Tietosuoja-asetus
LSK-Machine Oy:n toimiala on muiden metallin työstökoneiden valmistus, jossa käsitellään luottamuksellisia henkilö-, palkka- ja yritystietoja. Yritys käyttää palveluiden tuottamiseen kumppaneita, joiden toiminnasta LSK-Machine Oy vastaa kuin omastaan. LSK-Machine Oy noudattaa aina ajantasaisia lakeja ja säädöksiä. Tietosuoja on yrityksen toiminnalle erittäin tärkeä tekijä ja nykyistä lainsäädäntöä noudatetaan.
Tietosuojan toteutus
Tietosuojavelvoitteista sopiminen yrityksen ja asiakkaan välillä.
Tietojenkäsittelysopimus: Mukana lista LSK-Machine Oy:n käyttämistä kumppaneista, asiakaskohtaiset kumppanit mainittu palvelusopimuksissa.
LSK-Machine Oy tekee vastaavat sopimukset omien kumppaniensa kanssa.
Henkilötietojen käsittelyn vaatimukset koskevat koko alihankintaketjua
LSK-Machine Oy velvoittaa kumppaneitaan varmistamaan mm. seuraavat asiat:
- ajantasaisten lakien ja säädösten noudattaminen
- henkilötietojen käsittely EU-alueella
- henkilöstön koulutus ja osaaminen tietosuojasta
- kuvaukset missä tietoja käsitellään, millä rooleilla on käyttöoikeudet mihin tietoihin, miten käyttöoikeusprosessit on järjestetty
- liiketoiminnan jatkuvuuden ja asiakkaan tietojen palauttamisen varmistaminen poikkeustilanteissa
Asetuksen mukaisen toiminnan todistaminen
Rekisterinpitäjä kantaa ensisijaisen vastuun tietojenkäsittelytoiminnoista ja siitä, että asetusta noudatetaan. Asetus velvoittaa rekisterinpitäjiä toimimaan vain sellaisten tietojenkäsittelijöiden kanssa, jotka pystyvät osoittamaan noudattavansa tietosuoja-asetusta henkilötietojen käsittelyn osalta.
- rekisteröityjen oikeuksia suojellaan, käytetään riittäviä teknisiä turvatoimia, sovelletaan oikeita toimintatapoja ja tietojenkäsittelijöiden osaaminen varmistetaan ohjeistuksin ja koulutuksin
- henkilötietojen käsittelijän roolia ja velvoitteita terävöitetty asetuksessa, vrt. henkilötietolaki
Tietojenkäsittelijän ohjeistaminen
Asetus velvoittaa rekisterinpitäjän ohjeistamaan tietojenkäsittelijän omien henkilötietojensa käsittelyyn. Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti.
Henkilötietojen käsittely
Henkilötietojen käsittely tulee rajata vain sellaisille tahoille, jotka tarvitsevat tietoa palvelun suorittamiseen. Yrityksen käytössä olevien järjestelmien asiakaskohtaisiin kantoihin on käyttöoikeudet vain palvelua suorittavalla käsittelijöillä sekä kumppaneiden vastaavilla tiimeillä.
Tietoturvaloukkausten sanktiot
Tietosuojaviranomaisen työkalupakista löytyy
- huomautus / varoitus
- rekisterinpitäjälle annettavat määräykset
- käsittelyä koskevien rajoitusten asettaminen
- sertifioinnin peruuttaminen
- keskeytysmääräysten asettaminen
- sakot
Mikäli tietoturvaloukkaus tapahtuu, ensisijaiset seuraamukset tulevat olemaan toiminnan korjaamiseen liittyvät kehotuksia
- ei ”sakkoautomaatti”
- törkeästä huolimattomuudesta ja tahallisuudesta rangaistaan
Maine on tärkein.
Reagointiaika tietoturvaloukkauksissa
Asetus velvoittaa raportoimaan tietoturvaloukkauksista ”ilman aiheetonta viivettä”. Rekisterinpitäjä on velvollinen raportoimaan tietosuojaviranomaiselle
- loukkausta koskeva ilmoitus on tehtävä valvontaviranomaiselle 72 tunnin kuluessa asian ilmitulosta, eli siitä kun tietoturvaloukkaus on tullut rekisterinpitäjän tietoon. Ajan laskenta ei ala siitä, milloin rike on tapahtunut
- aika lähtee kulumaan kun tilitoimisto ilmoittaa asiakkaalle tapahtuneesta tai asiakas itse on tapahtuneen sisäisesti havainnut
LSK-Machine Oy sitoutuu vastaamaan asiakkaan kyselyihin tietoturvaloukkauksista mahdollisimman nopeasti.
Rekisteriseloste
Jokaisen rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Henkilötietojen käsittely on kuvattava tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa. Asetuksessa kerrotaan tarkemmin mitä eri asioita selosteesta on löydyttävä. Rekisteriselosteen laadinta on asiakkaan vastuulla. Rekisteriselosteet on laadittava käyttötarkoituksen mukaan, esim. työnantajavelvoitteiden hoitaminen sisältää palkanmaksun, työterveyshuollon, vakuuttamisen jne.
Tietopyynnöt & henkilön oikeus tulla unohdetuksi
Henkilöllä on oikeus pyytää rekisterinpitäjää / rekisterinpitäjän velvoittamaa tietojenkäsittelijää toimittamaan itseään koskevat, järjestelmässä olevat tiedot.
Henkilöllä on myös oikeus tulla unohdetuksi eli pyytä poistamaan itseään koskevat tiedot.
- osa yrityksen hallinnoimissa järjestelmissä olevista tiedoista on lakisääteisesti arkistoitavia, eikä niitä täten voi poistaa
LSK-Machine Oy ehdottaa, että henkilön tietoja koskevat pyynnöt ja poistopyynnöt tulevat yrityksen asiakkaan valtuuttamien tahojen kautta
- rekisterinpitäjä vastaa henkilötiedoista sekä henkilöiden oikeuksia koskevasta ohjeistuksesta henkilöstölle
- yritys voi ottaa toimeksiantoja vastaan vain sovituilta tahoilta
- yritys toimittaa tiedot sekä poistaa tiedot pyydettäessä, mikäli se on mahdollista
Asiakkaan valmistautuminen ja vastuut
Yrityksen sisällä
- oma tietosuojaorganisaatio
- tietosuoja- ja tietoturvapolitiikat
- henkilöstön tietosuojaosaaminen (tietosuojaohjeistukset ja –koulutukset)
- oikeuksista viestiminen henkilöstölle (rekisteröityjen oikeudet)
- henkilörekisteriselosteet kuntoon
Kumppanit ja alihankkijat
- omien henkilötietoja käsittelevien kumppanien sopimukset asetuksen vaatimusten mukaisesti
- tietojenkäsittelijän ohjeistaminen
- viestintäkanavat ja toimintamallit poikkeustilanteisiin