GDPR-yhteensopiva Lyyti täyttää tai ylittää kaikki GDPR-tietosuoja-asetuksen asettamat vaatimukset.
Tästä artikkelista löydät seuraavat osiot:
- Lyhyesti
- Mitä velvoitteita minulla on Lyytin asiakkaana?
- Miten pääsen helposti alkuun?
- Miten Lyyti on valmistautunut tietosuoja-asetukseen?
- Luotettavuus, asiantuntemus ja resurssit
- Sopimukset tietojen käsittelystä
- Tietojen käsittely ja alihankkijat
- Turvallisuus
- Palvelun valmius tietosuoja-asetuksen vaatimuksiin
- Tietojen hakeminen ja poistaminen
- Tukemme sinulle
- Tietojen siirto kansainvälisesti
Lyhyesti
25. toukokuuta 2018 voimaan astuva EU:n uusi tietosuoja-asetus on yksi merkittävimmistä tietosuojaan liittyvistä kansainvälisistä lakimuutoksista vuosikymmeniin. Asetuksen tarkoituksena on lisätä yksilön oikeuksia oman henkilötietonsa hallinnassa ja käsittelyssä, sekä yhtenäistää lainsäädäntöä Euroopan Unionin sisällä.
Lyyti on vahvasti sitoutunut uuteen tietosuoja-asetukseen ja olemme asetuksen vahvistamisesta lähtien tutustuneet sen sisältöön ja vaikutuksiin. Asetuksen noudattamisen lisäksi meille on erityisen tärkeää auttaa asiakkaitamme asetuksen noudattamisessa. Tätä tavoitetta toteutamme koulutuksen ja ohjeistuksen, sekä palvelun teknisen kehittämisen avulla.
Mitä velvoitteita minulla on Lyytin asiakkaana?
Lyytin asiakkaat toimivat yleensä rekisterinpitäjinä niille rekistereille ja osallistujatiedoille, joita he Lyytissä käsittelevät. Rekisterinpitäjän (asiakkaan) tehtävänä on määrittää rekisterin käyttötarkoitus (esim. koulutukset), kun taas rekisterin käsittelijän (Lyyti) tehtävänä on auttaa asiakasta tiedon käsittelyssä käyttötarkoituksen mukaisella tavalla. Suomeksi tämä tarkoittaa sitä, että asiakas käyttää Lyytiä suunnittelemaansa käyttötarkoitukseen ja Lyyti avustaa asiakasta tämän tarkoituksen toteuttamisessa!
Rekisterinpitäjän (asiakkaan) vastuulla on huolehtia, että rekisteröityjen tietoja käsitellään teknisesti ja hallinnollisesti asetuksen vaatimuksien mukaisesti. Asetus pitää sisällään merkittäviä muutoksia mm. siihen, millä perusteilla rekisterejä voi ylläpitää. Tämän lisäksi rekisterinpitäjän tulee huolehtia oman toimintansa läpinäkyvyydestä rekisteröidyille, tietojen oikeellisuudesta, henkilötiedon käytön rajoittamisesta. Erityisen tärkeässä roolissa on tarpeettoman tiedon poistaminen ja rekisteröidyn oikeuksien varmistaminen. Rekisteröidyille tulee asetuksen mukaan oikeutena pyytää rekisteröityjä tietojaan, päivittää niitä, sekä tietyin edellytyksin vaatia myös tietojen poistamista.
Mikäli olet rekisterinpitäjä, suosittelemme sinua tutustumaan asetuksen sisältöön. Erinomaisia työkaluja tässä ovat esimerkiksi tietosuojavaltuutetun ohjeet, sekä “Miten valmistaudun tietosuoja-asetukseen?” -opas.Suosittelemme myös tutustumaan tilanteeseen lakimiehen avustamana, sillä heidän tarjoamansa palvelut tai koulutukset voivat antaa omalle organisaatiollesi kohdistettuja ohjeita.
Miten pääsen helposti alkuun?
- Tutustu tietosuoja-asetukseen, sekä Tietosuoja-valtuutetun ohjeisiin. Nämä ovat tärkeitä ohjeita kaikille rekisterinpitäjille.
- Tutustu Lyytin tuottamaan materiaaliin tietosuoja-asetuksesta.
- Tutki mitä rekistereitä ylläpidät, sekä varmista niiden yhteensopivuus asetuksen vaatimuksiin.
- Luo uudet tietosuoja-asetuksen mukaiset tietosuojaselosteet. Olemme luoneet avuksesi esimerkkitietosuojaselosteen jota voit käyttää mallina. Löydät malliselosteen täältä.
- Tutki miten nykyiset käyttämäsi ohjelmistot, palvelut, käytännöt ja prosessit ovat yhteensopivia asetuksen kanssa. Tee asianmukaiset käsittelysopimukset kaikkien rekisterisi käsittelijöiden kanssa. Lyyti tarjoaa käyttöösi valmiin tietosuojaliitepohjan.
- Tutustu organisaatiosi tilanteeseen lakimiehen avustamana, sillä heidän tarjoamansa palvelut tai koulutukset voivat antaa omalle organisaatiollesi kohdistettuja ohjeita.
Miten Lyyti on valmistautunut tietosuoja-asetukseen?
Luotettavuus, asiantuntemus ja resurssit
Olemme työskennelleet Lyytissä yli vuoden oppiaksemme ymmärtämään tietosuoja-asetuksen vaatimuksia ja niiden soveltamista tarjoamaamme palveluun. Osana tätä työtä olemme kouluttaneet henkilökuntaamme tietosuojan asiantuntijoiksi. Lyytin tietosuojatoiminta on vastuutettu koko yrityksen johdolle, sekä erikseen nimetylle tietosuojavastaavalle (DPO), joka vastaa toiminnasta osana johtoryhmää.
Asetuksen vaatimia muutoksia varten on perustettu erillinen tietosuojatyöryhmä, jonka tehtävänä on jalkauttaa tietosuojaprosessit ja muutokset osaksi yrityksen kaikkia toimintoja ja palveluita.
Sopimukset tietojen käsittelystä
Ymmärrämme tärkeän roolimme arvokkaiden ja luottamuksellisten henkilötietojen käsittelijänä ja suhtaudumme vakavasti siihen vastuuseen, jonka asiakkaamme meille antavat. Olemme kuukausien mittaan rakentaneet yhdessä asiakkaidemme kanssa tietosuoja-asetuksen mukaista tietosuojaliitettä, jossa yksilöidään asiakkaamme rekisterin käsittelyohjeet. Nämä ohjeet toimivat perustana kaikelle käsittelytoiminnallemme.
Tietosuojaliite on vapaasti tutustuttavissa täällä. Edellytämme tämän sopimusosan allekirjoittamista kaikilta asiakkailtamme, jotta voimme varmistua turvallisesta ja lainmukaisesta henkilötietojen käsittelystä myös 25.5.2018 jälkeen. Tulemme käsittelemään Lyytiin syötettyjä henkilötietoja vain ja ainoastaan tämän ohjeistuksen mukaisesti.
Lyytin työntekijät sitoutuvat vähintään vuosittain järjestettäviin tietosuoja- ja tietojenkäsittelykoulutuksiin, joiden tuella varmistamme tietojen luotettavan käsittelyn. Kaikki työntekijämme ovat myös salassapitovelvollisuuden alaisia asiakkaidemme tiedoista.
Tietojen käsittely ja alihankkijat
Lyytin tavoitteena on tarjota mahdollisimman turvallista ja laadukasta palvelua asiakkaillemme. Kuten monet muutkin SaaS-palvelut, myös me käytämme alihankkijoita ja kumppaneita palvelumme tarjoamiseksi. Tämä tarkoittaa, että henkilötietojen käsittelyyn osallistuu myös tapauskohtaisesti myös alihankkijoitamme. Kaikki alihankkijamme käyvät läpi tarkan auditointiprosessin, jossa varmistamme heidän täyttävän samat vaativat tietoturvan ja tietosuojan kriteerit, joihin myös itse sitoudumme. Osana tietojenkäsittelysopimusta asiakkaidemme tulee hyväksyä alihankkijoidemme käyttö henkilötietojen käsittelyssä. Listan alihankkijoistamme löydät täältä.
Turvallisuus
Keskeisenä osana uutta tietosuoja-asetusta on henkilötietojen turvallisuus ja luottamuksellisuus. Varmistamme asiakkaidemme tiedon turvallisuuden noudattamalla alan parhaita käytäntöjä ja standardeja, sekä kehittämällä jatkuvasti valmiuttamme yhä uusien turvallisuuskäytäntöjen luomiseen.
Palvelumme on luotu vakaalle virtuaalialustalle, joka fyysisesti sijaitsee Helsingissä. Palvelinsalimme on KATAKRI- ja VAHTI-auditoituja, mikä tarkoittaa niiden olevan turvallisuudeltaan yhteensopivia myös valtionhallinnon ja puolustusvoimien käyttöön. Omassa toiminnassamme olemme myös ottaneet KATAKRI-auditointikriteerit oman turvallisuusmallimme pohjaksi. Nämä mallit on huomioitu Lyytin kokonaisturvallisuutta määrittelevässä turvallisuuspolitiikassa, sekä turvallisuusohjelmassa, joka määrittää käytännön toimenpiteitä teknologiaan, fyysiseen tilaan, sekä henkilöstöön liittyvissä asioissa.
Palvelinarkkitehtuuri on rakennettu vikasietoiselle N+1-periaatteelle, mikä tarkoittaa että pystymme tarjoamaan palvelun myös yksittäisten laitteiden tai palveluiden vikaannuttua. Ylläpidämme useita eri varmuuskopioita eriytetyissä palveluissa, jolloin voimme myös varmistua tietojen palautuksesta ja eheydestä ongelmatilanteiden sattuessa.
Palvelumme turvallisuutta varmistetaan Lyytin toimesta tasaisin väliajoin toteutettavilla teknisillä ja organisatorisilla auditoinneilla. Toteutamme myös vuosittain auditointeja kolmansien tahojen toimesta.
Palvelun valmius tietosuoja-asetuksen vaatimuksiin
Koko tuotekehitystiimimme on ahkeroinut tämän vuoden tuodakseen asiakkaidemme avuksi parhaat mahdolliset työkalut. Nämä työkalut auttavat ennen kaikkea rekisterin läpinäkyvyyden helpottamisessa, sekä asetuksen muiden velvoitteiden täyttämisessä.
Uusia työkaluja ovat esimerkiksi:
- Rekisteriselosteiden automaattinen lisääminen kaikkiin ilmoittautumissivuihin, sekä sähköposteihin
- Rekisteröidyn oikeuksien ja rekisterin käyttötarkoituksen mukaisen suostumuksen antaminen ilmoittautumisessa
- Osallistujien antamien suostumusten seuraaminen ja valvonta
- Rekisteröidyn tekemän tietopyynnön perusteella tehtävä osallistujatietojen haku, muokkaaminen, sekä poistaminen.
Tietojen hakeminen ja poistaminen
Lyyti antaa asiakkaille erinomaiset työkalut yksittäisten rekisteröityjen tiedon hakemiseen, sekä poistamiseen. Jos asiakkuutesi meillä kuitenkin päättyy, tai haluat jostain muusta syystä hakea, tai poistaa kaikki henkilötiedot, tarjoamme sinulle tähän oikeat työkalut.
Tapahtuma-, osallistuja- ja muiden henkilötietojen hakeminen onnistuu helposti REST-rajapintamme avulla. Löydät sen kätevästi osoitteesta https://lyyti.readme.io. Tämän lisäksi varmistamme asiakkuutesi loputtua pyydettäessä henkilötietojen vahvistetun poistamisen omista ja alihankkijoidemme tietomassoista. Poistamme tietosi aina ilmoitetun määräajan sisällä, ellei meillä ole lain tai oikeutetun edun määräämää syytä tietojen säilyttämiseksi.
Tukemme sinulle
Lyytin tietosuojatyöryhmä tarjoaa apua tietosuoja-asetuksen Lyytin käyttöön liittyvissä kysymyksissä. Lisäksi asiakkuspäällikkömme ja asiakaspalvelijamme tarjoavat sekä käyttötukea että opastusta Lyytin tietosuoja-ominaisuuksien käytössä.
Tietojen siirto kansainvälisesti
Lyyti ei milloinkaan siirrä käsittelysopimustemme alaista ja asiakkaidemme palveluun syöttämää henkilötietoa Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Pidämme myös huolen siitä, että alihankkijamme myös sitoutuvat tähän käytäntöön.
Lyyti varaa oikeuden käsitellä omien henkilörekisteriensä alaista tietoa Euroopan Unionin tai Euroopan talousalueen ulkopuolisissa maissa, mikäli näiden palveluiden riittävästä tietoturvasta ja tietosuojasta on huolehdittu asianmukaisin keinoin. Pyrimme myös minimoimaan EU:n ulkopuolella käsiteltävän tiedon määrää, mutta internetin avoimesta luonteesta johtuen emme voi täysin rajoittaa käsittelyä.
Kommentit
0 kommenttia
Kirjaudu sisään jättääksesi kommentin.