GDPR-vaatimustenmukaisuuden tarkistuslista – IBM-blogi

Yleinen tietosuoja-asetus (GDPR) on Euroopan unionin (EU) laki, joka säätelee, miten organisaatiot keräävät ja käyttävät henkilökohtaiset tiedot. Kaikkien EU:ssa toimivien tai EU:n asukkaiden tietoja käsittelevien yritysten on noudatettava GDPR-vaatimuksia.

GDPR:n noudattaminen ei kuitenkaan välttämättä ole itsestään selvää. Laki määrittelee joukon Tietosuoja käyttäjien oikeuksia ja useita henkilötietojen käsittelyn periaatteita. Organisaatioiden on kunnioitettava näitä oikeuksia ja periaatteita, mutta GDPR jättää jokaiselle yritykselle tilaa päättää, miten.

Panokset ovat korkeat, ja GDPR määrää merkittäviä rangaistuksia noudattamatta jättämisestä. Vakavimmista rikkomuksista voi seurata sakkoja, jotka ovat jopa 20,000,000 4 XNUMX euroa tai XNUMX % organisaation edellisen vuoden maailmanlaajuisesta maailmanlaajuisesta liikevaihdosta. GDPR-sääntelyviranomaiset voivat myös lopettaa laittoman tietojenkäsittelyn ja pakottaa organisaatiot tekemään muutoksia.

Alla oleva tarkistuslista kattaa keskeiset GDPR-säännökset. Se, miten organisaatio täyttää nämä määräykset, riippuu sen ainutlaatuisista olosuhteista, mukaan lukien sen keräämien tietojen tyypit ja niiden käyttötavat.

GDPR:n perusteet

GDPR koskee kaikkia organisaatioita, jotka sijaitsevat Euroopan talousalueella (ETA). Euroopan talousalueeseen kuuluvat kaikki 27 EU:n jäsenvaltiota sekä Islanti, Liechtenstein ja Norja.

GDPR koskee myös ETA:n ulkopuolisia organisaatioita, jos:

• Yritys tarjoaa säännöllisesti tavaroita tai palveluita ETA-asukkaille, vaikka rahaa ei vaihdettaisikaan.
• Yhtiö seuraa säännöllisesti ETA-asukkaiden toimintaa esimerkiksi käyttämällä seurantaevästeitä.
• Yritys käsittelee tietoja ETA-alueella sijaitsevan yrityksen puolesta.

GDPR ei koske vain yrityksiä, jotka käyttävät asiakastietoja kaupallisiin tarkoituksiin. Se koskee lähes kaikkia organisaatioita, jotka käsittelevät ETA:n asukkaiden tietoja mihin tahansa tarkoitukseen. Koulut, sairaalat ja valtion virastot ovat kaikki GDPR:n alaisia.

Ainoat tietojenkäsittelytoiminnot, jotka on vapautettu GDPR:stä, ovat kansallisen turvallisuuden tai lainvalvontatoimet ja puhtaasti henkilökohtainen tietojen käyttö.

Hyödyllisiä määritelmiä

GDPR käyttää tiettyä terminologiaa. Ymmärtääkseen vaatimustenmukaisuusvaatimukset organisaatioiden on ymmärrettävä, mitä nämä termit tarkoittavat tässä yhteydessä.

GDPR määrittelee henkilökohtaiset tiedot kuten kaikki tunnistettavissa olevaan ihmiseen liittyvät tiedot. Kaikki sähköpostiosoitteista poliittisiin mielipiteisiin lasketaan henkilötiedoiksi.

A rekisteröity on ihminen, joka omistaa tiedot. Toisin sanoen se on henkilö, johon tiedot liittyvät. Oletetaan, että yritys kerää puhelinnumeroita lähettääkseen markkinointiviestejä tekstiviestillä. Näiden puhelinnumeroiden omistajat olisivat rekisteröityjä.

Kun GDPR viittaa rekisteröityihin, se tarkoittaa rekisteröityjä, jotka asuvat Euroopan talousalueella. Kohteiden ei tarvitse olla EU:n kansalaisia ​​saadakseen GDPR:n mukaiset tietosuojaoikeudet. Heidän on vain oltava ETA:n asukkaita.

A rekisterinpitäjä on mikä tahansa organisaatio, ryhmä tai henkilö, joka saa henkilötietoja ja päättää kuinka niitä käytetään. Palatakseni edelliseen esimerkkiin, yritys, joka kerää puhelinnumeroita markkinointitarkoituksiin, olisi rekisterinpitäjä. 

Tietojenkäsittely on mikä tahansa tietoon kohdistuva toimenpide, mukaan lukien niiden kerääminen, tallentaminen tai analysointi. A tietojen käsittelijä on mikä tahansa organisaatio tai toimija, joka suorittaa tällaisia ​​toimia.

Yritys voi olla sekä rekisterinpitäjä että prosessori, kuten yritys, joka sekä kerää puhelinnumeroita että käyttää niitä markkinointiviestien lähettämiseen. Käsittelijöihin kuuluvat myös kolmannet osapuolet, jotka käsittelevät tietoja rekisterinpitäjien puolesta, kuten pilvitallennuspalvelu, joka isännöi toisen yrityksen puhelinnumerotietokantaa.

Valvontaviranomaiset ovat sääntelyelimiä, jotka valvovat GDPR-vaatimuksia. Jokaisella ETA-maalla on oma valvontaviranomainen.

Tutustu tietoturva- ja suojaratkaisuihin

GDPR-vaatimustenmukaisuuden tarkistuslista

Korkealla tasolla organisaatio on GDPR-yhteensopiva, jos se:

• Noudattaa tietojenkäsittelyn periaatteita
• Puolustaa rekisteröityjen oikeuksia
• Käyttää asianmukaisia ​​tietoturvatoimenpiteitä
• Noudattaa tiedonsiirron ja tiedon jakamisen sääntöjä

Seuraava tarkistuslista hajottaa nämä vaatimukset tarkemmin. Käytännön toimet, joita organisaatio toteuttaa täyttääkseen nämä vaatimukset, riippuvat muun muassa sen sijainnista, resursseista ja tietojenkäsittelytoimista.

Tietojenkäsittelyn periaatteet

GDPR luo periaatteet, joita organisaatioiden on noudatettava käsitellessään henkilötietoja. Periaatteet ovat seuraavat.

Organisaatiolla on laillinen peruste tietojen käsittelylle.

GDPR määrittelee olosuhteet, joissa yritykset voivat käsitellä henkilötietoja laillisesti. Organisaation tulee luoda ja dokumentoida oikeusperustansa ennen tietojen keräämistä. Organisaation on ilmoitettava tämä peruste käyttäjille tiedonkeruupisteessä. Se ei voi muuttaa perustetta jälkikäteen, ellei sillä ole käyttäjän suostumusta tehdä niin.

Mahdollisia laillisia perusteita ovat:

• Organisaatiolla on kohteen suostumus tietojensa käsittelyyn. Huomaa, että käyttäjän suostumus on voimassa vain, jos se on tietoinen, myönteinen ja vapaasti annettu.
  • Tietoinen suostumus tarkoittaa, että yritys selittää selkeästi, mitä tietoja se kerää ja miten se käyttää niitä.
  • Myöntävä suostumus tarkoittaa, että käyttäjän on ryhdyttävä tahallisiin toimiin osoittaakseen suostumuksensa, kuten allekirjoittamalla lausunto tai rastittamalla valintaruutu. Suostumus ei voi olla oletusvaihtoehto.
  • Vapaasti annettu suostumus tarkoittaa, että yritys ei yritä vaikuttaa tai pakottaa rekisteröityä. Tutkittavan on voitava peruuttaa suostumuksensa milloin tahansa.

• Organisaatiolla on lakisääteinen velvollisuus käsitellä tietoja.

• Organisaation tulee käsitellä tietoja rekisteröidyn tai muun henkilön hengen suojelemiseksi.

• Organisaatio käsittelee tietoja yleisen edun, kuten journalismin tai kansanterveyden, vuoksi.

• Organisaatio on julkinen viranomainen, joka käsittelee tietoja viranomaistehtävän suorittamiseksi.

• Organisaatio käsittelee tietoja oikeutetun edun toteuttamiseksi.
  • A oikeutettu etu on etu, jonka rekisterinpitäjä tai muu osapuoli voi saada käsittelemällä tietoja. Esimerkkejä ovat työntekijöiden taustatarkistukset tai IP-osoitteiden seuranta yritysverkossa tietoverkkojen tarkoituksiin. Oikeutetun edun vaatimiseksi organisaation on osoitettava, että käsittely on tarpeellista eikä loukkaa subjektin oikeuksia. 

Organisaatio kerää tietoja tiettyä tarkoitusta varten ja käyttää niitä vain tähän tarkoitukseen.

GDPR:n käyttötarkoituksen rajoittamisen periaatteen mukaan rekisterinpitäjillä on oltava tunnistettu ja dokumentoitu tarkoitus kerätä tietoja. Rekisterinpitäjän on ilmoitettava tästä tarkoituksesta käyttäjille keräyspisteessä, ja se voi käyttää tietoja vain tähän nimettyyn tarkoitukseen.

Organisaatio kerää vain tarpeellisen vähimmäismäärän dataa.

Rekisterinpitäjät voivat kerätä vain vähimmäismäärän tietoja, jotka ovat tarpeen ilmoittamansa tarkoituksen toteuttamiseksi.

Organisaatio pitää tiedot oikein ja ajan tasalla.

Rekisterinpitäjien on ryhdyttävä kohtuullisiin toimiin varmistaakseen, että heidän hallussaan olevat henkilötiedot ovat tarkkoja ja ajantasaisia. 

Organisaatio poistaa tiedot, kun niitä ei enää tarvita.

GDPR edellyttää tiukkoja tietojen säilyttämis- ja poistokäytäntöjä. Yritykset voivat säilyttää tietoja vain siihen asti, kunnes tietojen keruun määritelty tarkoitus on täyttynyt, ja niiden on poistettava tiedot, kun ne eivät enää tarvitse niitä.

Organisaatio ryhtyy ylimääräisiin varotoimiin käsitellessään lasten tai erityisluokkien tietoja.

Rekisterinpitäjien ja käsittelijöiden on sovellettava lisäsuojaa tietyntyyppisiin henkilötietoihin.

Erityisluokka tiedot sisältävät erittäin arkaluonteisia tietoja, kuten henkilön rodun ja biometriset tiedot. Organisaatiot voivat käsitellä erityisluokkien tietoja vain hyvin rajoitetuissa olosuhteissa, esimerkiksi vakavien kansanterveysuhkien estämiseksi. Yritykset voivat käsitellä myös erityisluokkia koskevia tietoja kohteen nimenomaisella suostumuksella.

Rikostuomioita koskevat tiedot vain viranomaiset voivat valvoa. Käsittelijät voivat käsitellä näitä tietoja vain viranomaisen määräyksellä.

Rekisterinpitäjien on hankittava vanhemman suostumus ennen käsittelyä lasten tietoja. Heidän on ryhdyttävä kohtuullisiin toimiin tutkittavien iän ja vanhempien henkilöllisyyden tarkistamiseksi. Jos rekisterinpitäjä kerää tietoja lapsilta, hänen on esitettävä tietosuojailmoitukset lapsiystävällisellä kielellä.

Jokainen ETA-valtio määrittelee oman määritelmänsä "lapselle" GDPR:n mukaisesti. Ne vaihtelevat "kaikki alle 13-vuotiaista" "kaikkiin alle 16-vuotiaisiin". 

Organisaatio dokumentoi kaikki tietojenkäsittelytoimet.

Yli 250 työntekijän organisaatioiden on pidettävä kirjaa tietojen käsittelystä. Alle 250 työntekijän organisaatioiden on pidettävä kirjaa, jos ne käsittelevät erittäin arkaluonteisia tietoja, käsittelevät tietoja säännöllisesti tai käsittelevät tietoja tavalla, joka aiheuttaa rekisteröidyille merkittävän riskin.

Rekisterinpitäjien on dokumentoitava asioita, kuten keräämänsä tiedot, mitä he tekevät niillä, tietovirtakartat ja tietoturvatoimenpiteet. Käsittelijöiden on dokumentoitava rekisterinpitäjät, joiden parissa he työskentelevät, kullekin rekisterinpitäjälle suorittamansa käsittelytyypit ja käyttämänsä turvatarkastukset.

Rekisterinpitäjä on viime kädessä vastuussa noudattamisen varmistamisesta. 

GDPR:n mukaan lopullinen vastuu tietojen noudattamisesta on rekisterinpitäjällä. Tämä tarkoittaa, että rekisterinpitäjän on varmistettava – ja pystyttävä todistamaan –, että sen kolmannen osapuolen käsittelijät täyttävät kaikki asiaankuuluvat GDPR-vaatimukset. 

Rekisteröidyn oikeudet

GDPR antaa rekisteröidyille tiettyjä oikeuksia heidän tietoihinsa. Rekisterinpitäjien ja käsittelijöiden on kunnioitettava näitä oikeuksia.

Organisaatio tarjoaa rekisteröidyille helppoja tapoja käyttää oikeuksiaan.

Organisaatioiden on annettava rekisteröidyille yksinkertainen keino puolustaa tietojaan koskevia oikeuksiaan. Näitä oikeuksia ovat:

• Käyttöoikeus: Tutkittavien on voitava pyytää ja saada kopiot tiedoistaan ​​sekä asiaankuuluvat tiedot siitä, miten yritys käyttää tietoja.

• Oikeus oikaisuun: Tutkittavien on voitava korjata tai päivittää tietonsa.

• Oikeus poistaa: Tutkittavien on voitava pyytää tietojensa poistamista. 

• Oikeus rajoittaa käsittelyä: Tutkittavien on voitava rajoittaa tietojensa käyttöä, jos he epäilevät tietojen olevan virheellisiä, tarpeettomia tai niitä käytetään väärin. 

• Oikeus vastustaa: Tutkittavien on voitava vastustaa käsittelyä. Aiemmin suostumuksensa antaneiden tutkittavien on voitava helposti peruuttaa se milloin tahansa.

• Oikeus tietojen siirrettävyyteen: Rekisteröidyillä on oikeus siirtää tietojaan, ja rekisterinpitäjien ja käsittelijöiden on helpotettava näitä siirtoja.

Yleensä organisaatioiden on vastattava kaikkiin rekisteröidyn pääsypyyntöihin 30 päivän kuluessa. Yritysten on yleensä noudatettava kohteen pyyntöä, ellei yritys pysty osoittamaan, että sillä on laillinen, pakottava syy olla tekemättä.

Jos organisaatio hylkää pyynnön, sen on perusteltava miksi. Organisaation tulee myös kertoa tutkittavalle, kuinka päätöksestä voi valittaa yrityksen tietosuojavastaavalle tai asianomaiselle valvontaviranomaiselle.

Organisaatio tarjoaa rekisteröidyille tavan kiistää automaattiset päätökset.

GDPR:n mukaan rekisteröidyillä on oikeus olla sidottu automatisoituihin päätöksentekoprosesseihin, jotka voivat vaikuttaa heihin merkittävästi. Tämä sisältää profiloinnin, jonka GDPR määrittelee automaation käyttämiseksi henkilön joidenkin näkökohtien arvioimiseen, kuten hänen työsuorituksensa ennustamiseen.

Jos organisaatio käyttää automaattisia päätöksiä, sen on annettava rekisteröidyille mahdollisuus riitauttaa kyseiset päätökset. Koehenkilöt voivat myös pyytää työntekijää tarkistamaan kaikki heihin vaikuttavat automaattiset päätökset.

Organisaatio on läpinäkyvä sen suhteen, miten se käyttää henkilötietoja.

Rekisterinpitäjien ja käsittelijöiden on tiedotettava rekisteröidyille ennakoivasti ja selkeästi tietojenkäsittelytoimista, mukaan lukien keräämänsä tiedot, mitä he tekevät niillä ja kuinka rekisteröidyt voivat käyttää tietojaan koskevia oikeuksiaan.

Nämä tiedot on tyypillisesti välitettävä henkilölle tiedonkeruun aikana esitettävän tietosuojailmoituksen kautta. Mikäli yritys ei kerää henkilötietoja suoraan kohteilta, tulee tietosuojailmoitukset lähettää kohteille kuukauden kuluessa. Yritykset voivat myös sisällyttää nämä tiedot tietosuojakäytäntöihin, jotka ovat julkisesti saatavilla niiden verkkosivuilla. 

Tietosuoja ja tietosuojatoimenpiteet

GDPR edellyttää, että rekisterinpitäjät ja käsittelijät ryhtyvät toimiin estääkseen henkilötietojen väärinkäytön ja suojellakseen rekisteröityjä vahingoilta.

Organisaatio on ottanut käyttöön asianmukaiset kyberturvallisuusvalvontatoimenpiteet.

Ohjainten ja prosessorien on otettava käyttöön turvatoimet henkilötietojen luottamuksellisuuden ja koskemattomuuden suojaamiseksi. GDPR ei vaadi erityisiä valvontatoimia, mutta siinä todetaan, että yritysten on otettava käyttöön sekä teknisiä että organisatorisia toimenpiteitä.

Tekniset toimenpiteet sisältää teknisiä ratkaisuja, mm identiteetin ja pääsyn hallinta (IAM) alustat, automaattiset varmuuskopiot ja tietoturvatyökalut. Vaikka GDPR ei nimenomaisesti velvoita salauksen Tietojen perusteella se suosittelee, että organisaatiot käyttävät pseudonymisointia ja anonymisointia aina kun mahdollista.

Organisatoriset toimenpiteet sisältää työntekijöiden koulutusta, jatkuvaa riskianalyysit ja muut tietoturvakäytännöt ja -prosessit. Yritysten tulee myös noudattaa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta luodessaan tai ottaessaan käyttöön uusia järjestelmiä ja tuotteita.

Organisaatio tekee tietosuojavaikutusten arvioinnit (DPIA) tarpeen mukaan.

Jos yritys aikoo käsitellä tietoja tavalla, joka aiheuttaa suurta riskiä kohteiden oikeuksille, sen on ensin tehtävä tietosuojavaikutusten arviointi (DPIA). Käsittelytyyppejä, jotka voivat laukaista DPIA:n, ovat muun muassa automaattinen profilointi ja erityisten henkilötietojen laajamittainen käsittely.

Tietosuojaselosteessa on kuvattava käytettävät tiedot, aiottu käsittely ja käsittelyn tarkoitus. Sen on tunnistettava käsittelyyn liittyvät riskit ja keinot näiden riskien vähentämiseksi. Mikäli merkittävää lieventämätöntä riskiä on olemassa, tulee organisaation neuvotella valvontaviranomaisen kanssa ennen eteenpäin siirtymistä.

Organisaatio on tarvittaessa nimittänyt tietosuojavastaavan (DPO).

Organisaation on nimettävä tietosuojavastaava (DPO), jos se valvoo aiheita laajasti tai käsittelee erityisiä tietoja ydintoimintana. Kaikkien viranomaisten on myös nimitettävä tietosuojavastaavia.

Tietosuojavastaava on vastuussa siitä, että organisaatio on GDPR-yhteensopiva. Keskeisiin tehtäviin kuuluu koordinointi tietosuojaviranomaisten kanssa, organisaation neuvonta GDPR-vaatimuksissa ja DPIA:n valvonta.

Tietosuojavastaavan on oltava riippumaton virkamies, joka raportoi suoraan ylimmälle johdolle. Organisaatio ei voi kostaa tietosuojavastaavalle tehtäviensä suorittamisesta.

Organisaatio ilmoittaa tietoturvaloukkauksista valvontaviranomaisille ja rekisteröidyille.

Organisaatioiden on raportoitava suurin osa henkilötietojen tietoturvaloukkauksista toimivaltaiselle valvontaviranomaiselle 72 tunnin kuluessa. Jos tietoturvaloukkauksesta aiheutuu riski rekisteröidyille, organisaation on ilmoitettava siitä myös rekisteröidyille. Organisaatioiden on ilmoitettava aiheista suoraan, ellei suora viestintä ole kohtuutonta, jolloin julkinen ilmoitus hyväksytään.

Käsittelijöiden, jotka kärsivät rikkomuksesta, on ilmoitettava asiasta asianomaisille rekisterinpitäjille ilman aiheetonta viivytystä.

Jos organisaatio sijaitsee ETA:n ulkopuolella, se on nimennyt edustajan ETA:n alueelle.

Kaikkien ETA:n ulkopuolisten yritysten, jotka käsittelevät säännöllisesti ETA:n asukkaiden tietoja tai käsittelevät erityisen arkaluonteisia tietoja, on nimettävä edustaja ETA:ssa. Edustaja koordinoi yrityksen puolesta valtion viranomaisten kanssa ja toimii yhteyshenkilönä GDPR-vaatimustenmukaisuusasioissa.

Tiedonsiirrot ja tiedon jakaminen

GDPR asettaa säännöt siitä, kuinka organisaatiot jakavat henkilötietoja muiden yritysten kanssa ETA-alueella ja sen ulkopuolella.

Organisaatio käyttää muodollisia tietojenkäsittelysopimuksia säätelemään suhteita käsittelijöihin.

Rekisterinpitäjä voi jakaa henkilötietoja käsittelijöille ja muille kolmansille osapuolille, mutta näitä suhteita säännellään muodollisilla tietojenkäsittelysopimuksilla. Näissä sopimuksissa on esitettävä kaikkien osapuolten oikeudet ja velvollisuudet GDPR:n suhteen.

Kolmannen osapuolen käsittelijät voivat käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaisesti. He eivät voi käyttää rekisterinpitäjän tietoja omiin tarkoituksiinsa. Käsittelijän on saatava rekisterinpitäjän hyväksyntä ennen tietojen jakamista alikäsittelijän kanssa.

Organisaatio suorittaa vain hyväksyttyjä tiedonsiirtoja ETA:n ulkopuolelle.

Rekisterinpitäjä voi jakaa tietoja ETA:n ulkopuolella sijaitsevan kolmannen osapuolen kanssa vain, jos tiedonsiirto täyttää vähintään yhden seuraavista ehdoista:

• Euroopan komissio on katsonut kolmannen osapuolen sijaintimaan tietosuojalainsäädännön olevan riittävä.
• Euroopan komissio on katsonut, että kolmannella osapuolella on riittävät tietosuojakäytännöt ja valvonta.
• Rekisterinpitäjä on ryhtynyt kaikkiin tarvittaviin toimenpiteisiin varmistaakseen siirrettävien tietojen turvallisuuden ja yksityisyyden.

Tutustu GDPR-yhteensopiviin ratkaisuihin

GDPR:n noudattaminen on jatkuva prosessi, ja organisaation vaatimukset voivat muuttua, kun se kerää uutta tietoa ja osallistuu uudenlaisiin käsittelytoimiin.

Tietoturva- ja vaatimustenmukaisuusratkaisut, kuten IBM Security® Guardium®, voivat auttaa tehostamaan GDPR-yhteensopivuuden saavuttamista ja ylläpitämistä. Guardium voi löytää automaattisesti GDPR-säännellyt tiedot, valvoa tietojen noudattamista koskevia sääntöjä, valvoa tietojen käyttöä ja antaa organisaatioille valtuudet reagoida tietoturvauhkiin.

Lue lisää IBM:n tietoturva- ja vaatimustenmukaisuustuotteista.