GDPR haltuun

/Abloy/Abloy.fi%20(OW2)/Yritys/Ajankohtaista/GDPR.jpg

Toukokuun lopussa voimaan tuleva EU:n tietosuoja-asetus GDPR eli General Data Protection Regulation vaikuttaa myös nykyaikaisten järjestelmäpohjaisten oviympäristöjen käyttöön. Mitä sähköisen lukitusjärjestelmän käyttäjän pitää tietää?

DIGITALISOITUVASSA MAAILMASSA yksityisten ihmisten henkilötiedoilla on yhä suurempi arvo. Alaan erikoistuneet yritykset hakevat henkilödatalla suuria voittoja, ja samaan aikaan pelätään tietomurtoja, jotka voivat vuotaa yksityishenkilöiden tietoja julkisuuteen aiheuttaen heille vahinkoa.

Toukokuussa voimaan tuleva tietosuoja-asetus GDPR pyrkii lisäämään EU-kansalaisten oikeuksia omien tietojensa luottamukselliseen käsittelyyn ja suojaamiseen. GDPR koskee kaikkia tietoja, joista henkilö voidaan tunnistaa, ei siis ainoastaan nimeä tai puhelinnumeroa. Henkilötietoja voivat olla vaikkapa kulkutiedot, joita lukitusjärjestelmän kulunhallinta tuottaa: kuka on kulkenut ovesta, ja milloin.

– Asetus vastaa monilta osin aiempaa henkilötietolakia. Asetus kuitenkin edellyttää, että yritykset huolehtivat tietosuojasta aiempaa tarkemmin, sanoo Abloyn Senior Legal Counsel Pauliina Luukkonen.

Järjestelmät kehittyvät GDPR:n myötä

Mitä yritysten täytyy sitten asetuksen mukaan tehdä? Yrityksen, joka toimii rekisterinpitäjänä täytyy pystyä toteuttamaan rekisteröidyn oikeuksia. Jos henkilö pyytää selvitystä siitä, mitä kaikkia tietoja yrityksellä hänestä on, tämä tieto on pystyttävä toimittamaan. Henkilön tiedot on myös kyettävä tietyissä tilanteissa poistamaan, ja virheelliset tiedot on voitava korjata. Yrityksen täytyy myös tiedottaa rekisteröidylle henkilötietojen käsittelystä.

Abloyn oviympäristöjä ja niiden kulunhallintajärjestelmiä kehitetään niin, että ne luovat toimivat puitteet asetuksen noudattamiselle. Järjestelmiä on muokattu esimerkiksi niin, että tietojen poistaminen sujuu helpommin, Luukkonen kertoo.

Asetus vaatii toimenpiteitä myös yrityksiltä

Asetuksen noudattaminen ei tapahdu vain järjestelmiä kehittämällä. Yrityksen on huolehdittava esimerkiksi siitä, että henkilötietoja käsittelevät työntekijät tunteva asetuksen vaatimukset ja noudattavat niitä.

Henkilötietojen käsittely on huomioitava myös yrityksen palveluhankinnoissa. Jos yritys ostaa kulunhallintajärjestelmään liittyviä palveluita, on toimittajan henkilötietojen käsittelystä tehtävä sopimus tietosuoja-asetuksen mukaisesti.

Yrityksen pitää myös huolehtia henkilötietojen tietoturvasta. Jos tapahtuu esimerkiksi tietomurto, on siitä ilmoitettava viranomaiselle 72 tunnin kuluessa.

– Asetus voi vaatia yrityksen IT-järjestelmiin parannuksia, Luukkonen sanoo.

Tietosuoja osana asiakaskokemusta

Tietosuoja saattaa kuulostaa haastavalta kokonaisuudelta, joka vaatii yrityksiltä paljon. Sanktiotkin ovat mittavat, jos asetusta rikkoo: suurimmillaan sakko voi olla jopa 20 miljoonaa tai neljä prosenttia yrityksen liikevaihdosta.

Pauliina Luukkonen muistuttaa, ettei GDPR ole rakettitiedettä. Sitä ei kannatakaan nähdä mörkönä vaan osana laadukasta toimintaa, joka kannattaa ottaa haltuun.

– Tietosuoja edellyttää loppujen lopuksi perusasioita, jotka liittyvät tietoturvaan ja rekisteröityjen oikeuksiin sekä henkilötietojen käsittelyn dokumentointiin. On vain ryhdyttävä tuumasta toimeen ja selvitettävä, mitä GDPR tarkoittaa oman yrityksen kohdalla, Luukkonen rohkaisee.