|
<< Click to Display Table of Contents >> GDPR |
  
|
|
<< Click to Display Table of Contents >> GDPR |
|
Bosch on sitoutunut noudattamaan yleistä tietosuoja-asetusta (GDPR), kun se astuu voimaan 25. toukokuuta 2018 (lisätietoa: http://www.eugdpr.org/).
Tämän johdosta Bosch-verkkosivustot sisältävät yksityiskohtaisia tietoja, jotka vastaavat GDPR:n vaatimuksia.
GDPR:n mukaisesti ilmoitus tietoturvaloukkauksesta tulee olemaan pakollinen kaikissa jäsenvaltioissa, joissa tietoturvaloukkaus voi todennäköisesti "vaarantaa yksilöiden oikeudet ja vapaudet". Se on tehtävä 72 tunnin sisällä siitä, kun tietoturvaloukkaus on tullut rekisterinpitäjän tietoon. Tietojen käsittelijöiden pitää myös ilmoittaa havaitsemastaan tietoturvaloukkauksesta asiakkailleen, rekisterinpitäjälle "ilman aiheetonta viivytystä".
Rekisteröityjen laajennettujen oikeuksien osana on GDPR:ssä määritetty rekisteröityjen oikeus saada reksiterinpitäjältä vahvistus siitä, käsitelläänkö heitä koskevia henkilötietoja vai ei, missä niitä käsitellään ja mihin tarkoitukseen. Lisäksi rekisterinpitäjä on annettava henkilötiedoista jäljennös maksuttomana sähköisessä muodossa. Tämä on todella suuri muutos tietojen läpinäkyvyydessä ja rekisteröityjen oikeuksissa.
Tunnetaan myös tietojen poistamisena, oikeus "tulla unohdetuksi" antaa rekisteröidylle oikeuden vaatia rekisterinpitäjää poistamaan henkilötietonsa, lopettamaan tietojen luovuttamisen ja estää kolmansien osapuolien toimesta tapahtuva tietojen käsittely. Poistamisen ehtoihin, kuten ne on määritetty artiklassa 17, sisältyy tietojen käsittelyn lopettaminen, kun se ei ole enää tarpeellinen käsittelyn alkuperäiseen tarkoitukseen, tai rekisteröity peruuttaa suostumuksensa tietojen käsittelyyn. Tällöin on myös otettava huomioon, että tämä oikeus vaatii rekisterinpitäjää vertaamaan rekisteröidyn oikeuksia "yleiseen tietojen saatavuuden etuun".
GDPR määrää tietojen siirrettävyyden - rekisteröidyn oikeuden saada henkilötietonsa, jotka hän on aiemmin antanut rekisterinpitäjälle, "yleisesti käytetyssä ja koneellisesti luettavassa muodossa" ja oikeuden siirtää ne toiselle rekisterinpitäjälle.
Sisäänrakennettu ja oletusarvoinen tietosuoja on konsepti joka on ollut olemassa jo vuosien ajan, mutta nyt se on otettu osaksi GDPR:n laillisia vaatimuksia. Keskeisintä sisäänrakennetussa ja oletusarvoisessa tietosuojassa on vaatimus tietosuojan sisällyttämisestä järjestelmään suunnitteluun alkuvaiheesta asti, ei vain jälkikäteen tehtynä lisäyksenä. Tarkemmin sanottuna - "Rekisterinpitäjän on...toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet...tehokkaalla tavalla..., tämän asetuksen vaatimusten toteuttamiseksi ja rekisteröityjen oikeuksien suojelemiseksi". 23 artikla vaatii rekisterinpitäjää säilyttämään ja käsittelemään vain täysin välttämättömiä tietoja, joita hän tarvitsee velvollisuuksiensa toteuttamisessa (tietojen minimointi), kuten myös rajoittamaan henkilötietoihin pääsyn vain niihin henkilöihin, jotka tarvitsevat niitä tietojen käsittelyssä.
Nykyisin rekisterinpitäjää vaaditaan ilmoittamaan tietojen käsittelytoiminnoistaan paikallisilla henkilötietojen käsittelysopimuksilla, mikä voi olla kansainvälisille yhtiöille byrokraattinen painajaisuni, koska useimmilla jäsenvaltioilla on erilaiset ilmoitusvaatimukset. GDPR:n mukaan ei ole välttämätöntä tehdä ilmoituksia / rekisteröintejä tietojen käsittelytoimintojen jokaisesta paikallisesta henkilötietojen käsittelysopimuksesta, eikä myöskään tietojen siirroille, jotka perustuvat mallisopimuslausekkeisiin (MCCS:t), vaadita ilmoitusta/hyväksyntää. Sen sijaan tulee olemaan sisäisiä säilyttämisvaatimuksia, kuten edempänä alla selvitetään, ja tietosuojavastaavan nimeäminen tulee pakolliseksi vain niille rekisterinpitäjille ja tietojen käsittelijöille, joiden ydintoimintoihin kuuluvat käsittelyprosessit, joissa seurataan säännöllisesti ja järjestelmällisesti rekisteröityjen henkilötietoja suuressa mittakaavassa tai henkilötietojen erityisryhmiä tai tietoja, jotka liittyvät rikoksiin tai rikoksiin liittyviin syytetoimiin. Mikä tärkeintä, DPO:
•Pitää nimittää ammatillisten pätevyyksien perusteella, erityisesti tietosuojalakien ja käytäntöjen asiantuntemuksen perusteella
•Voi kuulua henkilöstöön tai olla ulkopuolinen palveluntarjoaja
•Yhteystiedot pitää ilmoittaa asianomaisessa henkilötietojen käsittelysopimuksessa
•Heidät pitää varustaa sopivilla resursseilla, joiden avulla he kykenevät suorittamaan tehtävänsä ja ylläpitämään asiantuntemustaan
•Raportoinnin pitää tapahtua suoraan hallinnon ylimmälle tasolle
•Ei saa hoitaa mitään muita tehtäviä, jotka voisivat aiheuttaa eturistiriitoja