Lähtölaskenta on hyvässä vauhdissa ja toukokuu 2018 häämöttää, kun uusi kenraali Tietosuojaseloste Asetus korvaa nykyisen tietosuojalain.
Britannia ottaa EU:n GDPR:n käyttöön Brexitistä huolimatta, joten toimia tarvitaan nyt. Yrityksille, jotka harkitsevat vastuullisesti, kuinka he täyttävät tämän eurooppalaisen asetuksen vaatimukset, Subject Access Request (SAR:t) on epäilemättä osa heidän harkintaan.
EU:n uuden GDPR:n mukaan organisaatioiden on vastattava SAR-ilmoituksiin "ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa". Tämä on lyhyempi aikaväli kuin nykyisessä DPA:ssa, jossa määrätään 40 päivää. Ehkä vielä vaativampaa on, että hakijoille on annettava henkilötietojensa lisäksi myös lisätietoa. Tämä sisältää mahdollisuuksien mukaan tiedot "suunnitellusta ajanjaksosta, jolle henkilökohtaiset tiedot tallennetaan tai, jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit”.
Lisätietoa tarvitaan myös, jotta selvitetään pyynnön esittäjien oikeudet vaatia tietojensa oikaisua tai poistamista, vastustaa käsittelyä sekä oikeus tehdä valituksia tietosuojaviranomaiset. Organisaatioiden on yksilöitävä, mistä ne ovat hankkineet pyynnön esittäjien henkilötiedot, jos niitä ei ole kerätty suoraan henkilöltä. Pyynnön esittäjällä on myös oikeus saada tietoja suojatoimista, joita sovelletaan, kun heidän tietojaan siirretään Euroopan talousalueen ulkopuolelle.
Mukaan Tietovaltuutetun toimisto (ICO) Vuosikertomus for tilikaudella 2015/16*, 42 % cheidän kanssaan esiin nostetut huolet keskittyivät SAR:iin. Tämä korostaa vaikeuksia, joita organisaatioilla on jo olemassa olevien, vähemmän rasittavien säännösten noudattamisessa. Se osoittaa, että organisaatioilla on vielä tehtävää asiakkaiden, henkilökunnan ja sääntelyviranomaisten odotusten täyttämisessä!
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
ICO:n alla Valmistautuminen Yleinen tietosuojadirektiivi (GDPR) – 12 askelta nyt**, 5. kuvailee toimenpiteiden tarvetta ja suunnitelmaa siitä, kuinka organisaatio käsittelee SAR:ita.
Uusien vaatimusten vuoksi on tärkeää, että henkilökunta on riittävästi koulutettu tunnistamaan pyynnön ja sen käsittelyprosessin. Päivien odottaminen ennen prosessin aloittamista ja tietojen hakemista järjestelmistä on riskialtista, koska sakot ovat todennäköisesti paljon tiukempia GDPR:n mukaan.
Joten GDPR voi olla merkittävä organisaatioille aiheutuva riski ja suunnitelma SAR:t ja kaikki muut vaatimusten näkökohdat tarvitaan:
Epäilemättä sääntelijät etsivät myös vahvaa asennetta osoittaakseen rekisterinpitäjien ja käsittelijöiden henkilötietojen turvallisuuden. Siksi ohjelmistoratkaisumme, ISMS.online, sisältää kaikki työkalut ja puitteet GDPR-vaatimustenmukaisuuden ja tietoturvan hallintaan ISO 27001 -standardin vaatimusten mukaisesti.
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
Pysy sääntelijöiden oikealla puolella ja nuku paremmin yöllä tietäen, että teet kaikkesi asiakkaiden ja henkilökunnan tietojen suojaamiseksi ja pidä tietovarasi turvassa.
Tutustu miten100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa