24. toukokuuta 2018

Uusi tietosuoja-asetus eli GDPR (General Data Protection Regulation) astuu voimaan 25. toukokuuta 2018. Asetusta sovelletaan kaikissa EU:n jäsenvaltioissa, ja se korvaa kansalliset säännöt, kuten Suomessa vuodesta 1999 voimassa olleen henkilötietolain. Tietosuoja-asetuksen tarkoituksena on huolehtia tietosuojasta ja ajantasaistaa tietosuojan sääntelyä vastaamaan viime vuosien nopeaa teknologista kehitystä. 

Tietosuoja-asetuksen tavoitteena on, että kansalaiset voivat hallita tietojaan paremmin. Asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Säännöt ovat samat kaikille EU:ssa toimiville yrityksille kotipaikasta riippumatta.

Esrissä ja Esri Finlandissa suhtaudutaan vakavasti turvallisuuteen ja yksityisyyteen. Tietoturvakehitys on jatkuvaa työtä, jossa GDPR:llä on ollut viime vuosina keskeinen rooli. Olemme valmistautuneet GDPR:n voimaantuloon mm. varmistamalla yhdessä päämiehemme Esrin kanssa, että toimittamamme ArcGIS-tuotteet ja -palvelut täyttävät GDPR:n vaatimukset. Lisätietoa Esrin ArcGIS-tuotteista ja GDPR:stä löydät seuraavista linkeistä: Trust ArcGIS: Privacy ja Privacy: General Data Protection Regulation (GDPR)

Esrin ja Esri Finlandin jatkuva kehitystyö tietoturvan ja yksityisyyden eteen jatkuu GDPR:n voimaantulon jälkeenkin. Lisätietoa Esrin tietoturvatyöstä ja mm. yksityisyydestä laajemmin

ArcGIS ja GDPR

Henkilötietoja käsiteltäessä on tärkeä tunnistaa rekisterinpitäjän ja henkilötietojen käsittelijän roolit. Rekisterinpitäjä on se, jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan. Rekisterinpitäjä siis määrittelee henkilötietojen keräämisen tarkoituksen. Ohjelmiston/palvelun toimittava yritys on puolestaan henkilötietojen käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun/toimeksiannosta.

Pystyäksesi käyttämään Esrin ArcGIS-paikkatieto-ohjelmistoja ja esimerkiksi rekisteröityä ArcGIS Online -palvelun käyttäjäksi tarvitsee Esri tietosi ja toimii tällöin rekisterinpitäjän ominaisuudessa. Näitä tietoja käsitellään Yhdysvalloissa. Esri kuuluu Privacy Shield -ohjelmaan, mikä takaa turvallisen henkilötietojen siirron EU/ETA-alueelta Yhdysvaltoihin.

ArcGIS Online -palvelu on Esrin palvelu. Palveluun tallennettavat tiedot sijaitsevat Yhdysvalloissa. Mikäli ArcGIS Online -palveluun ladataan henkilötietoja, on rekisterinpitäjä se, jonka tarpeita varten rekisteri luodaan ja Esri palveluntarjoajana on henkilötietojen käsittelijä. Näissä tilanteissa rekisterinpitäjä voi tarvittaessa allekirjoittaa valmiin henkilötietojen käsittelysopimuksen Esrin kanssa. Sopimuspohja löytyy täältä [PDF]

Mikäli ArcGIS-ohjelmistoa käytetään asiakkaan omassa tai hänen alihankkijansa ympäristössä, ei Esrillä ole suoraa vastuuta henkilötietojen käsittelystä tuotteessa. Esri pyrkii kuitenkin aktiivisesti varmistamaan, että sen järjestelmät täyttävät tietosuoja- ja turvallisuusvaatimukset myös edellä kuvatuissa tapauksissa. Esrin roolista riippumatta sen tuotteet ovat GDPR:n mukaisia.

Esri Finland ja GDPR

Esri Finland toimii Suomessa Esrin ArcGIS-palvelujen ja niiden käyttöön tarvittavien lisenssien jälleenmyyjänä. Olemme valmistautuneet GDPR:n voimaantuloon mm. kehittämällä sisäisiä prosessejamme ja tekemällä teknisiä sekä operatiivisia toimenpiteitä, joilla varmistamme henkilötietojen käsittelyn turvallisuustason. Varmistamme ja ohjeistamme myös mahdollisia alihankkijoita käyttäessämme, että he huolehtivat asianmukaisista suojatoimista ja varmistavat, että käsittely täyttää tietosuoja-asetuksen vaatimukset. Esri Finlandin tarjoamien aineistopalveluiden osalta henkilötietojen käsittely on kuvattu palveluiden käyttöehdoissa, jotka löytyvät Aineistot-sivultamme.