Safe Harbor: Toimi näin

Epävarma siitä, mitä Safe Harborin kaatuminen tarkoittaa? Lue ensin aiempi blogimme.

 

Mistä minun pitäisi olla huolissani?

Lain noudattamisesta ja asiakkaiden luottamuksesta. EU tuomioistuin on kumonnut Safe Harbor -käytännön, joka mahdollisti henkilötietojen siirtämisen EU:n ulkopuolelle. Safe Harbor kaatui, koska se ole ei taannut todellista suojaa henkilötiedoille vaan Yhdysvaltain viranomaiset pääsevät tietoihin käsiksi oman lainsäädäntönsä valtuuttamana.

Todennäköisesti myös tällä hetkellä käytetty ”hätäapu” eli ns. sopimusten mallilausekkeet tulevat kaatumaan samasta syystä: ne eivät anna todellista suojaa henkilötiedoille. Henkilötietolaki velvoittaa yrityksiä huolehtimaan siitä, ettei tietoja siirretä EU:n ulkopuolelle ilman lupaa. Lain velvoite on sitova eikä yritys voi siirtää vastuuta kolmannelle osapuolelle tai vedota tietämättömyyteen.

Myös asiakkaiden luottamus on ansaittava. Henkilötietolait on tehty ihmisten yksityisyyden suojaamiseksi. Pelkkä lain noudattaminen ei riitä, yrityksen on myös osoitettava asiakkailleen, että heidän tiedoistaan pidetään erinomaista huolta. Pankit ovat tienneet luottamuksen arvon jo pitkään ja huolehtineet tietosuojasta ja maineestaan sen mukaisesti. Muutamat edelläkävijät kuten F-Secure ovat jo luomassa uutta liiketoimintaa yksityisyyden suojaa turvaamalla.

 

Olenko jo pulassa?

On mahdollista, että yrityksesi rikkoo henkilötietolakia, jos käytätte kansainvälisiä pilvipalveluja, joissa käsitellään asiakastietoja tai muita henkilötietoja. Esimerkiksi Salesforce, Microsoft CRM Online ja Zoho CRM -palvelut toimivat kumotun Safe Harbor -käytännön varassa. Näistä ainakin Microsoft CRM hakee väliaikaista turvaa sopimusten mallilausekkeista. Myös sähköpostimarkkinoinnin ja markkinoinnin automaation ratkaisutarjoajat kuten MailChimp, Hubspot ja Marketo ovat tukeutuneet Safe Harbor – menettelyyn. Hyvin harva pilvipalvelun tarjoaja pystyy aukottomasti kertomaan, minne henkilötiedot on tallennettu ja miten tietoja siirretään käsittelyn eri vaiheissa (esimerkiksi varmuuskopioiden tai asiakastuen lokitietojen säilytyspaikka).

 

Mitä minun pitäisi tehdä?

Neljä askelta, joiden avulla varmistat, että yrityksesi täyttää henkilötietolain velvoitteet asiakastietojen käsittelyssä:

1. Listaa palvelut, joissa käsittelette asiakas- ja henkilötietoja

Kartoita kaikki palvelut, joita yrityksessänne käytetään asiakas- tai henkilötietojen käsittelyyn. Selvitä, minne kuhunkin palveluun tallennetut tiedot fyysisesti päätyvät.

2. Jos et tiedä minne tietoja siirretään, pyydä yrityksesi palvelutoimittajilta selvitys. Pyydä sama selvitys myös alihankkijoiltasi.

Jos palveluntarjoaja ei avoimesti kerro palvelinten sijaintia verkkosivuillaan, pyydä toimittajaa tekemään selvitys asiasta. Voit lähettää esimerkiksi seuraavanlaisen selvityspyynnön:

Arvoisa toimittaja,

EU-tuomioistuin on mitätöinyt Safe Harbor -sopimuksen Yhdysvaltojen kanssa. Pyydämme teitä ilmoittamaan, oletteko luovuttaneet yrityksemme tietoja Safe Harbor -sopimukseen perustuen.

Selvityspyyntö koskee myös tietojen peilaamista, lokien käsittelyä, ongelmatilanteissa toimittajille lähetettyjä tiedostoja, ylläpito-operointia, sähköposteja yms. tietoa, jota käytätte omissa järjestelmissänne tuottaaksenne palvelua.

Selvityksenne tulee kattaa myös käyttämänne alihankkijat, jotka liittyvät yrityksellemme tuotettuihin palveluihin.


Huomioi, että yrityksesi on vastuussa henkilötietolain noudattamisesta vaikka tietojen käsittelijä olisi alihankkija. Lähetä sama selvityspyyntö siis myös alihankkijoillesi.

3. Korjaa yrityksesi toiminta lainmukaiseksi

Selvitä vaihtoehtoiset palvelut, mikäli nykyinen toimittajasi ei kykene henkilötietolain mukaiseen toimintaan. Varsinkin pilvipalveluissa vaihto saattaa olla helpompaa kuin luulet. Turvallisin ja kestävin ratkaisu on valita eurooppalainen toimija, jonka palvelimet sijaitsevat Euroopan unionin talousalueen sisällä. Tällöin et joudu huolehtimaan EU:n tuomioistuimen tulevista päätöksistä esimerkiksi mallisopimuslausekkeisiin liittyen.

4. Muista kertoa hyvästä tietosuojasta myös asiakkaillesi

Kun henkilötietojen käsittely on kunnossa, kerro siitä myös asiakkaillesi. Nosta ainakin päivitetyt rekisteriselosteet esille verkkosivuillesi. Asiakkaasi tuskin pahastuvat vaikka muistuttaisit heitä välillä, että yrityksesi ottaa tietosuojan vakavasti ja heidän tietonsa ovat turvassa.

 

 

Vinessä asiakastietosi ovat turvassa. Palvelinlaitteemme sijaitsevat suojatuissa konesaleissa Suomessa ja tiedot pysyvät aina Suomessa kaikissa asiakastietojen käsittelyn vaiheissa.

Lue lisää Vinen tietoturvallisuudesta:

 

LUE LISÄÄ

 

 

suomalainen crm tietoturva

 

Luettu 6564 kertaa
Muita artikkeleita tässä kategoriassa: Parempien liidien puolesta »

Tuki

Dokumentaatio

Vinen tukiportaali

 

PL LOGO Vine Oy FI 402158 suomen vahvimmat

PL LOGO Vine Oy EN 402158 suomen vahvimmat

Avainlippu Suomalaista palvelua

Reliable Partner