Tietosuoja-asetus

LSK-Machine Oy:n toimiala on muiden metallin työstökoneiden valmistus, jossa käsitellään luottamuksellisia henkilö-, palkka- ja yritystietoja. Yritys käyttää palveluiden tuottamiseen kumppaneita, joiden toiminnasta LSK-Machine Oy vastaa kuin omastaan. LSK-Machine Oy noudattaa aina ajantasaisia lakeja ja säädöksiä. Tietosuoja on yrityksen toiminnalle erittäin tärkeä tekijä ja nykyistä lainsäädäntöä noudatetaan.

Tietosuojan toteutus

Tietosuojavelvoitteista sopiminen yrityksen ja asiakkaan välillä.
Tietojenkäsittelysopimus: Mukana lista LSK-Machine Oy:n käyttämistä kumppaneista, asiakaskohtaiset kumppanit mainittu palvelusopimuksissa.
LSK-Machine Oy tekee vastaavat sopimukset omien kumppaniensa kanssa.
Henkilötietojen käsittelyn vaatimukset koskevat koko alihankintaketjua

LSK-Machine Oy velvoittaa kumppaneitaan varmistamaan mm. seuraavat asiat:

  • ajantasaisten lakien ja säädösten noudattaminen
  • henkilötietojen käsittely EU-alueella
  • henkilöstön koulutus ja osaaminen tietosuojasta
  • kuvaukset missä tietoja käsitellään, millä rooleilla on käyttöoikeudet mihin tietoihin, miten käyttöoikeusprosessit on järjestetty
  • liiketoiminnan jatkuvuuden ja asiakkaan tietojen palauttamisen varmistaminen poikkeustilanteissa

Asetuksen mukaisen toiminnan todistaminen

Rekisterinpitäjä kantaa ensisijaisen vastuun tietojenkäsittelytoiminnoista ja siitä, että asetusta noudatetaan. Asetus velvoittaa rekisterinpitäjiä toimimaan vain sellaisten tietojenkäsittelijöiden kanssa, jotka pystyvät osoittamaan noudattavansa tietosuoja-asetusta henkilötietojen käsittelyn osalta.

  • rekisteröityjen oikeuksia suojellaan, käytetään riittäviä teknisiä turvatoimia, sovelletaan oikeita toimintatapoja ja tietojenkäsittelijöiden osaaminen varmistetaan ohjeistuksin ja koulutuksin
  • henkilötietojen käsittelijän roolia ja velvoitteita terävöitetty asetuksessa, vrt. henkilötietolaki

Tietojenkäsittelijän ohjeistaminen

 Asetus velvoittaa rekisterinpitäjän ohjeistamaan tietojenkäsittelijän omien henkilötietojensa käsittelyyn. Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti.

Henkilötietojen käsittely

Henkilötietojen käsittely tulee rajata vain sellaisille tahoille, jotka tarvitsevat tietoa palvelun suorittamiseen. Yrityksen käytössä olevien järjestelmien asiakaskohtaisiin kantoihin on käyttöoikeudet vain palvelua suorittavalla käsittelijöillä sekä kumppaneiden vastaavilla tiimeillä.

Tietoturvaloukkausten sanktiot

 Tietosuojaviranomaisen työkalupakista löytyy

  • huomautus / varoitus
  • rekisterinpitäjälle annettavat määräykset
  • käsittelyä koskevien rajoitusten asettaminen
  • sertifioinnin peruuttaminen
  • keskeytysmääräysten asettaminen
  • sakot

Mikäli tietoturvaloukkaus tapahtuu, ensisijaiset seuraamukset tulevat olemaan toiminnan korjaamiseen liittyvät kehotuksia

  • ei ”sakkoautomaatti”
  • törkeästä huolimattomuudesta ja tahallisuudesta rangaistaan

Maine on tärkein.

Reagointiaika tietoturvaloukkauksissa

 Asetus velvoittaa raportoimaan tietoturvaloukkauksista ”ilman aiheetonta viivettä”. Rekisterinpitäjä on velvollinen raportoimaan tietosuojaviranomaiselle

  • loukkausta koskeva ilmoitus on tehtävä valvontaviranomaiselle 72 tunnin kuluessa asian ilmitulosta, eli siitä kun tietoturvaloukkaus on tullut rekisterinpitäjän tietoon. Ajan laskenta ei ala siitä, milloin rike on tapahtunut
  • aika lähtee kulumaan kun tilitoimisto ilmoittaa asiakkaalle tapahtuneesta tai asiakas itse on tapahtuneen sisäisesti havainnut

LSK-Machine Oy sitoutuu vastaamaan asiakkaan kyselyihin tietoturvaloukkauksista mahdollisimman nopeasti.

Rekisteriseloste

 Jokaisen rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Henkilötietojen käsittely on kuvattava tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa. Asetuksessa kerrotaan tarkemmin mitä eri asioita selosteesta on löydyttävä. Rekisteriselosteen laadinta on asiakkaan vastuulla. Rekisteriselosteet on laadittava käyttötarkoituksen mukaan, esim. työnantajavelvoitteiden hoitaminen sisältää palkanmaksun, työterveyshuollon, vakuuttamisen jne.

Tietopyynnöt & henkilön oikeus tulla unohdetuksi

Henkilöllä on oikeus pyytää rekisterinpitäjää / rekisterinpitäjän velvoittamaa tietojenkäsittelijää toimittamaan itseään koskevat, järjestelmässä olevat tiedot.
Henkilöllä on myös oikeus tulla unohdetuksi eli pyytä poistamaan itseään koskevat tiedot.

  • osa yrityksen hallinnoimissa järjestelmissä olevista tiedoista on lakisääteisesti arkistoitavia, eikä niitä täten voi poistaa

LSK-Machine Oy ehdottaa, että henkilön tietoja koskevat pyynnöt ja poistopyynnöt tulevat yrityksen asiakkaan valtuuttamien tahojen kautta

  • rekisterinpitäjä vastaa henkilötiedoista sekä henkilöiden oikeuksia koskevasta ohjeistuksesta henkilöstölle
  • yritys voi ottaa toimeksiantoja vastaan vain sovituilta tahoilta
  • yritys toimittaa tiedot sekä poistaa tiedot pyydettäessä, mikäli se on mahdollista

Asiakkaan valmistautuminen ja vastuut

 Yrityksen sisällä

  • oma tietosuojaorganisaatio
  • tietosuoja- ja tietoturvapolitiikat
  • henkilöstön tietosuojaosaaminen (tietosuojaohjeistukset ja –koulutukset)
  • oikeuksista viestiminen henkilöstölle (rekisteröityjen oikeudet)
  • henkilörekisteriselosteet kuntoon

Kumppanit ja alihankkijat

  • omien henkilötietoja käsittelevien kumppanien sopimukset asetuksen vaatimusten mukaisesti
  • tietojenkäsittelijän ohjeistaminen
  • viestintäkanavat ja toimintamallit poikkeustilanteisiin