30.3.2018

GDPR pienyrityksen näkökulmasta – 5 kohdan ohjeet

Onko yritykselläsi käytössä mikä tahansa rekisteri, johon on tallennettu ihmisten tietoja? Oletko vaikkapa tallentanut asiakastiedot Excel-taulukkoon tai säästänyt työhakemukset? Jos näin on, jatka lukemista – tämä koskee sinunkin yritystäsi.

Mikä ihmeen GDPR?

Toukokuun 25. päivä astuu voimaan uusi EU-asetus GDPR, joka on lyhenne sanoista General Data Protection Regulation. Se on uusi EU:n laajuinen tietosuoja-asetus ja se koskee kaikkia yrityksiä, järjestöjä ja yhteisöjä, koosta riippumatta. Ja kyllä, GDPR koskee myös yhden hengen yrityksiä.

Asetuksen tavoitteena on parantaa EU-kansalaisten tietosuojaan liittyviä oikeuksia, yksityisyyden suojaa sekä omien henkilötietojen luottamuksellista käsittelyä. Yksilöt saavat enemmän oikeuksia tietoihinsa: kuka tahansa voi esimerkiksi kysyä yrityksestä, mitä tietoja hänestä on yritykseen tallennettu. Mikäli yritys ei tietyn ajan sisällä anna vastausta, voi seurauksena olla sakkorangaistus. Lisäksi GDPR mahdollistaa tietojen unohtamisen: asiakas voi vaatia, että hänen tietonsa on poistettava yrityksen rekistereistä.

Vehree blogi: Mitä GDPR tarkoittaa pienyrittäjälle?
GDPR tuo useita velvollisuuksia yrityksille, esimerkiksi liittyen henkilötietojen suojaamiseen.

GDPR tuo velvollisuuksia yrityksille

Rekisterinpitäjälle uusi asetus tuo uusia velvotteita liittyen mm. turvallisuuteen, informointiin ja talletettavien tietojen minimointiin. Edelleen rekisterinpitäjälle tulee osoitusvelvollisuus: enää ei riitä, että sanoo noudattavansa lakia, vaan tämä tulee osoittaa dokumentoidusti. Rekisterinpitäjälle tulee myös jatkossa ilmoittaa 72 tunnin sisällä viranomaiselle ja rekisteröidylle, mikäli rekisteröidyn tietoja on kadonnut.

Jatkossa tulee siis olla huomattavasti tarkempi tietojen käsittelyssä. Henkilötietojen käsittelyn tulee olla suunnitelmallista. Otetaan pari esimerkkiä:

  • Yritys haluaa painattaa jäsenlehden ja haluaa, että kirjapaino huolehtii painamisen lisäksi myös lehtien postittamisesta asiakkailleen. Yrityksen tulee tällöin huolehtia henkilötietojen käsittelystä kirjapainossa dokumentoidusti ja vaatia, että paino poistaa henkilötiedot käytön jälkeen.
  • Useissa tapahtumissa kerätään osallistujalistoja, joissa voi olla osallistujien nimien lisäksi sähköpostiosoitteita ja yritysten nimiä. Jatkossa näitä tietoja ei saa jakaa miten sattuu.

Sähköpostimarkkinointi on jatkossakin sallittua, mikäli se on perusteltua. Entistä tarkempana saa kuitenkin olla, ettei vahingossa tee postitusta siten, että vastaanottajien sähköpostiosoitteen ovat kaikkien näkyvillä kopiokentässä.

Laita yrityksesi henkilötietojen käsittely ajan tasalle

Yrityksen tulee kyetä osoittamaan noudattavansa tietosuoja-asetusta, eli pelkkä noudattaminen ei riitä. Tarvitaan aktiivisia toimenpiteitä, joten on siis korkea aika toimia. Seuraavassa viiden kohdan ohjeet, miten pääset alkuun.

1. Tee nykytilanteen kartoitus

Kirjaa ylös yrityksesi henkilötietojen käsittelyn nykytila. Tee lista siitä, mitä rekistereitä on käytössä. Missä niitä säilytetään? Onko varmuuskopioita, missä niiden fyysinen sijainti on? Kuka rekistereitä käyttää? Ota huomioon myös mahdolliset henkilötietojen käsittelyn ulkoistukset.

2. Tarkista määräystenmukaisuus ja listaa tarvittavat toimenpiteet

Vastaako yrityksesi henkilötietojen käsittely uusia säädöksiä? Tee lista mahdollisen kuilun kuromiseksi (tavoitetila vs. nykytila). Katso tarkat ohjeet täältä.

3. Tee tarvittavat toimenpiteet

Tee kevätsiivous: hävitä tarpeettomat ja vanhentuneet tiedot sekä rekisterit, jotka eivät ole aktiivisessa käytössä. Pohdi, onko jäljelle jääneiden tietojen käsittelylle perustetta.

Älä pidä turhia kopioita rekistereistä. Karsi tietojärjestelmät ja tallennuspaikat minimiin. Panosta rekisterin ylläpitoon.

Käy läpi käyttöoikeudet. Selvitä kenen kaikkien tulee päästä rekistereihin käsiksi. Rajaa käyttöoikeudet tarpeen mukaan. Poista ylimääräiset käyttäjätunnukset.

Varmista, että tietoturva on kunnossa ja huolehdi suojauksesta. Laita paperirekisterit lukkojen taakse, atk-rekistereihin suojaukset ja lukitse tietokone salasanalla.

Hanki rekisteriin kuuluvilta henkilöiltä lupa heidän tietojensa käsittelyyn.

Tarkista sopimustilanne asiakkaiden, palveluntuottajien, alihankkijoiden sekä toimittajien kanssa ja varmista, että henkilötietojen käyttöä ja käytäntöjä koskeva sisältö on GPDR-asetuksen vaatimusten mukainen. Tee sopimukset näiden kanssa henkilötietojen käsittelystä.

Jokaisessa yrityksessä tulee myös jatkossa olla nimetty tietosuojavastaava. Yhden hengen yrityksessä tämä lienee usein yrittäjä itse.

4. Huolehdi dokumentointi kuntoon

Laadi tietosuojaseloste. Katso mallipohja.

Laadi tietotilinpäätös. Siinä voi kuvata esimerkiksi:

  • Mitä rekistereitä organisaation hallussa on
  • Miten tiedot on suojattu ja miten tietojen käyttöä valvotaan
  • Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan
  • Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan
  • Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys

Katso malli tietotilinpäätöksen tekoon.

5. Varmista ylläpito säännöllisin tarkistuksin

Koska yrityksissä tilanteet elävät, on hyvä tarkistaa jatkossa säännöllisesti, ovatko henkilötietojen käsittelyn prosessit ajan tasalla, vai tarvitaanko muutoksia. Päivitä tietotilinpäätös.

GDPR pienyrityksen näkökulmasta – katso 5 kohdan ohjeet
Takaisin Blogi-sivulle