Tietosuoja-asetus tuli – ainakin nämä kuusi asiaa on oltava kunnossa

EU:n tietosuoja-asetus (GDPR) on ollut voimassa nyt kaksi viikkoa. Henkilötietojen käsittelyn yrityksissä on oltava tietosuoja-asetuksen mukaista.

Suomen Yrittäjien asiantuntija, varatuomari Petri Holopainen listasi kuusi asetukseen liittyvää toimenpidettä, jotka yrittäjän tulisi tehdä tietosuoja-asetuksen noudattamiseksi.

1. Varmista, että yrityksesi tietosuoja on kunnossa

Ajattele mikä voisi olla tietosuojan kannalta pahin mahdollinen skenaario mitä voisi tapahtua, ja valmistaudu tähän. Se voi tarkoittaa tietokoneen ja työkännykän tietoturvan kuntoon laittamista salasanoilla, virustorjunnalla jne. tai arkaluonteista sisältävien materiaalien laittaminen lukkojen taakse.

2. Varmista, että sinulla on asetuksen mukainen käsittelyperuste, joka oikeuttaa käsittelemään henkilötietoja

Tietosuoja-asetuksessa määritellään käsittelyperusteet, joiden mukaan henkilötietojen käsittely on laillista. Vähintään yksi asetuksen antamista edellytyksistä tulee täyttyä. Henkilötietoja voidaan käsitellä rekisteröidyn suostumuksella, oikeutetun edun perusteella (jäsenyys tai asiakkuus), sopimuksen, lakisääteisen velvollisuuden, elintärkeän edun tai yleisen edun perusteella.

3. Laadi seloste käsittelytoimista

Tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista, jos henkilötietoja käsitellään useammin kuin satunnaisesti. Selosteen tarkoitus on palvella yrityksen omaa henkilötietojen dokumentointia. Tietosuojaviranomainen voi pyytää tätä dokumenttia nähtäväkseen.

Selosteen avulla yrittäjä voi rekisterinpitäjänä osoittaa toimineensa tietosuoja-asetuksen mukaisesti. Seloste käsittelytoimista löytyy Suomen Yrittäjien mallipohjista.

4. Selvitä, tuleeko sinun tehdä tietosuojaa koskeva vaikutustenarviointi

Jos tietojenkäsittely aiheuttaa korkean riskin luonnolliselle henkilölle, tulisi rekisterinpitäjän laatia vaikutustenarviointi. Tällöin yrityksen tulisi pyytää neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

5. Informoi ja dokumentoi, kuinka rekisteröityjen informointi toteutetaan

Henkilötietojen käsittelyn tulee olla läpinäkyvää ja rekisteröityjä tulisi informoida, kuinka heitä koskevia tietoja kerätään ja kuinka niitä käytetään. Tiedot tulisi antaa tiiviisti, yksinkertaisella ja selkeällä kielellä. Rekisteröityjen informoinnin tulisi olla maksutonta.

Tietosuoja-asetus velvoittaa, että yrityksen tulisi pitää kuvaus henkilötietojen käsittelystä rekisteröidyn saatavilla. Asetuksen mukaan tiedot tulisi toimittaa kirjallisesti, suullisesti tai sähköisesti. Esimerkiksi messuilla järjestettävästä arvontaan osallistumisesta ja henkilötietojen käsittelystä informointi voisi tapahtua antamalla rekisteröitävälle kirjallinen paperi, jossa kuvaillaan henkilötietojen käyttöä.

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava asiaankuuluvat lisätiedot.

Informointivelvoite tarkoittaa käytännössä sitä, että yrityksen tulee antaa tiedot henkilötietoja vastaanottaessaan. Tiedot voidaan antaa esimerkiksi tietosuojaselosteen muodossa tai muulla tavalla verkkosivuilla, tai tietoja voidaan pitää saatavilla työpaikan intranetissä tai fyysisenä kappaleena esimerkiksi ilmoitustaululla.

Rekisterinpitäjän on toimitettava nämä asiat kohtuullisen ajan kuluttua, mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet tai jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran. Edellä luetellut tiedot tulee luovuttaa myös silloin, jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

Tietoja ei tarvitse kuitenkaan antaa jos:

• rekisteröity on jo saanut tiedot
• kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten ja toimissa noudatetaan suojatoimia
• tiedot on pidettävä luottamuksellisina lakisääteisen salassapitovelvollisuuden nojalla.

6. Laadi sopimukset käsittelyn ulkoistamisesta

Yritys voi ulkoistaa henkilötietojen käsittelytoimia. Tällaisia tilanteita ovat esimerkiksi työntekijöiden palkanmaksun ulkoistaminen tilitoimistolle, ulkopuolisen it-tuen käyttö, jolla on pääsy henkilötietoihin tai pilvipalvelun käyttöönotto, johon siirretään henkilötietoja. Tällaisissa tilanteissa henkilötietojen katsotaan siirtyvän henkilötietojen käsittelijälle eli palveluntarjoajalle. Tietosuoja-asetus velvoittaa laatimaan kirjallisen sopimuksen henkilötietoja ulkoistettaessa.

Tietosuojaopas ja neuvontapalvelu yrittäjän tukena

Tutustu myös Yrittäjien julkaisemaan tietosuojaoppaaseen, jonka tarkoituksena on helpottaa yrittäjiä selviytymään vaadituista toimenpiteistä. Opas on helppolukuinen ja siihen sisältyvät toimintaohjeet. Opasta on käyty lukemassa yli 25 000 kertaa.

Erityisesti pienyrittäjät ovat kaivanneet valmiita malleja, jottei jokaisen yrittäjän tarvitse käyttää aikaa uudistukseen tarvittavan materiaalin luomiseen. Heidän arkea helpottamaan on luotu tietosuoja-asetusta koskevia malliasiakirjoja, jotka ovat yrittäjäjärjestön jäsenille maksuttomia. Suomen Yrittäjien jäsenille on tarjolla lisäksi maksuton neuvontapalvelu.

Pasi Lehtinen

pasi.lehtinen (at) yrittajat.fi

Kuva: IStockphoto/SBphotos