Home Ajankohtaista Yrittäjän on syytä miettiä tietosuoja-asioita

Yrittäjän on syytä miettiä tietosuoja-asioita

by Monica Javanainen

Pienyrittäjälläkin saattaa olla enemmän henkilötietoja hallussaan kuin uskoisi. EU:n yleinen tietosuoja-asetus, GDPR, asettaa tiettyjä vaatimuksia niiden käsittelemiseen.

Kirkkonummella ja Raaseporissa toimivan MK-Law:n asianajaja ja osakas Jan Långstedt suosittelee prosessien läpikäymistä piakkoin. Kuten yleensä hänen alalla, seuraamusten käsittely jälkeenpäin on huomattavasti kalliimpaa.

Långstedt puhui GDPR:stä Raaseporin Yrittäjien tilaisuudessa hiljattain.

GDPR

 

– Puhutaan yleisesti ”uudesta” tietosuoja-asetuksesta vaikka se ei ihan uusi olekaan. Se säädettiin jo huhtikuussa 2016, jonka jälkeinen kahden vuoden siirtymäaika päättyy 25.5.2018, Långstedt toteaa.

Asetuksen tarkoitus on muodostaa yhtenäisempiä käytäntöjä, koska vuonna 1995 tullut direktiivi on sovellettu vaihtelevasti eri maissa. Muut tavoitteet ovat yhteinäinen ja korkea suojataso EU:ssa sekä henkilötietojen vapaa liikkuvuus unionin sisällä. Uutta on myös se että yrityksiä jotka eivät käsittele henkilötietojaan asianmukaisesti uhkaa jopa miljoonaluokan sanktiot.

– Sanktiot ovat hyvä asia. Tässä asiassa on vallinnut Villin Lännen meininki. Kun yhä suurempi osa informaatiosta siirtyy sähköiseen käsittelyyn on hyvä että on olemassa selkeät säännöt. Toisin sanoen, tavoitteena on henkilötietojen oikeanlainen käsittely.

– Tarkoitus ei ole tehdä mahdollisesta mahdotonta, vaan katsoa sen perään että henkilötietoja käytetään laillisesti ja oikeaan tarkoitukseen.

GDPR tietosuojalaki

Jos yrittäjänä miettii missä määrin toiminnassa liikkuu henkilötietoja, kanattaa ensin miettiä mitä sanalla tarkoitetaan. Henkilötieto on tieto tunnistetusta tai tunnistettavasta henkilöstä. Tieto voi koostua nimestä, henkilötunnuksesta, osoitteesta, puhelinnumerosta kuten myös sähköpostiosoitteesta tai IP-osoitteesta. Myös fyysiset, fysiologiset, geneettiset ja muut seikat voivat toimia tunnistettavasti.

– Syntymäaika itsessään ei ole henkilötieto. Monilla ihmisillä on sama syntymäaika, Långstedt toteaa.

Käyntikorttien laittamista aakkosjärjestykseen ei ehkä suositella koska se voidaan luokitella hakemistoksi. Käytännössä asetus koskee kuitenkin lähinnä henkilötietojen automaattista käsittelyä.

”Henkilötietojen käsittelyllä” tarkoitetaan miltei kaikkea. Kerääminen, järjestäminen, muokkaaminen, käyttäminen, esille ottaminen, lukeminen, luovuttaminen, levittäminen, hallussapito ja poistaminen ovat esimerkkejä käsittely-käsitteen laajuudesta.

– Varmuuden vuoksi voi ajatella että henkiötietojen käsittely on se että on tekemisissä henkilötietojen kanssa, Långstedt sanoo. Pointti on siinä että pitää olla laillinen syy kerätä henkilötietoja.

– Sopimuksen tekeminen asiakkaan kanssa on laillinen peruste, sanoo Långstedt. Hän kehottaakin yrittäjiä tekemään tai tilaamaan riskiakartoituksen.

Jan Långstedt

– Kannattaa miettiä mitä henkilötietoja yrityksen hallussa on, ja mitä saattaa tapahtua jos ne joutuvat vääriin käsiin.

Vuosien mittaan pieneenkin yritykseen on saattanut kerääntyä paljon henkilötietoja vaikka niille ei välttämättä edes olisi käyttöä. Mutta milloin on syytä olla varuillaan? Jos käyttää asiakkaittensa henkilötietoja suoramarkkinointiin, esimerkiksi sähköisiin uutiskirjeisiin, tarvitaan henkilöitten suostumus jos suoramarkkinointi koskee muita tuoteryhmiä, kuin niitä joista alusta alkaen oli kyse.

 

Jos vaikkapa matkatoimisto on vastaanottanut henkilötietoja voidakseen tilata matkan, niin näitä henkilötietoja ei saa käyttää muuhun kuin matkan tilaamiseen ja mahdollisesti muiden matkojen markkinointiin.

– Jos halutaan välttää sitä että henkilötietoja käytetään laittomasti tai joutuvat vääriin käsiin, niitä ei pitäisi säylyttää turhan pitkään. Henkilötietoja ei myöskään pidä kerätä turhaan, Långstedt sanoo. Pitää myös katsoa ettei yrityksen sisäiset prosessit ovat vaaraksi tietosuojalle.

On sanomattakin selvää että yrityksen infrastruktuurin täytyy olla kunnossa. Tässä tapauksessa puhutaan tietoturvasta. Käytänössä se tarkoittaa muun muassa ajantasaisia virustorjuntaohjelmia ja toimivia palomuureja.

Henkilötietojaan luovuttaville pitää ilmoittaa tästä selkeästi ja näkyvästi esimerkiksi yrityksen kotisvuilla tai linkin kautta. Nämä tiedot koostuvat muun muassa yrityksen henkilöllisyydestä ja yhteistiedoista sekä perusteluista siitä miksi ja millä perustein henkilötiedot käsitellään.

Tähän listataan myös oikeutetut edut jos käsittely perustuu sellaisiin, säilyttämisaika ja henkilötietojen vastaanottajat. Pyydettäessä yrityksen on voitava vahvistaa että henkilön tietoja käsitellään, mitkä ne ovat ja miten pitkään niitä säylytetään.

– Jos toimintasi vaatii henkilötietojen käsittelyä on yrityksessä oltava tietosuojavastaava. Vastaava on itsenäinen toimija suhteessa yrityksen johtoon ja raportoi korkeimpaan hallintotasoon. Tietosuojavastaava on yrityksen työntekijä joka on nimitetty neuvomaan, valvomaan ja arvioimaan riskejä tietosuoja-asioissa.

Långstedtilla on kokemusta tietosuoja-asioiden konsultoinnista. Hän lähettää yleensä kirjallisen lomakkeen yrityksille jonka avulla hän voi kartoittaa mahdollisia risktekijöitä. Niiden välttämiseksi hän saattaa laatia listan jossa on parikymmentä suositusta tietosuojan parantamiseksi.

– Suosittelemme yleensä että yritykset laativat omat sisäiset tietosuoja-säännökset jotta kaikki talon sisällä ovat hyvin perillä näistä asioista. Se että kaikille asioille on omat käytännöt saattaa tuntua vähän amerikkalaiselta. Mutta on voitava perustella miksi henilötietorekisteriä ylläpidetään. Tämä ei ole niin monimutkaista kuin saattaa kuulostaa.

 

Vinkit:

  • Kiinnitä enemmän huomiota henkilötietojen käsittelyyn
  • Tee riskikartoitus itse tai hankintana
  • Dokumentoi yrityksen tietosuojakäytännöt näytettäväksi vaadittaessa
  • Käy läpi sisäiset prosessit ja turvatoimet, tarkista henkilötietoja koskevat sopimukset, kouluta henkilökunta näissä asioissa
  • Jos käytät pilvipalveluja, katso että myös palvelun tuottaja soveltaa EU:n asetusta. Olet itse vastuussa siitä että alihankkija toimii tässä yhteydessä lain puitteissa

Teksti: Noid Content
Kuvat: Daniel Kouvo


Jäsenen rahanarvoiset edut

Maksuton lakineuvonta

Ongelmia? Soita 09 229 222, saat avun nopeasti. Monipuolista opastusta ja neuvontaa yritystoimintaan — maksutta Yrittäjien jäsenille.

Jäsenenä voit myös osallistua ajankohtaisiin luentoihin ja koulutuksiin, joita Raaseporin Yrittäjät järjestävät.

Etkö vielä ole jäsen? 
Tee hyvä päätös ja liity Yrittäjiin >>

Verkkosivustollamme käytetään evästeitä käyttäjäkokemuksen parantamiseksi. Hyväksyt evästeiden käytön käyttämällä sivustoamme. Lisätietoja.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close