Etsi

Emergency banner

Koronainfo yrittäjälle: yrittajat.fi/korona

Digi

GDPR tuli, teitkö ainakin nämä asiat? Ruotsissa odotetaan jo ensimmäisiä GDPR-tuomioita

EU:n tietosuoja-asetus (GDPR) tuli voimaan 25.toukokuuta. Ruotsissa odotetaan jo viranomaisen ensimmäisiä tuomioita tutkinnassa, jonka kohteena on 66 yritystä tai yhteisöä.

Ruotsalainen talousmedia DI Digital sai käsiinsä GDPR-tutkinnassa olevien 66 toimijan listan. Listalla on muun muassa terveysyhtiöitä, liittojärjestöjä, teleoperaattoreita, vakuutusyhtiöitä, pankkeja ja viranomaisia.

Datavalvontaviranomaisen tuomioita odotetaan parin viikon sisällä. Jos yhtiöt eivät ole noudattaneet sääntöjä, niitä uhkaa varoitus tai sakot, jotka voivat suurilla kansainvälisillä yhtiöillä nousta jopa kymmeneen miljoonaan. Sakko voi olla kaksi prosenttia liikevaihdosta.

Hoida nämä kuusi perusasiaa 

Suomen Yrittäjien asiantuntija, varatuomari Petri Holopainen listasi kuusi käytännön asiaa, joista yrittäjän tulisi huolehtia tietosuoja-asetukseen liittyen.

1. Varmista, että yrityksesi tietosuoja on kunnossa

– Ajattele mikä voisi olla tietosuojan kannalta pahin mahdollinen skenaario mitä voisi tapahtua, ja valmistaudu tähän. Se voi tarkoittaa tietokoneen ja työkännykän tietoturvan kuntoon laittamista salasanoilla, virustorjunnalla jne. tai arkaluonteista sisältävien materiaalien laittaminen lukkojen taakse.

2. Varmista, että sinulla on asetuksen mukainen käsittelyperuste, joka oikeuttaa selvittelemään henkilötietoja

– Tietosuoja-asetuksessa määritellään perusteet, joiden mukaan henkilötietojen käsittely on laillista. Vähintään yksi asetuksen antamista edellytyksistä tulee täyttyä. Henkilötietoja voidaan käsitellä rekisteröidyn suostumuksella, oikeutetun edun perusteella (jäsenyys tai asiakkuus), sopimuksen, lakisääteisen velvollisuuden, elintärkeän edun tai yleisen edun perusteella.

3. Laadi seloste käsittelytoimista

– Tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista, jos henkilötietoja käsitellään useammin kuin satunnaisesti. Selosteen tarkoitus on palvella yrityksen omaa henkilötietojen dokumentointia. Tietosuojaviranomainen voi pyytää tätä dokumenttia nähtäväkseen.

4. Selvitä, tuleeko sinun tehdä tietosuojaa koskeva vaikutustenarviointi

– Jos tietojenkäsittely aiheuttaa 
korkean riskin luonnolliselle henkilölle, tulisi rekisterinpitäjän laatia vaikutustenarviointi. Tällöin yrityksen tulisi pyytää neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

5. Informoi ja dokumentoi, kuinka rekisteröityjen informointi toteutetaan

– Henkilötietojen käsittelyn tulee 
olla läpinäkyvää ja rekisteröityjä tulisi informoida, kuinka heitä koskevia tietoja kerätään ja kuinka niitä käytetään.

6. Laadi sopimukset käsittelyn ulkoistamisesta

– Yritys voi ulkoistaa henkilötietojen käsittelytoimia. Tällaisia tilanteita ovat esimerkiksi työntekijöiden palkanmaksun ulkoistaminen tilitoimistolle, ulkopuolisen IT-tuen käyttö, jolla on pääsy henkilötietoihin tai pilvipalvelun käyttöönotto, johon siirretään henkilötietoja. Tällaisissa tilanteissa henkilötietojen katsotaan siirtyvän henkilötietojen käsittelijälle eli palveluntarjoajalle. Tietosuoja-asetus velvoittaa laatimaan kirjallisen sopimuksen henkilötietoja ulkoistettaessa.

Lataa tietosuojaopas täältä

Pasi Lehtinen

toimitus(at)yrittajat.fi