Vaatimustenmukaisuus on jaettu vastuu

Epicor sitoutuu sekä omansa että asiakkaidensa tietosuojan ja yksityisyyden ylläpitoon ja noudattaa EU:n yleistä tietosuoja-asetusta (GDPR, General Data Protection Regulation) sen tullessa voimaan. Vaikka Epicorin GDPR:n noudattaminen auttaa sen asiakkaita ylläpitämään GDPR:n vaatimustenmukaisuustilaa, vaatimusten noudattaminen on jaettu vastuu.

Epicor sitoutuu avustamaan asiakkaitaan noudattamaan GDPR:n vaatimuksia ja jatkaa työskentelyä parannusten tuomiseksi auttamaan oman ja asiakkaidensa vaatimustenmukaisuuden tukemisessa.

Mikä on GDPR?

GDPR:n perusteiden ymmärtäminen

General Data Protection Regulation (GDPR) on uusi laillinen puitekehys, joka korvaa EU:n tietosuojadirektiivin ja joka tulee voimaan 25. toukokuuta, 2018 alkaen. GDPR:n tarkoitus on suojata EU:n lisää kansalaisten tietosuojaoikeuksia säätelemällä, miten organisaatiot hallitsevat ja suojaavat EU-kansalaisten henkilötietoja, riippumatta siitä, missä henkilötietoja kerätään, siirretään, säilytetään tai käsitellään. 

GDPR sisältää useita muutoksia olemassa olevaan lakiin, jotka vaikuttavat siihen, miten EU:n henkilötietoja tulee käsitellä, ja se voi vaikuttaa jokaiseen osastoon monessa yrityksessä maailmanlaajuisesti. Sen odotetaan vaikuttavan kaikkiin organisaatioihin, jotka käsittelevät EU:n henkilötietoja omasta ja toisten puolesta, sekä toimittajien ja muihin kolmansiin osapuoliin, jotka voivat käsitellä EU:n henkilötietoja organisaatioiden puolesta.

Mitä GDPR tarjoaa?

GDPR tarjoaa yksilöille tiettyä oikeuksia ja hallintakeinoja omiin henkilötietoihinsa. GDPR edellyttää lisäksi organisaation henkilötietojen käytön läpinäkyvyyttä ja määrittelee tietoturva- ja muut hallintakeinot henkilötietojen suojaustavoille.

Keihin GDPR vaikuttaa?

GDPR:n asettamat vaatimukset voivat koska kaikkia organisaatioita, jotka käsittelevät EU:n henkilötietoja. Nämä vaatimukset voivat lisäksi koskea kolmansia osapuolia ja muita toimittajia, joita organisaatio voi käyttää henkilötietojen käsittelyyn.

Vaikuttaako GDPR EU:n ulkopuolisiin organisaatioihin?

GDPR:n vaikutukset ulottuvat EU:n rajojen ulkopuolelle. Se voi potentiaalisesti vaikuttaa kaikkiin organisaatioihin niiden sijainnista riippumatta, jos ne keräävät, vastaanottavat, käsittelevät tai säilyttävät EU:sta peräisin olevia henkilötietoja. Tämä asetus voi vaikuttaa mihin tahansa EU:n ulkopuoliseen organisaatioon, joka kerää tai vastaanottaa EU:sta tulevia henkilötietoja.

Mitkä ovat GDPR:n pääperiaatteet?

GDPR:n tarkoitus on vahvistaa olemassa olevia yksilön oikeuksia, ottaa käyttöön uusia oikeuksia ja antaa EU:n kansalaisille lisää valtaa omista henkilötiedoistaan. GDPR:n perusperiaatteet ovat:

  • Läpinäkyvyyden vaatiminen henkilötietojen käsittelyn ja käytön suhteen.
  • Henkilötietojen käsittelyn rajoittaminen tiettyihin laillisiin tarkoituksiin.
  • Henkilötietojen keräyksen ja säilytyksen rajoittaminen niiden käyttötarkoitusta varten.
  • Yksilö voi tietyissä tilanteissa pyytää: henkilötietoihinsa pääsyä, tietojensa korjausta tai poistamista (oikeus tulla unohdetuksi), henkilötietojensa siirtämistä kolmannelle osapuolelle, henkilötietojensa käsittelyn rajoittamista tai vastustamista.
  • Henkilötietojen suojauksen varmistaminen käyttäen asianmukaisia tietoturvatoimia.
  • Henkilötietojen säilytyksen rajoittaminen vain niin pitkäksi aikaa kuin on tarpeen niiden käyttötarkoitusta varten.

Mitä GDPR:n periaatteet merkitsevät yritykselleni?

EU:ssa olevilla henkilöillä voi olla oikeus tietää, muun muassa, käsitelläänkö, käytetäänkö, jaetaanko ja tallennetaanko heidän tietojaan ja miten tämä tapahtuu. Henkilöillä voi lisäksi olla erilaisia muita yksilöllisiä oikeuksia, kuten pääsyn saaminen heidän omiin henkilötietoihinsa. Kun tällaisiin pyyntöihin vastataan, tiedot on annettava henkilölle selkeällä ja ymmärrettävällä tavalla.

Henkilöillä voi lisäksi olla oikeus saada henkilötietonsa korjatuksi tai poistetuksi. Jos henkilö ei enää halua, että hänen tietojaan käsitellään, ja organisaatiolla ei ole muuta laillista perustetta niiden pitämiselle, tiedot tulee poistaa.

GDPR antaa EU:ssa oleville henkilöille myös oikeuden tietää, milloin heidän henkilötietojensa turvallisuutta on loukattu. GDPR edellyttää organisaatioita tiedottamaan henkilöille korkean riskin tietoturvaloukkauksista asianomaisille tietosuojaviranomaisille tiedottamisen lisäksi.

GDRP-määritelmät

GDPR käyttää useita termejä, jotka eivät ehkä ole tuttuja tai täysin selkeitä. Olemme pyrkineet yksinkertaistamaan niitä.

Henkilötiedot: Henkilötiedot ovat GDPR:n ytimessä, ja henkilötietojen määritelmä on laaja. Esimerkkejä henkilötiedoista ovat nimi, sähköpostiosoite, puhelinnumero, fyysinen osoite, laitetunnistimet, kuten IP-osoitteet, paikannustiedot, terveystiedot, taloustiedot, ikä, syntymäaika jne. Siitä huolimatta, että henkilön nimen tai sähköpostiosoitteen kaltaiset tiedot voivat olla saatavilla julkistenhakujen tai muiden julkisten asiakirjojen kautta, niitä voidaan pitää GDPR:n mukaan suojeltavina henkilötietoina. Jos organisaatio ei ole varma siitä, onko henkilöön tai henkilön laitteeseen liittyvä tieto henkilötieto, on yleisesti oletettava sen olevan sellainen.

Rekisterinpitäjä: Rekisterinpitäjä on organisaatio, joka määrittää, miten ja mitä tarkoituksia varten henkilötietoja kerätään, käytetään, käsitellään, paljastetaan ja säilytetään. Esimerkiksi, kun yritys kerää henkilötietoja suoraan henkilöltä tai vastaanottaa henkilötietoja kolmannelta osapuolelta, joka keräsi ne yrityksen puolesta, yritys on yleensä rekisterinpitäjä.

Käsittely: Käsittely on toimenpide, joka tehdään henkilötiedoille – olipa kyse automaattisesta tavasta tai ei. Tämä sisältää henkilötietojen keräyksen, tallennuksen, järjestämisen, jäsentämisen, säilytyksen, muokkauksen tai muuntelun, noudon, konsultoinnin, käytön, paljastamisen lähettämällä, levittämisen tai muutoin saataville saattamisen, kohdistamisen tai yhdistämisen, rajoituksen, poistamisen tai tuhoamisen. Lähes mitä tahansa, mitä henkilötiedoille tehdään, voidaan pitää käsittelynä.

Käsittelijä: Käsittelijä on organisaatio, joka käsittelee (esim. kerää, tallentaa, käyttää tai paljastaa) henkilötietoja ainoastaan rekisterinpitäjän puolesta ja rekisterinpitäjän ohjeiden mukaisesti.

Mitä minun pitää huomioida koskien GDPR:ää?

Järjestelmäsi ja ohjelmistosi ovat tärkeitä seikkoja, kun pyritään täyttämään GDPR:n vaatimukset, ja niiden tulee olla osa vankan organisaationlaajuisen lähestymistavan käyttöönottoa GDPR-vaatimustenmukaisuuden saavuttamiseksi. Suuri osa GDRP:n vaatimusten täyttämisessä liittyy prosesseihin ja organisaation tulee huomioida seuraavaa:

  • Tunnista, mitä henkilötietoja teillä on ja missä ne sijaitsevat.
  • Toteuta vankat valvontakeinot henkilötietojen pääsyä ja käyttöä varten.
  • Muodosta asianmukaiset tietoturvahallintakeinot tietoturvaloukkausten ja -haavoittuvaisuuksien estämiseksi, tunnistamiseksi ja niihin reagoimiseksi.
  • Vastaa henkilöiden pyyntöihin, joissa vaaditaan heidän tietosuojaoikeuksiaan (esim. pyynnöt tarjota henkilölle kopio heidän henkilötiedoistaan).
  • Ylläpidä vaatimustenmukaisuuden dokumentointia, mukaan lukien tiedot käsittelytoiminnoista ja vastauksista yksilöiden pyyntöihin.
  • Raportoi kaikki tietoturvaloukkaukset oikea-aikaisesti lain edellyttämällä tavalla.

Mitä Epicor tarjoaa minulle auttamaan organisaatiotani noudattamaan GDPR-vaatimuksia?

Epicor sitoutuu tietoturvaan ja yksityisyyden suojaan sekä itsensä että asiakkaidensa puolesta kaikkialla maailmassa. Aivan kuten muidenkin olemassa olevien lakien ja määräysten vaatimuksien suhteen, Epicor ottaa roolinsa tietojen rekisterinpitäjänä ja käsittelijänä vakavasti.

GDPR:n noudattaminen on jaettu vastuu Epicorin ja sen asiakkaiden välillä. Epicor-tuotteet ja -palvelut voivat auttaa sinua noudattamaan GDPR:ää, kun ne käsittelevät henkilötietoja. Tuotteemme ja palvelumme tarjoavat esimerkiksi toiminnallisuuden, joka auttaa täyttämään yksilöiden oikeuksia koskevat pyynnöt. Tuotteet ja palvelut, mukaan lukien Epicorin palvelinratkaisut, sisältävät tietoturvatoimia ja pääsynvalvonnan. Organisaatiot voivat ottaa käyttöön Epicorin tuotteiden ja palvelujen toiminnallisuuden ja menettelyt auttamaan heitä täyttämään GDPR-vaatimustenmukaisuuden velvoitteet.

Epicor sitoutuu myös avustamaan asiakkaitaan täyttämään heidän liiketoimintaansa koskevat erilaiset vaatimukset, GDPR mukaan lukien. Siten Epicor jatkaa muuttuvien lakien ja parhaiden käytäntöjen seuraamista tuotteidensa, sopimustensa ja dokumentaationsa parantamiseksi ja auttaakseen tukemaan asiakkaidensa vaatimustenmukaisuuden ylläpitämistä laillisissa velvoitteissa, kuten GDPR.