Etsi

GDPR-asetukseen valmistautuminen pienyrityksessä

GDPR-asetukseen valmistutuminen pienyrityksessä/käännöstoimistossa

EU:n uusi tietosuoja-asetus tulee täysimääräisesti voimaan toukokuussa. Vielä vuosi sitten saattoi tuudittautua ajatukseen, että eihän se nyt juuri meihin vaikuta, sillä me emme kerää tietoja hyödynnettäviksi. Sitä paitsi luottamuksellisuus ja tietosuoja ovat meille itsestäänselvyys. Totuuden hetken lähestyessä käsitys osoittautui kuitenkin virheelliseksi.

Muutos vaikuttaa jokaiseen yritykseen, jolla on jonkinlainen henkilötietoja sisältävä rekisteri, oli se missä muodossa tahansa. Käytännössä lähes kaikki yritykset tallentavat esimerkiksi asiakastietoja, ja näin tehdään myös meillä käännöstoimistossa. Kävi siis selväksi, että asia vaati perehtymistä ja toimenpiteitä myös meiltä.

Mistä on kyse?

Alkuvaikutelma oli sekava, ja hurjan sanktion uhka teki asiasta hieman pelottavankin. Mutta härkää sarvista ja opiskelemaan! Osallistuin webinaareihin, koulutuksiin ja projekteihin, tutkin julkaistua tietoa, kuulin asiaa koskevia esityksiä ja keskustelin yrittäjäkollegoiden kanssa.

Vähitellen alkoi muotoutua käsitys siitä, mitä asia vaatii meidän yrityksessämme. Tilanne lienee samantapainen myös monissa muissa pienyrityksissä, ja huomioitavien asioiden määrä voi yllättää.

Ymmärrettävästi asetus vaikuttaa asiakas-, toimittaja- ja kumppanirekistereihin, joita ylläpidämme projektijärjestelmässämme. Niiden avulla kirjaamme tilaukset ja seuraamme niitä tarjousvaiheesta työn toteuttamiseen ja laskutukseen saakka. Lisäksi käytössämme on sähköpostirekistereitä asiakas- ja markkinointiviestintää varten. Niiden suhteen toimimme sekä rekisterinpitäjänä että tietojenkäsittelijänä.

Asia koskee toki myös omien työntekijöidemme tietoja, mikä ei aivan aluksi tullut mieleenkään. Niiden suhteen toimimme itse rekisterinpitäjän roolissa ja tilitoimisto ja työterveyspalvelu tietojenkäsittelijöinä.

Käytännön toteutus

Vaikka asiat olisivat kuinka hyvässä kunnossa tahansa, asetus edellyttää, että se on pystyttävä osoittamaan.

Rekisterinpitäjänä aloitimme siis valmistautumisen kirjaamalla selosteet ylläpitämiämme rekistereitä varten sekä selvittämällä, missä tilanteissa tietojen tallennus edellyttää suostumusta.

Asetus vaatii myös dokumentoinnin tietoturvamenetelmistä, joilla henkilötietoja suojataan. Siispä kävimme nykyiset menettelyt järjestelmällisesti läpi ja kirjasimme ne. Samalla tuli arvioitua niiden asianmukaisuus.

Tietyt vaatimukset edellyttävät uusien käytäntöjen omaksumista sekä päivityksiä tietojärjestelmiimme, kuten esimerkiksi mahdollinen tietojen pseudonymisoinnin tai anonymisoinnin tarve. Niillä tarkoitetaan yksinkertaistetusti sitä, ettei rekisterissä olevia tietoja voida suoraan yhdistää yksityisiin henkilöihin ilman erillisiä lisätietoja.

Henkilöstölle ja kumppaneille tarvitaan koulutusta ja ohjeistusta uusista käytännöistä vaatimusten huomioimiseksi kaikissa toiminnan vaiheissa.

Eikä siinä vielä kaikki…

Omat rekisterimme sisältävät pääasiassa asiakkaidemme ja toimittajiemme ammatilliseen toimintaan liittyviä henkilötietoja, jotka ovat usein myös julkisesti saatavilla. Niihin ei sovelleta asetuksen ankarimpia määräyksiä.

Sen sijaan asiakkaidemme tilaamat käännöstekstit voivat sisältää lähes mitä tahansa vaikkapa kissan laihduttimen käyttöohjeesta aina yrityksen arkaluontoiseen kriisiviestintään. Lisäksi tekstejä voidaan lähettää käännettäväksi EU:n rajojen ulkopuolelle vaikkapa Aasiaan tai Etelä-Amerikkaan halutun kohdekielen mukaan.

Tietosuoja-asetus voi siis joissain tilanteissa koskea myös asiakkaidemme tekstejä, jos ne sisältävät asiantuntijamäärityksen mukaisia ”luetteloja oikeudellisista taikka luonnollisista henkilöistä, joissa on yksilöiviä henkilötietoja”. Tällöin asiakas on rekisterinpitäjän roolissa ja me toimimme tietojenkäsittelijänä.

Vaikka käsittelemme tietenkin kaikkea asiakkailta saamaamme tietoa äärimmäisen luottamuksellisena ja vaadimme samaa kaikilta alihankkijoiltamme ja kumppaneiltamme, GDPR saattaa aiheuttaa erityistoimia, jotka liittyvät esimerkiksi tietojen siirtoon EU:n ulkopuolelle tai niiden säilyttämisaikaan.

Tämä edellyttää selkeää ohjeistusta, roolien ja vastuiden tarkkaa määritystä sekä tarvittaessa sopimus- ja toimitusehtojen päivittämistä.

Apua ja tukea asiantuntijoilta

Tekemistä siis riittää, ja tällaisissa tilanteissa yrittäjäjärjestön tuki on arvossaan! En ole ehkä ainoa, jonka mielestä EU:n lakiteksti on osin vaikeaselkoista ja monitulkintaista. Valmistautumisprojektimme loppuvaiheessa meillä oli jäljellä vielä lista kysymyksiä, joihin saimme vastaukset soittamalla Suomen Yrittäjien neuvontapalveluun. Suosittelen lämpimästi muillekin!

Projektimme alkaa olla voiton puolella, joten nyt on hyvä hymyillä ja toivottaa kaikille aurinkoista ja yritteliästä kevättä!

Lahtelaiset yrittäjät kertovat tässä blogissa yrittämisen arjesta ja juhlasta.

Maarit Satukangas-Pohjola

Maarit on yrittäjänä Maris Multilingual:ssa ja Lahden Yrittäjien hallituksen jäsen.