“Meidän täytyy korjata vuoto ensin, sen jälkeen voimme ilmoittaa” saattaa kuulostaa loogiselta juuri sillä hetkellä. Mutta GDPR asettaa selkeät vaatimukset: kaikille asianosaisille on ilmoitettava tietomurron tapahtuessa, jos identiteettivarkauden tai petoksen riski on olemassa. GDPR-koulun viidennessä osassa käymme läpi uudet säännöt sekä sen, mitä sinun tulee ottaa huomioon. Lähde mukaan!

Mitä GDPR sanoo?

Kun GDPR astuu voimaan toukokuussa 2018, yksityishenkilöillä (myös työtekijöillä) on oikeus saada tietoa jos on tapahtunut tietomurto, joka saattaa vaarantaa heidän henkilötietojaan. Tapaus tulee myös ilmoittaa Tietovalvontavirastolle 72 tunnin sisällä.

Lue lisää GDPR:n perusteista täältä

Mitä sinun tulee tehdä yrittäjänä?

Laki sanoo konkreettisesti, että yrityksesi on ilmoitettava asianosaisille henkilöille, jos epäilette heidän henkilötietojensa joutuneen vääriin käsiin ja mikäli on olemassa identiteettivarkauden tai petoksen riski. Tämä siitä syystä, että jokaisella henkilöllä on mahdollisuus vaihtaa salasanat tai ryhtyä muihin toimenpiteisiin tilanteesta riippuen. Teidän tulee myös dokumentoida henkilötietotapahtuma ja ilmoittaa se Tietovalvontavirastolle 72 tunnin sisällä tietomurrosta.

Selkeästä aikakehyksestä ja dokumentointivaatimuksesta johtuen sinulla ja kollegoillasi tulee olla tarkoin harkittu suunnitelma mahdollisen tietomurron tai vuodon käsittelemiseen. Mitä tehdään? Kuka tekee? Jos teillä ei ole suunnitelmaa, tilanteen kohdallenne osuessa nuo 72 tuntia tulevat kulumaan nopeammin kuin aavistattekaan! Varautukaa siis etukäteen ja seuratkaa päätettyjä rutiineja tietomurron sattuessa – silloin yrityksesi on periaatteessa täyttänyt GDPR:n asettamat vaatimukset.

Vaikutukset IT-työhön ja kriisiviestintään

Aikaisemmissa tietomurroissa yritykset ovat voineet jättää ilmoittamatta niistä selittäen, että he haluavat ensin sulkea tietoturva-aukon “niin, ettei kukaan voi avata sitä uudelleen”. Mutta tämä on ollut epäselvää: Voidaanko odottaa miten pitkään tahansa? Eikö asianosaisille pitäisi antaa mahdollisuus ryhtyä omiin toimiinsa?

Tästä syystä GDPR ilmoittaakin selkeämmin sen, mikä on voimassa tulevaisuudessa, ja antaa enemmän valtaa yksityishenkilöille. Yrityksillä tulee olla rutiinit tietotekniikkahäiriöille ja niiden on oltava valmistautuneita “kriisiviestintään”, jotta vahingolle alttiina olevat henkilöt voivat ryhtyä jonkinlaisiin toimenpiteisiin. Ja tässä on se monien vaatimusten hyvä puoli: GDPR:n määräyksiä seuraamalla yrityksesi antaa enemmän tietynlaista päättäväisyyttä ympärillänne oleville henkilöille ja rakentaa samalla luottamusta olemalla avoin. Älkää unohtako sitä!

Huomaa: me Limellä tiedämme ehkä paljon GDPR:stä, mutta olemme ensisijaisesti CRM-asiantuntijoita emmekä suinkaan lakimiehiä (lakiopinnot eivät ole myöskään suunnitelmissa lähitulevaisuudessa). Muistutuksemme GDPR-asioista eivät näin ollen ole mitään oikeudellisia neuvoja. Näe ne pikemminkin informaationa ja inspiraationa aloittamaan työ GDPR:n kanssa – sinun ja yrityksesi tulee itse tutustua huolellisesti eri kysymyksiin ja hankkia tarvittaessa oikeudellista apua. Onnea matkaan!