EU:n tietosuoja-asetus tulee Aditrossa  - olemme valmiit

EU:n tietosuoja-asetus tulee Aditrossa – olemme valmiit

GDPR:stä on tullut joillekin lähes jokapäiväinen puheenaihe. Olet varmastikin kuullut monestakin tuutista, että Euroopan Unionin uusi General Data Protection Regulation (GDPR) tietosuoja-asetus tulee sovellettavaksi 25.5.2018. Myös me Aditrossa olemme tehneet valmistelevaa työtä vaatimusten eteen jo pitkään, koska HR- ja palkkajärjestelmätalona nämä vaatimukset koskettavat erityisesti meitä. Voimaantuleva asetus laajentaa yksilön oikeuksia ja asettaa erityisiä vaatimuksia henkilötietoja käsitteleville organisaatioille. Voidaankin puhua EU -tasolla suurimmasta muutoksesta tietosuojalakeihin yli kahteen vuosikymmeneen. Lisäksi kaikki organisaatiot, joilla on toimintaa EU-alueella, tai jopa joilla on vain käyttäjiä EU-alueelta, joutuvat toimimaan asetuksen mukaisesti. Uudistus koskettaa sekä yksityisiä, julkisia että kolmannen sektorin toimijoita.

Tietosuoja-asetuksessa todetaan, että henkilöllä on oikeus saada kaikki hänestä tallennetut tiedot luettavassa muodossa maksimissaan kahden kuukauden kuluttua pyynnöstä. Huomioitavaa on, että henkilötietoa on kaikki tieto, mistä henkilön voi tunnistaa. Meillä henkilöinä on myös oikeus saada tietomme poistettua pysyvästi. Kuitenkin yritysten pitää pystyä hoitamaan lailliset velvoitteensa, joten henkilötietojen pysyvä poistaminen palkkajärjestelmästä ei ole mahdollista aivan heti, sillä tietoihin voi kohdistua raportointivaateita hyvinkin pitkien aikojen jälkeen (esim. palkka- ja palkkiokortit tai vastaavien asiakirjojen säilytysaika on 10 vuotta). Lisäksi meillä henkilöinä on oikeus saada tietää mahdollisista tietomurroista. Aditron W palkkajärjestelmässä poisto- ja raportointiominaisuudet ovat jo olleet pitkään, koska vastaavia velvoitteita järjestelmään on kohdistunut henkilötietolain myötä. Lisäksi prosessimme käsittävät myös ilmoituksen mahdollisten tietomurtojen sattuessa.

GDPR:n myötä tietojen käsittelyn turvallisuus sekä asetuksen noudattaminen on pystyttävä osoittamaan. Osoitusvelvollisuus tarkoittaa prosessien ja tietojenkäsittelyn sekä tietoturvaratkaisujen dokumentointia. Järjestelmätoimittajan roolissa meidän tehtävänämme on varmistaa, että asiakkaiden tiedot käsitellään salattuna ja turvallisesti. Meillä Aditrossa on tehty kartoitus, jossa olemme katselmoineet järjestelmiemme henkilötiedot, ja selvittäneet mitkä ovat tietojen käsittelyn lailliset perusteet ja mitä tarkoitusta varten henkilötietoja käsitellään. Tällä hetkellä meillä on meneillään tietojenkäsittelysopimusten (Data Processing Agreement eli DPA) valmistelu asiakas- ja toimittajasopimuksiin. Tietojenkäsittelysopimuksen osalta olemme asiakkaihimme lähiviikkoina yhteydessä. Lisäksi kytkemme uudet tietosuojavaatimukset mukaan palvelu- ja tuotekehitysprosesseihin.

Tulemme tiedottamaan asiakkaitamme lisää GDPR-asioihin liittyen tulevina viikkoina ja kuukausina. Tarvittaessa voit olla GDPR:n liittyen meihin yhteydessä asiakassivujemme kautta.

EU:n tietosuoja-asetus tulee Aditrossa  - olemme valmiit

Laura Saarainen
Solution Manager

Leave a comment

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *