Mikä ihmeen tietosuoja-asetus – 14 käytännön vinkkiä

Mikä ihmeen tietosuoja-asetus – 14 käytännön vinkkiä

Keväällä 2018 astuu voimaan laajamittainen uudistus lainsäädännössä– EU:n tietosuoja-asetus. Uudistus tarkoittaa yrityksille tietosuojaan liittyviä lisävaatimuksia. Yritykset, jotka eivät ota asetusta käyttöön voivat saada jopa 20 miljoonan euron sakon tai sakon joka on 4% liikevaihdosta. Asetus tulee voimaan sellaisenaan kaikissa jäsenvaltioissa.

Tietosuoja asetuksessa on paljon tulkinnanvaraa eikä siitä ole tarkkoja toimintaohjeita eri toimialoille. Hyvin todennäköisesti sellaisia toimintaohjeita ei myöskään tule ja yritysten on sovellettava asetusta oman tulkinnan mukaan. Tässä kirjoituksessa kirjoitetaan lyhyesti, mikä ihme tämä tietosuoja-asetus on. Tekstin lopussa on 14 vinkkiä, miten voit valmistautua tietosuoja-asetukseen.

Onko sinun yrityksellä noudatettava tietosuoja-asetusta?

Asetus tulee käyttöön kaikille yrityksille koosta riippumatta. Tietosuoja on tärkeä aihealue ja yritysten on hyvä ottaa siihen liittyviä riskejä enemmän huomioon. Parempia toimintatapoja kannattaa miettiä muun muassa, koska tietomurtoja tapahtuu usein ja ne voivat vahingoittaa yrityksen asiakkaita sekä sen mainetta vakavasti.  IT-alan yritykset ovat todennäköisesti parhaiten varautunut tietosuoja-asetukseen koska se aihealue liittyy tiiviisti niiden ydinliiketoimintaan.

Uudistus on ehkä haastavin muille kuin IT-alan pienyrityksille, koska niiden ei tarvitse miettiä tietosuoja-asioita jokapäiväisessä liiketoiminnassa. Pienillä yrityksillä ei ole välttämättä myöskään paljon varoja ulkopuolisen asiantuntijan palkkaamiseen aihe-aluetta hoitamaan. Yrittäjä pystyy kuitenkin tekemään paljon itse ja on vaikea uskoa, että viranomainen alkaa sakottaa pienyrittäjiä, jos tietosuoja-asiat ovat mietitty ja dokumentoitu yrityksessä. Luultavasti EU:n esitetyt sakot astuvat voimaan vain törkeissä tapauksissa. Tietosuoja-asetuksesta ei luultavasti tulee tarkempia toimintaohjeita toimialoittain, ja se astuu voimaan 25.5.2018, siksi  asetukseen valmistautuminen kannattaa aloittaa jo nyt.

Mikä ihmeen henkilötietojen käsittelijä ja rekisterinpitäjä?

Tietosuoja asetuksessa on eri vaatimuksia rekisterinpitäjälle ja henkilötietojen käsittelijälle. Henkilötietojen käsittelijä on taho, joka käyttäää henkilötietoja omissa prosesseissaan. Melkein kaikki yritykset ovat henkilötietojen käsittelijöitä, koska asiakas, toimittaja tai työntekijöiden tietoja tarvitaan yritystoiminnan pyörittämiseen.

Rekisterinpitäjä on taho, joka käyttää tai säilyttää tietoja omien asiakkaiden puolestaan. Rekisterinpitäjät ovat esimerkiksi pilvipalveluita tarjoavat yritykset.

Yritys voi olla sekä rekisterinpitäjä että henkilötietojen käsittelijä samanaikaisesti. Esimerkiksi tilitoimistoilla on molemmat roolit, koska niillä on henkilörekisteri omien työntekijöiden palkkojen laskemista varten, lisäksi ne laskevat palkkoja myös asiakkaiden työntekijöille ja käyttävät siihen asiakkaiden henkilöstön rekisteriä.

14 vinkkiä tietosuoja-asetuksen käyttöönottoon

Ainoastaan tietosuoja-asetuksen kohtien seuraaminen ei riitä, yrityksen pystyttävä myös todistamaan asetuksen seuraaminen kirjallisella tietosuojapolitiikkalla. Tietosuojapolitiikka tarkoittaa käytännössä sitä, että tietosuojariskit ja toimintatavat ovat mietitty yrityksessä.

Mieti vastaukset seuraaviin kysymyksiin ja dokumentoi kaikki vastaukset. Tämä dokumentti tulee olemaan sinun yrityksesi tietosuojapolitiikka.

1. Onko yrityksesi henkilötietojen käsittelijä tai rekisterinpitäjä? Katso ylhäällä oleva luokittelu.
2. Millaisia henkilötietoja kerätään ja miksi?
3. Missä tietoja säilytetään?
4. Kuinka kauan tietoja säilytetään ja mihin säilytysajat perustuvat?
5. Miten tiedot saadaan rekisteröidylle sähköiseen muotoon? Se on tehtävä maksutta jos rekisteröity sitä pyytää.
6. Miten tiedot saa poistettua rekistereistä? Poistaminen on tehtävä, jos rekisteröity sitä vaatii.
7. Millaisia tietoturva ratkaisuja käytetään yrityksessä?
8. Miten varmistat, että alle 16 vuotiaat eivät osta palvelua tai tuotetta ilman vanhempien lupaa?
9. Miten yritys toimii tietovuodon tapauksessa? Huomioi, että viranomaista on tiedotettava viimeistään 72 tuntia sen jälkeen, kun yritys saa tiedon vuodosta.
10. Miten yritys saa rekisteröityjältä suostumuksen hänen henkilötietojen käsittelyä varten? Tässä on otettava huomioon, että systeemiä ”olen lukenut käyttöehdot” systeemiä ei voi käyttää enää. Rekisteröidylle on kerrottava ymmärrettävällä tavalla, mitä tietoja ja mihin tarkoitukseen käytetään, pelkkä rasti ruutuun systeemi ei riitä.
11. Siirtääkö yritys tai yhteistyökumppani tietoja EU-n ulkopuolelle? Siirtämisestä seuraa lisää velvollisuuksia henkilötietojen käsittelijälle.
12. Miten otat tietosuojan järjestelyt huomioon sopimuksissa yhteistyökumppaneiden kanssa? Esimerkiksi rekisterinpitäjän kanssa tehdyssä sopimuksessa on otettava huomioon asetuksen vaatimukset.
13. Pitääkö yritykelläsi olla tietosuojavastaava? Tietosuojavastaava on valittava, jos yrityksen liiketoimintaan liittyy laajamittainen henkilötietojen käsittely.
14. Miten tiedotat henkilöstöä tietosuojan järjestelyistä? Jos koulutat henkilöstöä, dokumentoi myös koulutuksia.

Jos sinulla on aiheeseen liittyviä ajatuksia tai kysymyksiä, kirjoita ne kommentteihin, niin vastaamme mielellämme.