Ilman arjen tietosuojatyötä ei ole vastuullista liiketoimintaa

Tietosuoja-asiat ovat vastuullisen liiketoiminnan keskiössä. Ilman riittävällä vakavuudella tehtyä tietosuojatyötä ei yritys voi väittää toimivansa vastuullisesti. Tietosuoja-asiat ovat nykypäivänä myös kilpailuvaltti ja erottautumistekijä – yhä useampi kuluttaja on tietoinen oikeuksistaan ja haluaa henkilötietojansa käsittelevän tahon suhtautuvan tietosuojaan vakavasti. Aika ajoin lehtiotsikoissa vilahtelevat tietosuojarikkeet tai suoranaiset tietovuodot ovat omiaan lisäämään kuluttajien kriittistä suhtautumista palveluntarjoajien tietosuojaosaamista kohtaan. Julkisissa kilpailutuksissa ja alihankintaketjussa mukana oleville toimijoille taas tietosuoja-asioiden hoitaminen asiallisesti lainsäädännön edellyttämällä tavalla on yritystoiminnan kannalta elinehto – alihankkijaksi ei hyväksytä, ellei tietosuoja-asiat ole kunnossa niin dokumentaation kuin käytännönkin tasolla.

Tietosuojaseloste kertoo yrityksen suhtautumisesta tietosuojaan eli yrityksen asiakkaiden ja henkilöstön tietojen suojaamiseen. Huolimattomasti laadittu tietosuojaseloste antaa helposti vaikutelman, että myös tietosuojaan suhtaudutaan huolimattomasti. Ethän halua antaa tällaista kuvaa asiakkaillesi, yhteistyökumppaneillesi tai henkilöstöllesi?

Yleistä tietosuojaselosteesta

Tietosuojaseloste on osa GDPR-asetuksen mukaisen informointivelvoitteen täyttämistä. Ei ole kuitenkaan yhdentekevää, mitä tietosuojaselosteeseen kirjoittaa tai miten henkilötietojen käsittelystä selosteessa informoi. Tietosuojalainsäädännön jatkuvasti muuttuessa ja tietosuojaa koskevan ratkaisukäytännön kasvaessa myös tietosuojaselosteelle asetetut kriteerit tarkentuvat, joten jokaisen yrityksen on pysyttävä kärryillä tietosuojaselosteensa tilanteesta ja mahdollisista päivitystarpeista. Lisäksi yritystoiminnan muutokset voivat aiheuttaa muutoksia myös henkilötietojen käsittelyyn, mikä on huomioitava tietosuojaselosteessa. Tietosuojaseloste ei siis missään nimessä ole asiakirja, joka laaditaan kerran ja sen jälkeen unohdetaan sellaisenaan yrityksen verkkosivuille. Uusien palveluiden tai esimerkiksi ulkopuolisten palveluntarjoajien tai palveluiden vaihtuessa on aina tehtävä arviointi, vaikuttavatko muutokset myös henkilötietojen käsittelyyn. Sähköpostimarkkinointiin käytettävän palvelun vaihtamisen myötä myös henkilötietojen käsittelyssä tapahtuu väistämättä muutoksia, jotka on huomioitava tietosuojaselostetasolla saakka.

Valitettavan usein yritysten verkkosivuilla tulee vastaan tietosuojaselosteita, joista näkee niiden olevan kopioitu jonkun toisen yrityksen verkkosivuilta. Räikeimmissä vastaan tulleissa copy-paste -tekniikalla luoduissa tietosuojaselosteissa on ollut edelleen paikallaan alkuperäisen tietosuojaselosteen julkaisseen yrityksen nimi. Toisinaan taas tietosuojaselosteesta näkee, ettei sen julkaissut yritys ole uhrannut kovinkaan paljoa ajatusta tietosuojaselosteen sisällölle. Älä siis mene sieltä, missä aita on matalin, vaan panosta yrityksenne tietosuojaselosteeseen sisältöön.

Onko tietosuojaselosteenne ajan tasalla?

Ota seuraavaksi auki nettisivuillanne oleva tietosuojaselosteenne ja tee alla olevan ohjeen mukainen pikatsekkaus (ei tyhjentävä):

– Löytyykö selosteesta sana ”henkilötietolaki” tai ”Privacy Shield”? Jos löytyy, selosteessanne on vanhentunutta tietoa ja se vaatii päivitystä.

– Väitetäänkö selosteessanne, ettei henkilötietoja luovuteta kolmansille tai siirretä kolmansiin maihin? Jos väitetään, teillä ei tällöin liene käytössänne mitään amerikkalaispohjaista palveluntarjoajaa, kuten Google Analyticsia, Mailchimpia tai Hubspotia esim. markkinointia tukemassa.

– Onko henkilötietojen säilytysajat määritelty? Tietosuojalainsäädännön täyttääkseen on yrityksen esimerkiksi arvioitava ja pystyttävä perustelemaan, kuinka kauan asiakastietojen säilyttäminen on tarpeen sen jälkeen, kun asiakassuhde on päättynyt.

– Onko tietosuojaselosteessa selkeällä tavalla tuotu esille, mitkä ovat rekisteröidyn oikeudet ja miten hän voi käyttää niitä?

– Onhan selosteenne ymmärrettävässä ja selkokielisessä muodossa eli mm. suomenkielinen? Monella suomalaisella verkkosivustolla törmää kansainvälisen emoyhtiön englanninkielisiin selosteisiin, mitkä eivät kuitenkaan täytä tietosuoja-asetuksen informointivelvoitteen selkokielisyysvaatimusta.

– Eikö tietosuojaselostetta löytynyt lainkaan tai oliko se vaikeasti löydettävissä? Jos tämä on tosiasia, niin kiireesti korjaamaan tilannetta! Mutta huolehdi, ettet päädy korjaamaan tilannetta kopioimalla jonkun toisen yrityksen tietosuojaselostetta – jokaisen tietosuojaselosteen on oltava juuri kyseisen yrityksen toimintaan ja henkilötietojen käsittelyyn perustuva. Väitän, että toiselta kopioitu tietosuojaseloste on suht helposti tunnistettavissa ja vaikka ei olisi, johtaa se joka tapauksessa harhaan, mikä ei ole lainsäädännön mukainen tapa huolehtia informointivelvoitteesta.

Tietosuojaseloste on se näkyvä jäävuoren huippu, mikä yrityksen tuleekin lainsäädännön velvoitteet täyttääkseen näyttää verkkosivuillaan. Pinnan alle taas kätkeytyy kaikki se arkinen tekeminen, mitä yrityksessä tulee tehdä aidosti vastuullisesti tehdyn tietosuojatyön eteen. Pelkkä tietosuojaselosteen julkaiseminen ei riitä, vaan yrityksessä on ensinnäkin oltava käsitys yrityksen toiminnassa käsiteltävistä henkilötiedoista, niiden tarpeellisuudesta ja käsittelyn lainmukaisuudesta. Tämän jälkeen on mahdollisuus luoda tietosuojapolitiikka, johon henkilöstö sitoutetaan ja joka antaa arkiselle tietosuojatyölle kestävän ja johdonmukaisen pohjan.

Vastuullisen liiketoimintasi tukena,

Niina Kosunen
Asianajotoimisto Luckylaki Oy
niina.kosunen@luckylaki.fi
050 367 5311