EU GDPR (Yleinen tietosuoja-asetus) ja sähköpostin tietoturva
Onko yrityksesi sähköposti tulevan EU:n tietosuoja-asetuksen mukainen?
EU:n uusi yleinen tietosuoja-asetus (GDPR) määrittelee, miten EU-kansalaisten henkilötietojen käsittely tulee järjestää EU:n alueella. Asetus astuu voimaan 25.5.2018 ja korvaa olemassa olevat kansalliset tietosuojalait. GDPR koskee kaikkia EU:n sisällä ja ulkopuolella toimivia organisaatiota, jotka hallinnoivat ja käsittelevät EU-kansalaisten henkilötietoja. Toisin kuin yksityisyyden suojaa koskevat lait muualla maailmassa, uusi tietosuojalainsäädäntö ei ole alakohtainen. Tämä tarkoittaa sitä, että samat säädökset koskevat niin pienyrityksiä kuin suuria monikansallisia yrityksiä toimialasta riippumatta muutamia harvoja poikkeuksia lukuun ottamatta. Tästä syystä EU:n uusi tietosuoja-asetus vaikuttaa kaikkiin organisaatioihin.
EU:n uusi tietoturva-asetus tekee salauksesta pakollista. Tiedot tulee salata aina, kun se on mahdollista. Tämä tarkoittaa myös tilanteita, jolloin tietoja tallennetaan tai niitä siirretään. Salausvelvoite koskee yhtälailla myös julkisia pilvipalveluita, joissa tulisi mieluiten olla käytössä käyttäjien hallitsemat salausavaimet pilvipalvelun tarjoamien avainten lisäksi.
Jos henkilötiedot salataan koko niiden elinkaaren ajan vahvoilla ja hyväksytyillä algoritmeilla, ne eivät kuulu GDPR:n soveltamisalaan. Artikla 32(1) toteaa salauksen olevan asianmukainen suojausmenetelmä. Salauksessa tulee tällöin huomioida kaikki päätepisteet. Henkilötiedot ovat aina henkilötietoja riippumatta siitä, missä niitä säilytetään. Jos esimerkiksi henkilötietoja sisältävä mobiililaite murretaan matkustamisen aikana, tämä vertautuu EU:n tietosuoja-asetuksen mukaan tietokantaan kohdistuneeseen tietoturvaloukkaukseen.
Vaikuttaako GDPR organisaatiosi sähköpostikäytäntöihin?
Käytetäänkö organisaatiossasi sähköpostia EU:n alueella olevien asiakkaittenne, työntekijöittenne, harjoittelijoidenne tai johtohenkilöidenne henkilötietoja sisältävien viestien ja tiedostojen lähettämiseen? Nämä henkilötiedot voivat olla esimerkiksi nimiä, osoitteita, sähköpostiosoitteita, puhelinnumeroita, tieto sukupuolesta tai kansallisuudesta, henkilötunnuksia, tilinumeroita, verkkotunnisteita (esim. IP-osoitteita) tai sellaisia tunnusomaisia fyysisiä, fysiologisia, psyykkisiä, taloudellisia, kulttuurillisia tai sosiaalisia tekijöitä, joista voidaan tunnistaa yksittäisiä EU-kansalaisia. Lyhyesti sanottuna henkilötiedot ovat mitä tahansa tietoja, joista voidaan tunnistaa yksittäinen henkilö.
Jos lähettämäsi sähköpostit tai liitetiedostot sisältävät tällaisia tietoja, niihin sovelletaan EU:n tietosuoja-asetusta. Henkilötietojen välittäminen ja säilyttäminen katsotaan käsittelyksi.
Lue laatimamme EU GDPR ja sähköposti -white paper, jossa kerromme tarkemmin tietosuoja-asetuksen vaikutuksesta sähköpostiin ja miten EEZY KEYZ® varmistaa että sähköpostisi on tietoturvavaatimusten mukainen!