Tietosuojapalveluita myydään nyt kovilla väitteillä – SY tarjoaa GDPR-oppaan ja mallipohjia
Lukuisille yrittäjille on soitettu ja tarjottu tietosuojapaketteja 500 euroa vuosihintaan. Helsingin Yrittäjien Mari Laaksosen mukaan yrittäjiä on peloteltu myös mahdollisilla sakoilla, jos yrityksen asiat eivät ole kunnossa.
– Tässä on selkeästi tehty uhmakasta ja aggressiivista myyntiä ja peloteltu yrittäjiä, Helsingin yrittäjien puheenjohtaja Mari Laaksonen kertoo.
Myös Suomen Yrittäjien asiantuntija Petri Holopainen on saanut samantyyppisiä yhteydenottoja yrittäjiltä. Laaksosen mukaan myyntipuheluissa on sanottu, että jo pelkästään painetut käyntikortit tulee tallentaa. Holopainen rauhoittelee yrittäjiä tässä asiassa.
– Käyntikorttipinon voi kirjata yrityksen omaan inventaarioon, eli kun luetteloi itselleen, vaikka exceliin omia eri rekistereitä. Tämäntyyppisestä inventaariosta on malli tietosuojavaltuutetun sivuilla, nimellä seloste käsittelytoimista.
Tietosuoja-asetus koskee lähes kaikkia yrityksiä, jotka käsittelevät henkilötietoja. Missä tilanteessa yritykselle voi napsahtaa sakot?
– Kun päätetään tietosuoja-asetuksen hallinnollisen sakon määräämisestä ja sen määrästä, on otettava huomioon muun muassa rikkomisen luonne, sen vakavuus ja kesto sekä mitä velvollisuuksia on rikottu. Lisäksi otetaan huomioon rikkomisen tahallisuus tai tuottamuksellisuus sekä rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa. Myös rekisteröidyille aiheutuneen vahingon suuruus vaikuttaa, Holopainen luettelee.
Tällöin sakko voi olla korkeimmillaan 10 miljoona tai kaksi prosenttia yrityksen maailmanlaajuisesta liikevaihdosta.
Tietosuojaviranomainen lähtökohtaisesti neuvoo ja opastaa yrittäjiä
Jos yritys rikkoo seuraavia tietosuoja-asetuksen velvollisuuksia, voi sakko olla edellä mainittua korkeampi. Tällöin sakon suuruus voi olla korkeintaan 20 miljoonaa euroa tai neljä prosenttia yrityksen maailmanlaajuisesta liikevaihdosta, kumpi vain on suurempi.
Petri Holopaisen mukaan tällöin kyseessä on muun muassa henkilötietojen käsittelyn oikeusperusteiden rikkominen tai rikotaan rekisteröidyn oikeuksia, kuten informointia ja läpinäkyvyyttä.
– Tietosuojaviranomainen kuitenkin lähtökohtaisesti neuvoo, ohjeistaa ja opastaa tietosuoja-asetukseen liittyen. Tietosuojaviranomainen voi huomauttaa tai antaa varoituksen. Vakavissa tietosuojan rikkomistapauksissa tietosuojaviranomainen voi antaa käsittelykiellon, jolloin henkilötietoja ei saa käsitellä.
Holopaisen mukaan tietosuojaviranomainen voi myös vaatia tietosuoja-asetuksen mukaiset asiat kuntoon uhkasakon nojalla tai, jos rikkomus on riittävän vakaa, voidaan tällöin määrätä edellä mainittuja sakkoja.
Asetus koskee myös merkintöjä, jotka voidaan yhdistää tiettyyn henkilöön
Henkilötiedolla tarkoitetaan henkilöä tai hänen ominaisuuksiaan kuvaavia tietoja.
– Lisäksi sillä tarkoitetaan rekisteröidyn elinolosuhteita kuvaavia merkintöjä, jotka voidaan yhdistää häneen, hänen perheeseensä tai hänen kanssaan yhteisessä taloudessa eläviin henkilöihin. Kyse voi olla esimerkiksi asiakkaiden, työntekijöiden tai yrityskontaktien henkilötiedoista, kuten nimestä, osoitteesta, puhelinnumerosta tai mistä tahansa muusta tiedosta, jonka voi liittää tiettyyn henkilöön.
Holopainen antaa viime hetken vinkin, mistä mattimyöhäisen yrittäjän kannattaa lähteä liikkeelle.
– Kehotan perehtymään tietosuoja-asetukseen. Helpoimmin se käy perehtymällä Suomen Yrittäjien laatimaan tietosuojaoppaaseen. Käytännön toimena olisi laatia tietosuojaseloste omille nettisivuilleen ja esimerkiksi katsoa, tarvitseeko yhteistyökumppanien kanssa laatia sopimukset henkilötietojen käsittelystä (tilitoimisto tai IT-tuki). Mallipohjat ja ohje löytyvät Suomen Yrittäjien nettisivuilta.
Myös Suomen Asiakastieto tarjoaa kuukausimaksullista GDPR-palvelua. Tietosuojavaltuutetun toimiston ohjeita tietosuoja-asetuksesta.
Suomen Yrittäjien tietosuojaopas
SY:n asiakirjapohjat jäsenyrittäjille
Riikka Koskenranta
riikka.koskenranta (at) yrittajat.fi
