Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tutustu kaikkeen pienyritysten sisältöön artikkelissa Pienyritysten ohje ja oppiminen.
Microsoft 365 for Businessin käyttö GDPR-vaatimustenmukaisuuden lieventämiseen ja hallintaan
Yleinen tietosuoja-asetus (GDPR) on Euroopan unionin (EU) asetus, joka määrää, miten organisaation tulee käsitellä henkilötietoja. Jos yrityksesi myy, tarjoaa palveluja tai työllistää Euroopan unionin kansalaisia, GDPR vaikuttaa sinuun.
Pienyrittäjänä kysyt todennäköisesti itseltäsi "miten pääsen alkuun"? Tämä voi olla erityisen totta, jos yrityksesi ei käsittele henkilötietoja keskeisenä liiketoimintatoimena tai jos GDPR on sinulle täysin uusi.
Voit aloittaa tutustumalla tähän artikkeliin, jonka tarkoituksena on auttaa sinua ymmärtämään, mikä GDPR on, miksi se syntyi ja miten Microsoft 365 yrityksille voi auttaa organisaatiotasi noudattamaan GDPR:tä.
Se sisältää myös vastauksia yleisiin yleiseen tietosuoja-asetukseen liittyviin kysymyksiin, joita pienillä yrityksillä voi olla, ja siinä korostetaan toimia, joihin pienyritykset voivat ryhtyä yleisen tietosuoja-asetuksen valmistelemiseksi.
Tärkeää
Tämän artikkelin Microsoft 365 -ratkaisut ja suositukset ovat työkaluja ja resursseja, joiden avulla voit hallita ja suojata tietojasi, mutta jotka eivät takaa GDPR:n vaatimustenmukaisuutta. Sinun tehtäväsi on arvioida oma vaatimustenmukaisuustilasi. Ota tarvittaessa yhteyttä omiin oikeudellisiin ja/tai ammattineuvojiin.
Nopea yleiskatsaus GDPR:stä
GDPR on EU:n asetus, jolla päivitetään ja laajennetaan aiempaa tietosuojadirektiiviä (DPD), joka hyväksyttiin ensimmäisen kerran vuonna 1995. GDPR koskee yksityishenkilön tietojen yksityisyyttä, oli kyse sitten asiakas-, asiakas-, työntekijä- tai liikekumppanista. GDPR:n tavoitteena on vahvistaa EU:n kansalaisten henkilötietojen suojaa riippumatta siitä, asuvatko he EU:ssa vai muualla. Asetuksessa asetetaan odotuksia ja neuvoo, miten ne saavutetaan. Organisaatioilla on oltava käytössä toimenpiteitä, jotka täyttävät GDPR:n vaatimukset.
GDPR:ssä on kyse tiedoista ja niiden käyttötavan toiminnoista. Ajattele, että tiedoilla on elinkaari. Jakso käynnistyy, kun keräät tietoja, jatkuu sitä tallennettaessa ja käyttäessäsi sitä (käsittely) ja päättyy, kun poistat ne kokonaan järjestelmistäsi.
GDPR koskee seuraavia tietotyyppejä:
Henkilötietoja: Jos voit linkittää tietoja yksityishenkilöön ja tunnistaa ne, näitä tietoja pidetään henkilökohtaisina GDPR:n suhteen. Henkilötietoja ovat esimerkiksi nimi, osoite, syntymäaika ja IP-osoite. GDPR pitää jopa koodattuja tietoja (joita kutsutaan myös salaisiksi tiedoiksi) henkilötietoina riippumatta siitä, kuinka hämäriä tai teknisiä tiedot ovat, jos tiedot voidaan linkittää henkilöön.
Luottamukselliset henkilötiedot Nämä tiedot lisäävät lisätietoja henkilötietoihin. Tällaisia ovat esimerkiksi uskonto, ammattiyhdistysjäsenyys, etninen alkuperä ja niin edelleen. Luottamuksellisia henkilötietoja ovat myös biometriset tiedot ja DNA. GDPR:n mukaan luottamuksellisilla tiedoilla on tiukemmat suojaussäännöt kuin henkilötiedoilla.
GDPR:n ehdot
Jotkin YLEISEN TIETOSUOJA-asetuksen termit ovat usein käytössä. On tärkeää ymmärtää nämä termit.
Suostumus:
GDPR:ssä todetaan: "Henkilötietojen käsittely olisi suunniteltava palvelemaan ihmiskuntaa." GDPR toivoo voivansa saavuttaa tämän tavoitteen käyttämällä suostumusta henkilötietoja käsiteltäessä. Se voi olla yksinkertainen asia kysyä asiakkailtasi, haluavatko he vastaanottaa sähköpostiviestejä yritykseltäsi. Se tarkoittaa myös sitä, että sivustossa ei enää ole opt-out-valintaruutuja, kun haluat käyttää tietoja markkinoinnissa. Sinun on annettava nimenomainen suostumus käyttämällä "selkeää positiivista tekoa". Lisäksi sinun on pidettävä kirjaa siitä, milloin suostumus otetaan tai kumotaan.
Rekisteröidyn oikeudet:
GDPR määrittää rekisteröidyn oikeudet, mikä tarkoittaa sitä, että heidän henkilötietoihinsa, asiakkaisiinsa, työntekijöihinsä, liikekumppaneihinsa, asiakkaisiin, alihankkijoihin, opiskelijoihin ja toimittajiin liittyen on oikeus:
Saa tieto heidän tiedoistaan: Sinun on ilmoitettava henkilöille heidän tietojensa käytöstä.
Voit käyttää heidän tietojaan: Sinun on annettava henkilöille pääsy mihin tahansa hallussasi olevista tiedoista (esimerkiksi käyttämällä tilin käyttöoikeutta tai jollain manuaalisesti).
Pyydä tietojen korjaamista: Käyttäjät voivat pyytää sinua korjaamaan virheelliset tiedot.
Pyydä tietojen poistamista: Tätä oikeutta kutsutaan myös poisto-oikeudeksi, jonka avulla henkilö voi pyytää, että yrityksen keräämät henkilötiedot poistetaan kaikista sitä käyttävistä tai sitä käyttävistä järjestelmistä.
Pyynnön rajoitettu käsittely: Henkilö voi pyytää, että piilotat tai rajoitat hänen tietojaan. Sitä voidaan kuitenkin soveltaa vain tietyissä tilanteissa.
Tietojen siirrettävyys: Henkilö voi pyytää tietojensa siirtämistä toiselle yritykselle.
Objekti: Käyttäjä voi vastustaa tietojensa käyttöä eri käyttötarkoituksiin, kuten suoramarkkinointiin.
Pyydä, että et joudu automaattisen päätöksenteon piiriin, mukaan lukien profilointi: GDPR:ssä on tiukat säännöt tietojen käyttämisestä ihmisten profilointiin ja tähän profilointiin perustuvien päätösten automatisoinnista.
Yleisen tietosuoja-asetuksen valmistelemisen vaiheet
Tässä osiossa kuvataan vaiheet, joihin pienyritys voi ryhtyä yleisen tietosuoja-asetuksen valmistelemiseksi. Suuri osa näistä toimista toimitettiin seitsemän vaiheen kautta yrityksille yleisen tietosuoja-asetuksen valmistelemiseksi.
Pienyritykselle hyvä tapa aloittaa GDPR:n käyttö on varmistaa, että henkilötietojen keräämisessä noudatetaan seuraavia keskeisiä periaatteita:
- Kerää henkilötietoja, joissa on selkeästi määritetyt tarkoitukset sille, mihin käytät niitä, äläkä käytä niitä mihinkään muuhun. Jos esimerkiksi käsket asiakkaita antamaan sähköpostiosoitteensa, jotta he saavat uudet tarjouksesi tai kampanjasi, voit käyttää heidän sähköpostiosoitteitaan vain tähän tiettyyn tarkoitukseen.
- Älä kerää enempää tietoja kuin tarvitset. Jos esimerkiksi yrityksenne edellyttää osoitetta, jotta voit toimittaa tavaroita, tarvitset asiakkaan osoitteen ja nimen, mutta sinun ei tarvitse tietää henkilön siviilisäätyä.
Vaihe 1: Tutustu henkilötietoihin, joita keräät ja käytät yrityksessäsi, ja siihen, miksi tarvitset niitä
Pienyrityksenä sinun tulee tehdä yksi ensimmäisistä toimista, kun teet luettelon henkilötiedoista, joita keräät ja joita käytät yrityksessäsi, sekä siitä, miksi niitä tarvitaan. Tämä sisältää tietoja sekä työntekijöistäsi että asiakkaistasi.
Saatat esimerkiksi tarvita työntekijäsi henkilötietoja työsopimuksen perusteella ja oikeudellisista syistä (esimerkiksi verojen ilmoittaminen sisäiseen tulopalveluun).
Voit myös hallita yksittäisten asiakkaiden luetteloita lähettääksesi heille ilmoituksia erikoistarjouksista, jos he ovat suostuneet siihen.
Microsoft 365:n ominaisuudet, jotka voivat auttaa vaiheessa 1
Microsoft Purview Information Protection voi auttaa sinua löytämään, luokittelemaan ja suojaamaan luottamuksellisia tietoja yrityksessäsi. Voit käyttää harjoitettavia luokittajia, joiden avulla voit tunnistaa ja otsikoida henkilötietoja sisältäviä tiedostotyyppejä.
Vaihe 2: Ilmoita asiakkaille, työntekijöille ja muille henkilöille, kun sinun on kerättävä heidän henkilötietojaan
Henkilöiden on tiedettävä, että käsittelet heidän henkilötietojaan ja mihin tarkoitukseen. Jos asiakkaan on esimerkiksi luotava asiakasprofiili, jotta hän voi käyttää yrityksesi verkkosivustoa, varmista, että kerrot erityisesti, mitä aiot tehdä heidän tiedoillaan.
Yksittäisiä henkilöitä ei kuitenkaan tarvitse ilmoittaa, kun he jo tietävät, miten tietoja käytetään. Kun he esimerkiksi antavat sinulle kotiosoitteen tilaamaansa toimitukseen.
Sinun on myös voitava pyydettäessä tiedottaa henkilöille henkilötiedoista, joita sinulla on heistä, ja annettava heille pääsy heidän tietoihinsa. Tietojen järjestäminen helpottaa niiden antamista tarvittaessa.
Vaihe 3: Säilytä henkilötietoja vain niin kauan kuin on tarpeen
Säilytä työntekijöiden tiedot niin kauan kuin työsuhde säilyy ja siihen liittyvät oikeudelliset velvoitteet. Asiakastietojen osalta säilytä niitä niin kauan kuin asiakassuhde kestää ja siihen liittyvien oikeudellisten velvoitteiden (esimerkiksi verotuksellisten velvoitteiden) osalta. Poista tiedot, kun niitä ei enää tarvita niitä tarkoituksia varten, joihin ne on kerätty.
Microsoft 365:n ominaisuudet, jotka voivat auttaa vaiheessa 3
Säilytyskäytäntöjen ja tunnisteiden avulla voit säilyttää henkilötietoja tietyn ajan ja poistaa ne silloin, kun niitä ei enää tarvita.
Vaihe 4: Käsittelemiensi henkilötietojen suojaaminen
Jos tallennat henkilötietoja IT-järjestelmään, rajoita tietojen sisältämien tiedostojen käyttöä esimerkiksi vahvalla salasanalla. Päivitä järjestelmän suojausasetuksia säännöllisesti.
Huomautus
GDPR ei määrää minkään tietyn IT-järjestelmän käyttöä, vaan se edellyttää, että järjestelmässä on asianmukainen suojaustaso. Katso lisätietoja GDRP:n artikkelista 32: Käsittelyn suojaus .
Jos tallennat henkilötietoja sisältäviä fyysisiä asiakirjoja, varmista, etteivät ne ole luvattomien henkilöiden käytettävissä.
Jos päätät tallentaa henkilötietoja pilvipalveluun, kuten Microsoft 365:n kautta, sinulla on suojausominaisuuksia, kuten mahdollisuus auttaa sinua hallitsemaan tiedostojen ja kansioiden käyttöoikeuksia, keskitettyjä suojattuja sijainteja tiedostojen tallentamiseksi (OneDrive- tai SharePoint-tiedostokirjastot) ja tietojen salausta tiedostoja lähetettäessä tai noudettaessa.
Microsoft 365:n ominaisuudet, jotka voivat auttaa vaiheessa 4
Määritä yhteensopivuusominaisuudet -toiminnolla voit suojata yrityksesi arkaluonteisia tietoja. Compliance Manager voi auttaa sinua aloittamaan heti! Voit esimerkiksi luoda ja ottaa käyttöön tietojen menetyksen estämiskäytäntöjä , jotka käyttävät GDPR-mallia.
Vaihe 5: Tietojen käsittelytoimintoja koskevien ohjeiden pitäminen
Valmistele lyhyt asiakirja, jossa kerrotaan, mitä henkilötietoja sinulla on ja mistä syistä. Saatat joutua tarvittaessa antamaan dokumentaation kansallisen tietosuojaviranomaisen saataville.
Tällaisten asiakirjojen tulee sisältää alla luetellut tiedot.
| Huoneesta | Esimerkkejä |
|---|---|
| Tietojenkäsittelyn tarkoitus | Asiakkaiden hälytys erikoistarjouksista, kuten kotiinkuljetuksen tarjoamisesta; maksavat toimittajat; työntekijöiden palkka ja sosiaaliturva |
| Henkilökohtaisten tietojen tyypit | Asiakkaiden yhteystiedot; toimittajien yhteystiedot; työntekijätiedot |
| Kyseessä olevien rekisteröityjen luokat | Työntekijät; asiakkaat; Toimittajat |
| Vastaanottajien luokat | Työviranomaiset; Veroviranomaisten |
| Tallennusjaksot | Työntekijöiden henkilötiedot työsopimuksen päättymiseen saakka (ja siihen liittyvät oikeudelliset velvoitteet); asiakkaiden henkilötiedot asiakas-/sopimussuhteen päättymiseen saakka |
| Tekniset ja organisointien suojaustoimet henkilötietojen suojaamiseksi | IT-järjestelmäratkaisut päivitetään säännöllisesti; suojattu sijainti; käyttöoikeuksien valvonta; tietojen salaus; tietojen varmuuskopiointi |
| Henkilötietojen siirto EU:n ulkopuolisille vastaanottajille | Suorittimen käyttö EU:n ulkopuolella (esimerkiksi pilvitallennustila); suorittimen tietojen sijainti; sopimusvelvoitteet |
Löydät GDPR:n mukaiset Microsoftin sopimusvelvoitteet Microsoft Online Services data Protection Addendum -lisäosasta, joka sisältää Microsoftin tietosuoja- ja suojausvelvoitteet, tietojenkäsittelyehdot ja GDPR:n ehdot Microsoftin isännöimille palveluille, joita asiakkaat tilaavat volyymikäyttöoikeussopimuksella.
Vaihe 6: Varmista, että alihankkijat noudattavat sääntöjä
Jos käsittelet henkilötietoja alihankintana toiselle yritykselle, käytä vain palveluntarjoajaa, joka takaa käsittelyn GDPR:n vaatimusten mukaisesti (esimerkiksi suojaustoimenpiteet).
Vaihe 7: Määritä henkilö valvomaan henkilökohtaisten tietojen suojausta
Jotta henkilötietoja voidaan suojata paremmin, organisaatioiden on ehkä nimitettävä tietosuojasta vastaava henkilö. Sinun ei kuitenkaan välttämättä tarvitse määrittää tietosuojavastaavia, jos henkilötietojen käsittely ei ole liiketoimintasi ydinosa tai jos olet pienyritys. Jos yrityksesi esimerkiksi kerää tietoja vain asiakkaistasi kotiinkuljetusta varten, sinun ei tarvitse nimittää DPO:ta. Vaikka sinun pitäisi käyttää DPO:ta, nämä tehtävät voidaan osoittaa olemassa olevalle työntekijälle muiden tehtävien lisäksi. Tai voit palkata ulkoisen konsultin tähän tehtävään tarpeen mukaan.
Sinun ei yleensä tarvitse tehdä tietojen suojaamisen vaikutusten arviointia. Tämä on varattu yrityksille, jotka aiheuttavat enemmän riskejä henkilötiedoilla (esimerkiksi jos ne valvovat yleisesti saatavilla olevaa aluetta, kuten videovalvontaa).
Jos olet pienyritys, joka hallinnoi työntekijöiden palkkoja ja asiakasluetteloa, sinun ei yleensä tarvitse tehdä tietosuojan vaikutusarviointia.
Yleisen tietosuoja-asetuksen yleisiä pienyrityskysymyksiä
Olen yksityisomistaja - pitääkö minun todella huolehtia GDPR:stä?
GDPR:ssä on kyse käsittelemistäsi tiedoista, ei työntekijöiden määrästä. Se vaikuttaa kaikenkokoisiin yrityksiin, jopa yksityisiin omistajiin. Alle 250 työntekijän yrityksillä on kuitenkin joitakin poikkeuksia, kuten pienempi tietojen säilyttäminen, mutta vain jos olet varma, että tietojenkäsittely ei vaikuta yksilön oikeuksiin ja että se on satunnaista käsittelyä.
Esimerkiksi muiden kuin henkilökohtaisten tietojen käsittely vapautettaisiin tai siihen tarvittaisiin pienemmät mittarit. Jos käsittelet tietoja, joita pidetään "erityisluokan luottamuksellisina tietoina", tämä tietojenkäsittely on tallennettava, vaikka ne olisivat vain satunnaisesti. Satunnainen käsittely on epämääräinen määritelmä, mutta sen on tarkoitus koskea tietoja, joita käytetään kerran tai harvoin.
Varmista myös, että keräämäsi henkilötiedot ovat suojattuja. Tämä tarkoittaa sitä, että sinun on salattava se ja varmistettava, että sen käyttöä hallitaan vähintään salasanalla. Asiakastietojen pitäminen laskentataulukossa työpöydällä ilman suojausta ei vastaa GDPR:n odotuksia.
Mistä tiedän, täyttääkö yrityksen verkkosivusto GDPR-vaatimukset?
Ensimmäinen itsellesi kysyttävä kysymys on: Keräätkö henkilötietoja missä tahansa sivustossasi? Sinulla voi olla esimerkiksi yhteystietolomake, jossa kysytään nimeä ja sähköpostiosoitetta. Jos haluat lähettää markkinointisähköposteja, varmista, että lisäät opt-in-valintaruudun, jossa selitetään tarkalleen, mihin tietoja käytetään. Vain jos vastaanottaja valitsee tämän valintaruudun, voit käyttää hänen henkilötietojaan markkinointitarkoituksiin.
Tarkista myös, että tiedot tallentanut tietokanta on suojattu. Verkkoisännöintiyritys tai pilvitallennustilan toimittaja voi antaa neuvoja tästä. Jos käytät Microsoft 365 for Businessia, tietojen tallennustila on GDPR-yhteensopiva.
Yritykseni on Euroopan ulkopuolella. Vaikuttaako GDPR todella meihin?
GDPR on asetus, joka suojelee EU:n kansalaisia. Se vaikuttaa yritykseesi, joka toimii nyt EU:n kansalaisten kanssa, tai jos sitä toivotaan tulevaisuudessakin. Tämä koskee sekä EU:n jäsenvaltiossa asuvia että muualla asuvia.
Ota huomioon seuraavat esimerkit:
Yhdysvaltalaisen yrityksen, joka vuokraa autoja EU:n kansalaisille, on täytettävä GDPR-vaatimukset, kun se kerää ja käsittelee asiakkaan tietoja. Yrityksen on annettava suostumus, kun se ottaa asiakkaan tiedot ja varmistaa, että tiedot tallennetaan turvallisesti. Hänen on myös varmistettava, että asiakas voi käyttää kaikkia rekisteröityjen oikeuksiaan.
Australialainen yritys myy tuotteita verkossa, ja sen käyttäjät määrittävät verkkotilejä. GDPR:n rekisteröityjen oikeuksia ja suostumusta sovelletaan EU:n kansalaisiin, jotka avaavat tilin. Yrityksen on varmistettava, että asiakas voi käyttää kaikkia rekisteröityjen oikeuksiaan.
Kansainvälinen hyväntekeväisyysjärjestö kerää tietoja lahjoittajista ja käyttää niitä lahjoitusten päivitysten ja lahjoituspyyntöjen lähettämiseen. GDPR:ssä todetaan: "... henkilötietojen käsittelyä suoramarkkinointitarkoituksiin voidaan pitää oikeutettuna etuna." Organisaation vastuulla on kuitenkin todistaa, että heidän kiinnostuksen kohteensa ohittavat rekisteröidyn kiinnostuksen kohteet. Yrityksen (tai tässä tapauksessa hyväntekeväisyysjärjestön) tulisi aina saada tieto, nimenomainen, suostumus.
GDPR-asetusta sovelletaan myös, jos asiakastiedot liikkuvat rajojen yli. Jos käytät pilvitekniikkaa tietojen tallennukseen, sinun on varmistettava, että palvelu on täysin GDPR-yhteensopiva. Se voi mutkistua, jos tietojen tallennuspaikka on sijainneissa, joissa tietojen suojaustiedot ovat heikot. Jos käytät Microsoft 365 for Businessia, käytössämme on oikeat oikeudelliset asiakirjat GDPR-vaatimusten kattamiseksi.
Toki kerään tietoja, mutta jotkin muut yhtiöt tallentavat ne. Karistanko minä sen?
Jos keräät tietoja GDPR:ssä, se vaikuttaa sinuun jossain määrin. GDPR:ssä on käsite tietojenkäsittely ja rekisterinpitäjä:
Rekisterinpitäjä: Henkilö tai organisaatio (sinulla voi olla yhteisiä rekisterinpitäjiä), joka päättää, miten, mitä ja miksi tietoja kerätään. He voivat tallentaa sen toisen yrityksen pilvipalvelimien avulla. Esimerkiksi sivusto, joka kerää asiakastietoja, on rekisterinpitäjä.
Tietojenkäsittely: Henkilö tai organisaatio, joka tallentaa tietoja rekisterinpitäjän puolesta ja käsittelee näitä tietoja pyynnöstä. Esimerkiksi Microsoft 365 -sovellukset yritystiedoille -tallennus toimii käsittelijänä ja on täysin GDPR-yhteensopiva.
Organisaatio tai järjestelmä voi toimia sekä rekisterinpitäjänä että suorittimena. Microsoft 365 yrityksille voi toimia molempina ja täyttää GDPR:n vaatimukset.
Voinko edelleen lähettää markkinointisähköposteja vanhoille asiakkailleni?
Sinun on varmistettava, että asiakkaasi, jopa asiakkaat, joita sinulla on ollut jo vuosia, ovat suostuneet käyttämään heidän tietojaan markkinoinnissa. Olet ehkä aiemmin tallentanut suostumuksen sekä tietueen sen näyttämiseksi. Jos näin on, olet valmis jatkamaan markkinointia. Jos näin ei ole, sinun on hankittava asiakkaalta käyttöoikeus, jotta voit jatkaa markkinointia hänelle. Tähän liittyy yleensä sähköpostiviestin lähettäminen, jossa asiakkaita pyydetään menemään sivustoosi ja valitsemaan vaihtoehto, jolla he voivat vastaanottaa tulevia sähköpostiviestejä.
Pitääkö minun huolehtia GDPR:stä, kun rekrytoin uusia työntekijöitä? Entä nykyiset työntekijät?
GDPR ei vaikuta vain asiakastietoihin; se koskee myös työntekijöiden tietoja. Uusia tulokkaita on usein sosiaalisen median alustoilla, kuten LinkedInillä. Varmista, että et tallenna mahdollisia rekrytoinnin tietoja ilman heidän nimenomaista lupaansa.
Mitä tulee nykyisiin työntekijöihin ja uusiin työntekijäsopimuksiin, sopimuksen lopussa oleva allekirjoitus ei välttämättä ole suostumus, varsinkaan kun sopimuksessa käytetään ei-myönteistä lauseketta. Tässä tapauksessa sinun on tallennettava suostumus nimenomaisella tavalla, joka liittyy lausekkeeseen. Se, mitä tämä tarkoittaa, riippuu työntekijäsopimuksestasi, mutta voit joissakin tapauksissa käyttää "oikeutettua etua" ja lisätä työntekijöiden tietojenkäsittelyilmoituksen varmistaaksesi, että työntekijäsi ovat tietoisia siitä, mitä teet heidän tiedoillaan.
Tietosuojaongelmien täyttäminen Microsoft 365 for Businessin avulla
Yleisen tietosuoja-asetuksen noudattamisen varmistamisessa on kyse henkilötietojen suojauksen varmistamisesta. GDPR:ssä on käsite nimeltä Tietosuoja suunnittelun mukaan ja oletusarvoisesti. Tämä tarkoittaa sitä, että tietosuoja tulee "paistoa" järjestelmään ja tuotteeseen, jotta tietosuojaan liittyvät huolenaiheet ovat toisenluonteisia.
Suurten yritysten tavoin pienyritys tarvitsee mukavuutta tietoturvasta tinkimättä. Microsoft 365 for Business on tarkoitettu alle 300 työntekijän yrityksille. Pienet yritykset voivat parantaa liiketoiminnan tuottavuutta Microsoftin pilvipohjaisten työkalujen avulla. Microsoft 365 for Businessin avulla pienyritys voi hallita sähköpostiviestejä, ohjeita ja jopa kokouksia ja tapahtumia. Se sisältää myös sisäisiä suojaustoimenpiteitä ja laitehallintaa, jotka ovat elintärkeitä GDPR-vaatimustenmukaisuuden kannalta.
Microsoft 365 for Business voi auttaa GDPR-prosessissa seuraavilla tavoilla:
Löydä: Tärkeä askel YLEISEN TIETOSUOJA-asetuksen noudattamisessa on tieto siitä, mitä tietoja sinulla on.
Hallita: Tietojen käyttöoikeuksien hallinta ja sen käytön hallinta ovat olennainen osa GDPR:ää. Microsoft 365 for Business suojaa yritystietoja niiden käytäntöjen perusteella, joita haluat käyttää laitteissa. Laitteiden hallinta on elintärkeää aikana, jolloin työntekijät työskentelevät etänä. Microsoft 365 for Business sisältää laitehallintaominaisuuksia, joilla varmistetaan, että tiedot suojataan kaikissa laitteissa. Voit esimerkiksi määrittää, että kaikki yrityksesi Windows 10 -laitteet on suojattu Windows Defenderin kautta.
Suojata: Microsoft 365 for Business on suunniteltu tietoturvaan. Sen laitehallinta ja tietosuojan hallinta toimivat koko yritysverkossa, mukaan lukien etälaitteet, tietojen suojaamiseksi. Microsoft 365 for Business tarjoaa esimerkiksi Microsoft 365:n tuottavuussovellusten tietosuoja-asetuksia ja tiedostojen salauksen. Microsoft 365 for Businessin avulla voit valvoa GDPR:n vaatimustenmukaisuutta ja varmistaa, että suojaustasosi on oikea.
Raportti: GDPR painottaa paljon raportointia. Jopa yrityksen, jolla on yksi työntekijä, jos kyseinen liiketoiminta käsittelee suuria tietomääriä, on dokumentoitava ja raportoitava menettelyistään. Microsoft 365 for Business vie päänsärkyä pienempien organisaatioiden raportointivaatimuksista.
Valvontalokien kaltaisten työkalujen avulla voit seurata ja raportoida tietojen siirrosta. Raportteihin kuuluvat keräämiesi ja tallentamiesi tietojen luokittelu, tietojen käsittely ja tietojen siirtäminen.
Asiakkaat, työntekijät ja asiakkaat ovat yhä tietoisempia tietosuojan tärkeydestä ja odottavat nyt, että yritys tai organisaatio noudattaa tätä tietosuojaa. Microsoft 365 for Business tarjoaa työkalut GDPR-määräystenmukaisuuden saavuttamiseen ja ylläpitämiseen ilman valtavaa mullistusta yrityksellesi.
Seuraavat vaiheet
Jotta voit valmistautua GDPR:hen, seuraavassa on joitakin ehdotuksia seuraavista toimista:
Arvioi GDPR-ohjelmasi Vastuullisuuden valmiuden tarkistusluetteloiden avulla.
Tutki Microsoft 365 for Businessia ratkaisuna GDPR:n noudattamisen saavuttamiseen ja ylläpitämiseen.
Tärkeää
Hanki juridisia neuvoja yrityksellesi tai organisaatiollesi.
Lisäresurssit
Microsoftin luottamuskeskuksen yleiskatsaus GDPR:stä
Virallinen Microsoft-blogi: Microsoftin sitoutuminen GDPR:hen
Euroopan komission sivustot: