GDPR termit – ota GDPR haltuun

GDPR tarkoittaa suomeksi EU tietosuoja-asetusta. Aiheeseen liittyy myös useita muita termejä ja sanoja, jotka on hyvä olla hallussa asetuksesta puhuttaessa. Alta löydät yleisimmät EU tietosuoja-asetukseen liittyvät termit selitteineen.

Mikä on EU-tietosuoja-asetus?

GDPR eli General Data Protection Regulation on vuonna 2016 voimaan tullut EU:n tietosuoja-asetus, jonka tarkoitus on turvata kansalaisten henkilötiedot. Tämä tapahtuu pakottamalla lainsäädännön avulla yritykset ja organisaatiot luomaan järjestelmiä ja prosesseja tietojen turvaamiseksi.

Henkilörekisteri

Henkilörekisteri on tietokanta, listaus tai dokumentti, jossa on yksi tai useampi ihmisen yksilöivä tieto. Henkilörekisteri voi koostua sekä organisaation ulkopuolisista henkilöstä, kuten asiakkaista että organisaation sisäisistä henkilöistä, kuten työntekijöistä tai alihankkijoista.

• • • • • Asiakasrekisteri
        • Palkanlaskennan järjestelmä (yleensä tilitoimistolla)
        • Asiakasrekisteri myynti- tai tuotantojärjestelmässä
          • Verkkokauppa
          • Logistiikka
          • Maksujärjestelmät
          • CRM
        • Active Directory tai vastaava yrityksen sisäinen järjestelmä
          • Exchange, Skype yms.
        • Julkishallinnon rekisterit tai massarekisterit 
          

Massarekisteri

Massarekisteri on kuin mikä tahansa henkilörekisteri, mutta se on kooltaan merkittävän suuri ja sisältää tyypillisesti satojatuhansia tai miljoonia henkilöitä. Massarekisterin ylläpitäjää koskee vastaavat vastuut ja velvoitteet kuin esimerkiksi poliisia tai sairaalaa.

Rekisterinpitäjä vs. Käsittelijä

Rekisterinpitäjä on se, joka ylläpitää rekisteriä omaa toimintaansa varten.

Käsittelijä voi olla Etevän tyylinen konesalipalveluita tarjoava taho, jonka verkkojen ja palvelimien läpi tieto liikkuu. Käsittelijä voi olla myös esimerkiksi ulkoinen tilitoimisto, joka on luonut työntekijöistä palkansaajien henkilörekisterin.

Tietotilinpäätös

Tietotilinpäätös sisältää käytännön tietoturvan kartoittamisen:

• • • • • Fyysiset ympäristöt (toimisto, konesalit yms.)
        • Laitteistojen ja ohjelmistojen tietoturva
        • Tietoturvapolitiikan arviointia
        • Vastuuhenkilöt
        • Kuvaus tietojen käsittelyn nykytilasta
          
          

GAP-Analyysi

GAP-analyysin (eli puuteanalyysi on menetelmä, jolla voidaan mm. verrata ja kuvata nykytilan ja tavoitetilan välistä eroa) tarkoitus on sekä verrata olemassa olevaa tilannetta että hahmottaa tavoiteltua tilannetta kehityssuunnitelmaa varten.

• • • • • Kartoitetaan rekisteröidyn oikeuksien toteutumisen nykytila
        • Riskianalyysi
        • Kuvataan kehitystarpeet
        • Analysoidaan nykytilan lopputulokset
        • Tavoitetilan hahmotus

Rekisteriseloste / tietosuojaseloste

Rekisteriseloste tehdään jokaisesta erillisestä rekisteristä. Myynnin CRM ja palkanlaskennan henkilörekisterit ovat kaksi eri rekisteriä, joilla on eriävät käyttötarkoitukset.

Rekisteriselosteessa kuvataan muun muassa seuraavia asioita:

• • • • • Rekisterin kuvaus
        • Käyttötarkoitus
        • Mitä tietoja tallennetaan (nimi, sähköposti, hetu jne.)
        • Mistä tiedot on kerätty
          
          

Lue myös:

• Mikä on GDPR EU-tietosuoja-asetus 2018?
• GDPR-vaatimukset – näin yrityksesi pitää valmistautua