Etsi

Emergency banner

Koronainfo yrittäjälle: yrittajat.fi/korona

Laki

Onko GDPR jo tuttua kauraa? Näin velvoitteisiin on vastattu neljässä pienyrityksessä

Vuonna 2018 tuli voimaan EU:n tietosuoja-asetus, jonka tavoitteena on, että kansalaiset voivat hallita tietojaan paremmin. Yrittäjä-lehti kysyi neljältä yrittäjältä, mitä käytännön toimia he tekivät, kun asetus tuli voimaan.

Asetus sääntelee henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja.

Suomen Yrittäjien asiantuntija Karoliina Katila korostaa, että tietosuoja-asetusta sovelletaan myös muiden kuin asiakkaiden henkilötietojen käsittelyyn.

– GDPR:ää sovelletaan myös muiden kuin asiakkaiden henkilötietojen käsittelyyn, esimerkiksi työntekijöiden, toimittajien ja alihankkijoiden henkilötietojen käsittelyyn. Kaikessa henkilötietojen käsittelyssä pitää varmistaa, että käsittely täyttää vaatimukset. Ehkä hyvä lähtökohta siihen, että hahmottaa vaatimukset, on ymmärtää, että nämä ovat keinoja, joilla kansalaiset oikeutetaan hallitsemaan heidän tietojaan paremmin.

Suomen Yrittäjät julkaisi Yrittäjän tietosuojaoppaan viime vuonna.

– Jotkut saattavat kokea haastavaksi selvittää, mitä vaatimuksia tietosuoja-asetus yrittäjälle asettaa. Ymmärrystä ja sisäistämistä voi helpottaa tutustumalla oheistuksiin ja oppaisiin, kuten Suomen Yrittäjien tietosuojaoppaaseen, Katila toteaa ja ohjaa tutustumaan Yrittäjien tietosuojaoppaaseen.

Yrittäjät tarjoaa jäsenille tietosuojalomakkeita, nämä löytyvät asiakirjapankista jäsenyrittäjille.

Näin eri alojen yrittäjät ovat toimineet – Kimmo Tattari: ”Jos data ei ole tarpeellista, hävitämme sen kokonaan”

Yrittäjä-lehti kysyi neljältä yrittäjältä, mitä käytännön toimia he tekivät, kun GDPR-asetus tuli voimaan.

Kuopiolainen yrittäjä Pauliina Haimivaara Verhoomo Pauliina Haimivaarasta kertoo tehneensä kotisivuilleen tietosuojaselosteen siitä, miten tietoja säilytetään.

– Tietosuojaselosteen tekemiseen sain silloin vertaistukea yrittäjäystäviltä ja netistä löytyi valmiita selostepohjia. Ainoa lähde, mistä minulle tulee asiakastietoja ovat fyysiset laput, joissa asiakas allekirjoittaa sen, mitä on sovittu. Lapussa lukee, että se tieto käytetään vain laskutukseen ja sen jälkeen poistetaan. Toinen paikka, jossa minulla on asiakastietoja, on laskutuspalvelu Zervant. Ylläpidän aiempaa enemmän tietokoneen turvatoimia. 

Aames Oy:n toimitusjohtaja Kimmo Tattari Helsingistä kertoo heidän kouluttaneen henkilökunnan vastaamaan GDPR:n vaatimuksiin.

– Teimme tietosuoja- ja rekisterikartoitukset siitä, millaista dataa rekistereihin oli tallentunut ja onko se tarpeellista. Jos data ei ole tarpeellista, hävitämme sen kokonaan. Pyrimme, että meillä on vain oleellinen data liiketoimintaamme varten.

Aames Oy sai Data Group Finland -ketjuorganisaatioltaan hyvät ohjeet velvoitteen toteuttamiseen.

– Taloushallinto- sekä toiminnanohjausratkaisujemme kautta olemme mukana asiakkaidemme ydinliiketoiminnassa. Siksi meitä on aina sitonut periaatteessa samat säännöt kuin tällä hetkellä, eikä asetus ole tuonut prosesseihimme kovin suuria muutoksia. GDPR ei juuri vaikuttanut verkkosivuihimmekaan, sillä emme kerää kuin välttämättömät evästeet. Tietosuoja- ja rekisteriselosteet löytyvät sivuiltamme.

Tietosuoja-asetuksen velvoitteet hoidettu kuntoon asianmukaisesti, tietoa hyvin saatavilla

Reija Laurell HR with you Oy:stä sai asetuksesta erittäin hyvää tietoa Yrittäjien GDPR-tietopaketista uutiskirjeen muodossa ennen kuin asetus tuli voimaan.

– GDPR-asetuksen myötä olen kiinnittänyt henkilötietojen käsittelyyn entistä enemmän huomiota. Olen tarkka siitä, että poistan kaikki henkilötiedot, kun rekrytointi päättyy, myös sähköpostista. LinkedIn helpottaa tätä työtä, koska nykyään aika iso osa hakemuksista tulee palvelun kautta. Minulla ei ole henkilörekisteriä asiakkaista.

Helsinkiläisen HR with you Oy:n nykyisillä verkkosivuilla ei ole kävijäseurantaa, mutta uudet verkkosivut ovat työn alla ja samalla sivuille tulee tietosuojaseloste.

– Henkilöarviointitesteihin käytän järjestelmää, joka automaattisesti poistaa vastaukset kuuden kuukauden kuluttua tai henkilön niin pyytäessä heti rekrytoinnin päätyttyä. Minulla ei ole työntekijöitä, enkä pidä rekisteriä yhteistyökumppaneista.

Mikkeliläinen Jani Himanen Virtatie Oy:stä oli perehtynyt yhteistyökumppaneiden kautta henkilötietojen käyttöön jo ennen kuin GDPR:stä puhuttiin.

– Aihe on ollut tuttu jo vuosia ja viimeisimmät tiedot olen saanut osallistuessani aktiivisesti yrittäjäjärjestön toimintaan. Kumppaneilta kulloinkin saatuja yhteystietoja käytetään vain kyseiseen projektiin. Työn suorituksen jälkeen tarpeettomat yhteystiedot poistetaan. Asiakastiedot ovat turvattuja ja salasanalla lukittuja. Kännykän ja läppärin tietoturva-asiat pidän kunnossa. Laskutusohjelma on verkkopankissa ja tämänkin osalta erittäin turvallinen.

– Lisäksi GDPR:n takia laitoin nettisivulle tietosuojaselosteen kertomaan sen, kuinka tietoturvallisesti toimimme. Sähköturvallisuus kaikenlaisen muunkin turvallisuuden lisäksi on tärkeä juttu, ja koitan ottaa aiheen huomioon joka kantilta, Himanen kertoo.

Lue lisää: Tässä vielä kerran: GDPR-linkit

Lue lisää: Yrittäjän tietosuojaopas

Riikka Koskenranta

riikka.koskenranta (at) yrittajat.fi