Tietosuoja-asetus - yrittäjän tehtävälista | Yrittajat.fi

Etsi

Tietosuoja-asetus - yrittäjän tehtävälista

Tietosuoja-asetuksen (GDPR: General Data Protection Regulation) ympärillä liikkuu valtavasti kysymyksiä, tietoa, tietäjiä ja kaikenlaisia palveluita. Fakta on, että suurimmalle osalle etelä-pohjalaisista yrityksistä se ei aiheuta suuriakaan muutoksia. Tässä on lista perusasioista ja liikkeelle lähdöstä. Se ei ole mitenkään tyhjentävä, mutta moni asiakkaamme on kokenut tämän hyödylliseksi.

Asetus korvaa 1995 annetun EU tietosuojadirektiivin ja koska kyseessä on asetus, se on kaikkia velvoittavaa lainsäädäntöä. Kuitenkin jo direktiivin pohjalta Suomessa tuli esimerkiksi henkilötietolakiin muutokset, joita uusi asetus ei paljonkaan muuta.

Asetuksen velvoitteiden ja varautumiskeinojen laajuus yrityksille muotoutuu parin peruskysymyksen ympärille:

Onko henkilötietojen käsittely laajamittaista?
Käsitelläänkö arkaluonteisia tai erityisiä tietoryhmiä?

Monikaan meikäläinen yritys ei tee automaattista laajamittaista käsittelyä tai vaikkapa profilointia. Vielä harvempi käsittelee erityistietoryhmiä, kuten etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, terveystietoja tai henkilöiden seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja. Se helpottaa jo monien urakkaa. Ja ne jotka tällaista tietoa käsittelevät, ovat jo nykylainsäädännön mukaan joutuneet varautumaan siihen. Kaikkien on kuitenkin tehtävä jotain...

Asetus lähtee liikkeelle riskiperusteisesta lähestymistavasta. Se tarkoittaa sitä, että mitä enemmän riskejä käsittelyssä on, sen paremmin on varauduttava. Pienimuotoinen peruskäsittely kuten asiakasrekisterit tai kansalliset verkkokauppaympäristöt pitävät harvoin sisällään suuria riskejä tai laajamittaista käsittelyä. Riskiperusteinen lähestymistapa takaa sen, että suuret satoja henkiä työllistävät yritykset - joissa riskit ovat usein suuremmat - joutuvat panostamaan enemmän. Kun taas pienempiä, muutamien kymmenien henkilöiden yrityksiä ei rasiteta ylisääntelyllä.

Eräs keskeinen velvoite koskee myös kaikkia ja sen on tilivelvollisuus. Kaikkien on kirjattava henkilötietojen käsittelyä koskevat päätökset ylös. Ja tämä siksi, että valvovalle viranomaiselle on voitava osoittaa myös jälkikäteen, että asetusta on noudatettu! Ennen siis riitti, että ilmoitti noudattavansa lakia - nyt se on voitava todistaa. Myös jälkikäteen. Mutta kun otat tavaksi asioiden dokumentoinnin, palaverimuistiot ja muutosten kirjaamisen, olet jo aloittanut projektin kohti tietosuoja-asetuksen mukaista toimintaa.

Liikkeelle lähtöön kohti asetuksen vaatimustenmukaisuutta on muutama yksinkertainen steppi:

Hanki riittävät pohjatiedot

Mitä ovat henkilötiedot, mitä tarkoitetaan käsittelyllä, kuka on rekisterinpitä ja muut vastaavat kysymykset voivat vaikutta yksinkertaisilta, mutta saattavat pitää sisällään yllättäviä määritelmiä
Osallista kaikki henkilötietojen käsittelyä tekevät henkilöt ja kouluta heitäkin
Peruskoulutuspaketit liikkuvat vähän yrityskoosta riippuen muutamista satasista pariin tuhanteen euroon, keskiverto etelä-pohjalaisyritys selvinnee keskiarvolla noista luvuista.

Kuvaa, mitä henkilötietoja sinulla on ja miten ne liikkuvat

Käytä vanhoja rekisteriselosteita ja ota mukaan henkilötietojen käsittelijät. Tarkistakaa rekisteriselosteiden ajantasaisuus ja muuttuneet käytännöt.
Määritelkää tarkasti etenkin suostumukseen perustuvien tietojen käsittelyn tarkoitus ja miten se ilmoitetaan rekisteröidylle.
Yksinkertainen tapa pienemmässä yrityksessä on piirtää asiat vaikka paperille kolmeen sarakkeeseen.

Vasempaan laitaan kirjataan, mistä henkilötietoja yritykseen tulee.
Keskelle, missä niitä säilytetään (järjestelmät, levyt, paperiarkistot) ja mihin varmuuskopioidaan.
Oikealle luonnollisesti, mitä kautta henkilötiedot poistuvat ja millainen mekanismi siinä on.

Päivitä riskianalyysit henkilötietojen osalta

Henkilötietojen käsittely ei tarvitse omaa erillistä organisaatiota tai riskienhallintaa. Liitä henkilötietoriskien käsittely osaksi muuta riskienhallintaa ja niin asia tulee myös seurattua säännöllisesti.
Arvioi henkilöstösi avustuksella, mitä riskejä henkilötietoihinne kohdistuu ja miten ne voisi välttää. Kirjaa ylös havainnot ja päätetyt toimet!

Suojaa henkilötiedot

Järjestelmät on hyvä testauttaa haavoittuvuuksien varalta ja varautua riskianalyysin mukaisiin toimiin. Jokaista markkinoilla olevaa salaus- ja suojausmenetelmää ei kannata ostaa. Tarve riippuu täysin riskeistä.
Kirjaa testien tulokset ja tehdyt korjaukset. Kirjaa myös perusteet suojauskeinojen valinnalle!

Asiaan kannattaa tutustua myös itse, vaikka kumppanin kautta palvelut hankkisikin. Edellisen listan läpikäynti kannattaa jo ennen kumppanin hankkimista. Näin sinulla on jo itselläsi realistinen kuva, millaisesta projektista on kyse. Asetuksen ydinkohdat kannattaa myös lukaista. Jo artikloilla 1-6 pääsee kivasti alkuun, artiklat 1-36 ovat pääosa asetuksen perusasioista ja printattuna vain noin 100 sivua. Asetus löytyy suomenkielisenä osoitteesta:

 

http://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679...

Asian ympärillä on myös erilaisia apusivustoja, alkuun pääsee vaikka osoitteessa:

http://www.tietosuojakuntoon.fi/

Ja muista, että henkilötietojen käsittely on jatkuva prosessi. Niin on myös niistä huolehtiminen!

Jari Ala-Varvi

Kirjoittaja on toimitusjohtajana ja yrittäjänä Opsec Oy:ssä.