GDPR usein kysytyt kysymykset

Hyvä asiakas,

Uuden EU:n yleisen tietosuoja-asetuksen (GDPR) johdattamana Suomen tulevan tietosuojalain yksityisyydensuojaa koskevat käytännön asiat aiheuttavat luonnollisesti kysymyksiä. Alle on koottu ja vastattu muutamiin yleisimpiin kysymyksiin. Lisäkysymyksiä voi lähettää asiakaspalvelumme osoitteeseen: asiakaspalvelu@abax.fi.

Onko GDPR tietosuoja-asetuksen kanssa mahdollista saada apua?  

Uusi Privacy Assistant -lisäpalvelumme käsittelee useimmat työntekijöidesi kysymykset yksityisyydestä puolestasi, jotta sinä voit keskittyä liiketoimintasi johtamiseen. Privacy Assistant:

  • Varmistaa, että yrityksesi käyttää ABAXin palveluita tietosuojalain mukaisesti
  • Käsittelee työntekijöidesi pyynnöt puolestasi, jotta sinulle jää enemmän aikaa tuotteliaaseen työhön
  • Avustaa sinua tiedottamaan työntekijöitäsi kätevästi ja säännösten mukaisesti liiketoiminnallesi kohdistetuilla dokumenteilla

Jos koet uuden tietosuojalain tuomat vaatimukset hankaliksi ja aikaa vieväksi, Privacy Assistant on täällä sinua varten.

Tilaa Privacy Assistant täältä!

Kysymyksiä ja vastauksia: 

Mitkä ovat suunnitelmanne ollaksenne valmiit uuteen lakiin?

ABAX on täydessä vauhdissa sopeuttamassa uusien yksityisyydensuojaa koskevien sääntöjen käyttöönottoa Suomessa EU:n uuden yleisen tietosuoja-asetuksen (GDPR) johdattamana. Olemme lähetäneet palvelujemme sopimusehtoja koskevat muutokset sekä uuden tietojenkäsittelysopimuksen asiakkaillemme 25. huhtikuuta 2018 (kuukausi ennen uusien sääntöjen voimaantuloa).

Lähettääkö ABAX meille päivitetyn tietojenkäsittelysopimuksen?

Uuden tietosuojalain käyttöönoton seurauksena ABAXin sopimusehdot muuttuvat ja on tehtävä uusi tietojenkäsittelysopimus. ABAX on toimittanut kaikille asiakkailleen nämä 25. huhtikuuta 2018. Muutokset tulevat voimaan 25. toukokuuta 2018.

Voinko minä asiakkaana lähettää oman versioni ABAXin palveluiden tietojenkäsittelysopimuksesta?

ABAX ei voi hyväksyä asiakkaan lähettämää versiota tietojenkäsittelysopimuksesta. ABAXin palveluilla ja niitä rajoittavilla sopimusehdoilla ja tietojenkäsittelysopimuksella on läheinen yhteys, joten on tärkeää, että ne ovat yhteneväiset ja toisiaan täydentävät.

Standardimaalliset tietojenkäsittelysopimukset kattavat harvoin kaikkia ABAXin palveluita. Ne eivät myöskään kata riittävästi henkilötietojen käsittelyä koskevia kohtia.

ABAX pyytää siksi, että tietojenkäsittelysopimus, jonka tulemme lähettämään koskien ABAXin palveluja ja sen seurauksena henkilötietojen käsittelyä riittää.

Mitä muutoksia tulette tekemään sopimusehtoihin mukautuaksenne uuteen tietosuojalakiin?

Tarkistamme parhaillaan sopimusehtoja ja tietojenkäsittelysopimusta uusien lakipykälien mukaisten muutosten tekemiseksi. Varmistamme, että kaikki tarvittavat muutokset sisällytetään päivitettyihin sopimusehtoihimme.

Miten ABAXin työntekijöiden pääsyä henkilötietoihimme valvotaan?

ABAX täyttää alalle tunnusomaiset vaatimukset koskien asiakastietoihin pääsyä. ABAX on sertifioitu ISO 27001 -tietoturvastandardilla, jossa pääsynhallinta on yksi monista elementeistä. Tulemme myös tarkistamaan käyttöoikeuksien valvontaa varmistaaksemme, että kaikki uudet säännökset täyttyvät.

Antaako ABAX oman rekisteriselosteen asiakkaiden työntekijöille?

ABAX antaa rekisteriselosteen koskien ABAXin saamien tietojen käsittelyä vain niissä tapauksissa, joissa ABAX on rekisterinpitäjä. Lisäksi pyrimme tekemään yksityisyydensuojaa koskevan ehdotuksen, jota asiakkaat voivat muokata laatiessaan oman rekisteriselosteen koskien ABAXin palveluja (koska asiakkaamme ovat rekisterinpitäjiä).

Onko ABAX suunnitellut lisätoimia tietoturvan vahvistamiseksi?

Tietoturvan vahvistaminen on jatkuvasti käynnissä, jotta se on tulevaisuuden sääntöjen mukainen ja seuraa teknistä kehitystä.

Käyttääkö ABAX alihankkijoita, joilla on pääsy tietoihimme?

ABAX AS (Norja) käyttää alihankkijoita joissakin operatiivisissa ja kehitykseen liittyvissä tehtävissä. Mikäli näillä palveluntarjoajilla on pääsy asiakkaidemme henkilötietoihin, heidän ja ABAX AS:n välillä tehdään tietojenkäsittelysopimukset tietosuojalain vaatimusten mukaisesti. Tytäryhtiö ABAX Finland Oy:lle ABAX AS on alihankkija ja sillä on tietojenkäsittelysopimus ABAX Finland Oy:n kanssa tietosuojalain vaatimusten mukaisesti. ABAX AS:n tytäryhtiöt Euroopassa ovat:

ABAX Sweden AB

ABAX Danmark A/S

ABAX Finland Oy

ABAX UK Ltd.

ABAX Nederland B.V.

ABAX Poland sp. z o.o.

ABAX Deutschland GMBH

ABAX Performance AS

ABAX Technology AS


Siirtääkö ABAX henkilötietoja EU:n/ETA:n ulkopuolelle ja hyväksytylle kolmannelle maalle?

Tietoja käsitellään EU-/ETA-alueella, lukuun ottamatta tiettyjä palveluita, joista vastaa ABAX AS:n tytäryhtiö Kiinassa (ABAX China Ltd.). Tämä tarkoittaa sitä, että muutamalla ABAXin työntekijällä Kiinassa on pääsy henkilötietoihin ABAX AS:n järjestelmien kautta. ABAX AS varmistaa, että näihin tietoihin pääsy ABAX Kiinan kyseisille työntekijöille vastaa tietosuojalain vaatimuksia. Asianmukaiset sopimukset tehdään hyvissä ajoin ennen uuden tietosuojalain voimaan astumista.

Käsitteleekö ABAX asiakkaidensa arkaluonteisia tietoja?

ABAX ei ratkaisuissaan kerää asiakkaan arkaluonteisia tietoja. ABAX ei vastaa, mikäli asiakas itse, tai hänen valtuuttamansa toinen käyttäjä, tallentaa arkaluonteista tietoa ratkaisuumme.

Miten ABAX toteuttaa ilmoitusvelvollisuuden henkilötietojen loukkaamisesta?

ABAX on jo perustanut tietoturvarikkomustapahtumien varoitusrutiinit osana ISO 27001 -sertifiointia. Näitä rutiineja päivitetään, jotta kaikki uuden tietoturvalain vaatimukset täyttyvät.

Onko muita tietoturvalain kohtia, jotka vaikuttavat meihin ABAXin asiakkaina?

Uudet sopimusehdot ja tietojenkäsittelysopimus lähetetään asiakkaille viimeistään kuukausi ennen uuden tietosuojalain voimaantuloa. Asiakkaan on hyväksyttävä ne ennen määräysten voimaantuloa. Käytännössä tämä tapahtuu useimpien asiakkaiden kohdalla siten, että pääkäyttäjä hyväksyy ne järjestelmään kirjautumisen yhteydessä.

Minne tiedot tallennetaan?

Kaikki tiedot tallennetaan tällä hetkellä ABAX AS:n palvelimiin, jotka sijaitsevat asiallisissa toimintaympäristössä Karlstadissa, Ruotsissa. ABAXin palvelimet sijaitsevat siten EU-/ETA-alueella.

Mitä henkilötietoja tallennetaan?

ABAX tallentaa vain niitä henkilötietoja, joita vaaditaan palvelun toteutumiseen. ABAX tallentaa myös asiakkaan/käyttäjän itse järjestelmään kirjoittamia tietoja.

Tallentaako rekisteröity henkilö itse henkilötietojansa ABAXin järjestelmiin?

Asiakasyritys toimii rekisterinpitäjänä, ABAX tietojenkäsittelijänä. Asiakas täyttää itse henkilötietoja järjestelmiin.

Onko rekisteröity henkilö tietoinen henkilötietojen keräämisestä/rekisteröinnistä?

ABAXin asiakkaan on (rekisterinpitäjänä) ilmoitettava rekisteröidylle järjestelmään syötettyjen tietojen keräämisestä/rekisteröinnistä, kuten ohjeistamme tuotteidemme käyttöönotossa. ABAX on järjestelmään liittyvä tietojenkäsittelijä.

Tietääkö rekisteröity henkilö, minne henkilötietoja on tallennettu?

ABAXin asiakkaan on (rekisterinpitäjänä) ilmoitettava rekisteröidylle minne henkilötietoja on tallennettu, eikä ABAX (tietojenkäsittelijänä).

Onko ABAXin työntekijöille olemassa henkilötietojen poistamista koskevia ohjeita? Onko siitä olemassa dokumentaatiota? Minne dokumentaatio on tallennettu?

Uusien säännöksien mukaisia ohjeita ja prosesseja laaditaan parhaillaan. Ohjeet ja rutiinit tallennetaan ABAXin sisäiseen laatujärjestelmään.

ABAXin palveluiden tietojenkäsittelijänä toimimme asiakkaidemme (rekisterinpitäjä) antamien ohjeiden mukaisesti, myös silloin, kun tiedot poistetaan.

Oletteko arvioineet tietosuojarikkomusta? Onko järjestelmään liittyvä riski- ja haavoittuvuusanalyysi suoritettu ja dokumentoitu? Minne dokumentaatio on tallennettu?

Tietosuojarikkomukseen liittyvien riskien arviointi sekä uusien säännöksien mukaiset riski- ja haavoittuvuusanalyysit ovat keskeinen osa sitä työtä, jonka ABAX on aloittanut sopeutuakseen uuteen tietosuojalakiin. Ohjeet ja rutiinit tallennetaan sisäiseen laatujärjestelmäämme.

Tallentaako ABAX lokitietoja, jotka sisältävät yleiskuvan käyttäjän kirjautumisista ja hänen suorittamistaan toimista (mitä käyttäjät tekevät)?

Jotta voimme neuvoa asiakkaitamme, tallentaa ABAX sopimuksemme mukaisesti lokitietoja: milloin käyttäjä on luotu järjestelmäämme, kuka on luonut käyttäjätilin sekä sisäänkirjautumisten käyttölokin (kellonaika ja IP-osoite). Emme kirjaa mitä käyttäjät tekevät järjestelmissämme, mutta kirjaamme kuitenkin kaiken pääkäyttäjän toiminnan.

Mitä tietoja lähetetään asiakkaille uuteen tietosuojalakiin liittyen ja milloin?

ABAX lähettää tarvittavia tietoja viimeistään kuukausi ennen uuden tietosuojalain voimaantuloa päivitettyjen sopimusehtojen ja tietojenkäsittelysopimuksen yhteydessä.