjoaa henkilöille useita oikeuksia auttaa heitä hallitsemaan henkilötietojaan.

Näihin oikeuksiin kuuluu oikeus saada tietoa, oikeus saada tietoja, oikeus oikaista, oikeus poistaa (tunnetaan myös nimellä oikeus tulla unohdetuksi), oikeus rajoittaa käsittelyä, oikeus siirtää tietoja ja oikeus vastustaa.

Organisaatioiden on tarjottava selkeät tiedot – mitä kerätään, käyttö, jakaminen. Yksilöt voivat pyytää käsiteltyjä tietojaan tarkkuus- ja laillisuustarkastuksia varten. Epätarkkuudet voidaan korjata. Tietojen poistopyyntöjä sovelletaan, kun tarpeeton tai suostumus peruutetaan.

Henkilötietojen käyttöä voidaan rajoittaa esimerkiksi kiistanalaisella tarkkuudella tai lainvastaisella käsittelyllä. Yksilöt voivat käyttää tietojaan uudelleen ja siirtää niitä turvallisesti organisaatioiden välillä. Jotkut dataprosessit, kuten markkinointi, voidaan hylätä. Nämä oikeudet vahvistavat henkilötietojen hallintaa ja edistävät oikeudenmukaisuutta ja läpinäkyvyyttä.

Brooks sanoo, että kun kyse on rekisteröidyn oikeuksia koskevista pyynnöistä, "organisaation tulisi aloittaa ymmärtämällä, mitkä oikeudet koskevat mitäkin sen käsittelytoimintoja."

"Tämä on tärkeää, koska se auttaa organisaatioita ymmärtämään, missä yksilön tiedot ovat organisaatiossa, esimerkiksi missä järjestelmissä, mitkä tiimit käyttävät ja mihin niitä käytetään", hän lisää.

Käsittelyn laillinen peruste

GDPR määrää henkilötietojen käsittelylle pätevät lailliset perusteet, jotka kattavat kuusi perustetta: suostumus, sopimuksen täytäntöönpano, oikeutettu etu, elintärkeä etu, oikeudellinen vaatimus ja yleinen etu.

Suostumus sisältää nimenomaisen luvan tiettyyn tietojenkäsittelyyn, jolle on ominaista vapaus, täsmällisyys, tiedot ja selkeys.

Sopimuksen täyttäminen edellyttää tietojen käsittelyä sopimuksen täyttämiseksi tai aloittamiseksi henkilön pyynnöstä.

Oikeutettu etu oikeuttaa tietojen käsittelyn organisaation tai kolmannen osapuolen tarkoituksiin, elleivät yksilölliset oikeudet sitä syrjäyttäneet.

Tärkeä kiinnostus edellyttää tietojen käsittelyä henkilön tai toisen hengen turvaamiseksi.

Lakisääteinen vaatimus vaatii tietojen käsittelyä organisaatiooikeudellisten velvoitteiden noudattamiseksi.

Yleinen etu edellyttää tietojen käsittelyä julkisten tehtävien suorittamista tai julkisen vallan käyttöä varten.

Ennen henkilötietojen käsittelyä organisaatioiden on määritettävä ja dokumentoitava tietonsa laillinen peruste. Tämä perusta perustuu GDPR:ään tai muihin asiaankuuluviin lakeihin Euroopan unionissa tai jäsenvaltioissa.

Tietoturva

GDPR korostaa tietoturvaa ja vaatii vankkoja käsittelytoimia. Nämä varmistavat suojan luvattomalta käsittelyltä, katoamiselta ja vaurioilta käyttämällä sopivia teknisiä ja organisatorisia toimenpiteitä.

Organisaatiot harkitsevat riskianalyysiä, käytäntöjä ja fyysisiä/teknisiä toimia tietoturvallisuuden varmistamiseksi. Toimenpiteet takaavat tietojen luottamuksellisuuden, eheyden ja nopean palautuksen tapahtumien jälkeen.

Esimerkkejä: kulunvalvonta, tietojen katoamisen esto, salaus, häiriöihin reagointisuunnitelmat, kolmannen osapuolen riskienhallinta ja fyysiset/loogiset toimet.

Säännöllinen tarkistus ja testaus ovat tehokkaan tietoturvan kannalta välttämättömiä. Vaatimusten noudattaminen lisää luottamusta sidosryhmiin ja lisää luottamusta.

Vastuullisuus ja hallinto

Vastuullisuusperiaate on yksi GDPR:n kriittisistä periaatteista. Organisaatioiden on otettava vastuu henkilötietojen käsittelystä ja noudatettava muita GDPR-periaatteita. Tähän sisältyy velvollisuus osoittaa vaatimustenmukaisuus dokumentoitujen menettelyjen ja rutiinien avulla.

Organisaatioiden on oltava vastuussa tiedonkeruu-, käsittely- ja tallennustoiminnastaan ​​ja pystyttävä osoittamaan, että ne ovat ryhtyneet tarvittaviin toimenpiteisiin GDPR-velvoitteiden noudattamiseksi. Tämä voidaan toteuttaa käyttämällä sopivia teknisiä ja organisatorisia strategioita. Nämä strategiat sisältävät;

  • Tietosuojakäytäntöjen hyväksyminen ja täytäntöönpano
  • Hyväksymme "tietosuojan suunnittelun ja oletuksena" -filosofian
  • Muodollisten sopimusten tekeminen henkilötietoja käsittelevien kolmansien osapuolten kanssa
  • Käsittelytoimien kattavan rekisterin ylläpitäminen
  • Riittävien suojausprotokollien käyttöönotto
  • Tarvittaessa dokumentoidaan ja tiedotetaan henkilötietoloukkauksista
  • Tietosuojavaikutusten arviointien tekeminen tilanteissa, joihin liittyy merkittäviä riskejä yksilön oikeuksille
  • Nimeäminen a tietosuojavastaava tarvittaessa
  • Noudata asiaankuuluvia käytännesääntöjä samalla kun ilmoittautuu sertifiointiohjelmiin.

 

Vastuuvelvollisuudet ovat jatkuvat, ja organisaatioiden on tarkistettava ja päivitettävä toimenpiteitään sopivin väliajoin. Yksityisyydenhallinnan toteuttaminen puitteet voivat sisältää vastuullisuustoimenpiteitä ja luoda yksityisyyden kulttuurin koko organisaatioon. Vastuullisuus voi auttaa rakentamaan luottamusta yksilöiden välillä ja helpottamaan täytäntöönpanotoimia.

Kansainväliset tiedonsiirrot

GDPR kattaa henkilötietojen siirron kolmansiin maihin tai kansainvälisiin järjestöihin. Siirrot ETA:n ulkopuolelle ovat rajoitettuja, ellei suoja tai poikkeuksia sovelleta.

Rekisterinpitäjät ja käsittelijät tarvitsevat sopimuksen GDPR:n mukaisilla kriteereillä. Henkilötietojen siirto maihin, joissa ei ole riittävää suojaa, edellyttää "riittäviä suojatoimia", joilla varmistetaan yksilöiden täytäntöönpanokelpoiset oikeudet ja oikeussuojakeinot.

Riittävät suojatoimenpiteet voivat sisältää mekanismeja, kuten vakiosopimuslausekkeita, sitovia yrityssääntöjä tai hyväksyttyjä käytännesääntöjä tai sertifiointimekanismeja. Lisäksi useat poikkeukset mahdollistavat henkilötietojen siirron ETA:n ulkopuolelle ilman riittäviä suojatoimia, kuten henkilön nimenomaista suostumusta, sopimuksen täyttämistä, merkittäviä yleisen edun mukaisia ​​syitä tai oikeudellisten vaatimusten esittämistä, esittämistä tai puolustamista.

Uusi EU:n ja Yhdysvaltojen tietosuojakehys tulee voimaan ja jotkut organisaatiot siirtyvät pois vakiosopimuslausekkeet (SCC:t), on tärkeää huomata, että uutta mekanismia, jota kutsutaan "datasillaksi", voidaan käyttää henkilötietojen siirtämiseen EU:n ja Yhdysvaltojen välillä. Yhdistynyt kuningaskunta ja Yhdysvallat ovat tehneet periaatteellisen sitoumuksen luoda a "tietosilta" maiden välillä. Tämä mekanismi helpottaisi noin 55,000 XNUMX Yhdistyneen kuningaskunnan yrityksen tietojen siirtämistä vapaasti sertifioiduille yhdysvaltalaisille organisaatioille ilman raskasta byrokratiaa tai säännöksiä..

Organisaatioiden on varmistettava, että ne noudattavat kansainvälistä tiedonsiirtoa koskevia sääntöjä, ja käytettävä asianmukaisia ​​mekanismeja noudattamisen varmistamiseksi.

Poikkeukset

GDPR sisältää useita poikkeuksia, joita voidaan soveltaa tietyissä olosuhteissa. Näitä ovat kansallista turvallisuutta ja lainvalvontaa koskevat poikkeukset, tietyntyyppiset henkilötiedot, journalismi ja luova ilmaisu, tieteellinen tai historiallinen tutkimus, EU-lainsäädännön ulkopuolinen toiminta, tiedot, jotka eivät ole "arkistointijärjestelmässä", rahoitus, hallinto ja neuvottelut, yleiseen etuun ja kotikäyttöön.

Esimerkiksi GDPR:ää ei sovelleta, jos organisaatio ei toimi EU:n alueella, ei käsittele henkilötietoja tai jos se käsittelee tietoja vain kotimaisiin tarkoituksiin. Lisäksi on poikkeuksia henkilötietojen käsittelylle journalistisia tarkoituksia tai akateemista, taiteellista tai kirjallista ilmaisua varten. tarkoituksiin.

Organisaatioiden on harkittava huolellisesti, sovelletaanko niiden käsittelytoimintoihin poikkeuksia, ja niiden on noudatettava kaikkia muita GDPR:n vaatimuksia, jos poikkeusta ei sovelleta.

ISO 27001- ja GDPR-yhteensopivuus

ISO 27001 on kansainvälinen tietoturvastandardi Hallintajärjestelmä (ISMS), joka tarjoaa erinomaisen lähtökohdan teknisten ja toiminnallisten vaatimusten saavuttamiselle, jotka ovat välttämättömiä rikkomisriskin vähentämiseksi. EU:n yleinen tietosuoja-asetus (GDPR) velvoittaa organisaatiot toteuttamaan soveltuvia teknisiä ja organisatorisia toimenpiteitä, mukaan lukien politiikat, menettelyt ja prosessit, suojaamaan henkilötietojaan. käsitellä asiaa. Molempien standardien soveltaminen auttaa sinua täyttämään ja osoittamaan, että noudatat GDPR:n tietosuoja- ja tietoturvavaatimuksia.

ISO 27001 -standardin mukaisen ISMS:n käyttöönotto voi auttaa organisaatioita saavuttamaan GDPR-vaatimustenmukaisuuden kustannustehokkaasti tarjoamalla puitteet tietoturvariskien hallintaan ja osoittamalla GDPR:n teknisten ja organisatoristen vaatimusten noudattamista. Ottamalla molemmat standardit käyttöön organisaatiot voivat varmistaa, että ne täyttävät GDPR:n ja muiden tietosuojalakien tietosuoja- ja tietoturvavaatimukset ja minimoivat kustannukset.

On kuitenkin myönnettävä, että nämä standardit eivät kata kaikkia GDPR:n näkökohtia, kuten suostumusta, tietojen siirrettävyyttä, oikeutta tulla unohdetuksi ja kansainvälistä tiedonsiirtoa. Siksi organisaatioiden on täydennettävä ISO-kehystään muilla toimenpiteillä varmistaakseen täydellisen GDPR:n noudattamisen.

GDPR:n keskeiset periaatteet ja vaatimukset menestyksen saavuttamiseksi

Tietosuojasäännökset, kuten GDPR, voivat tuntua monimutkaisilta, mutta ydinperiaatteiden ymmärtäminen on elintärkeää. Tämän avulla organisaatiot voivat varmistaa vaatimustenmukaisuuden ja turvata asiakkaiden ja henkilökunnan yksityisyyden.

Muista nämä näkökohdat:

  • Ymmärrä lailliset tietojenkäsittelyperusteet.
  • Suojaa henkilötiedot.
  • Noudata vastuullisuutta.
  • Noudata kansainvälisiä tiedonsiirtosääntöjä.
  • Kunnioita GDPR:n yksilöllisiä oikeuksia ja poikkeuksia.

Käytännön vaiheet sisältävät:

  • Säännöllinen riskianalyysit.
  • Vahvat turvatoimenpiteet.
  • Dokumentoidut käsittelytiedot.
  • Selkeää viestintää yksilöiden kanssa.
  • Johdonmukaiset vaatimustenmukaisuuspäivitykset.

 

Ennakoivasti noudattamalla sidosryhmien luottamus kasvaa, mikä minimoi täytäntöönpanoriskit.