Mitä yrityksellesi tapahtuisi, jos saisit yhtäkkiä sakon, jonka suuruus on jopa 10 % liikevaihdostasi? Et varmastikaan halua edes ajatella sellaista vaihtoehtoa. Tämä uhkakuva on todellinen, jollet ole huolehtinut yrityksesi tietosuoja-asioita EU:n yleisen tietosuoja-asetuksen edellyttämälle tasolle.
Mitä sinun sitten pitäisi tehdä varmistaaksesi, ettet joudu viranomaisten hampaisiin?
GDPR (General Data Protection Regulation) eli tietosuoja-asetus on tullut voimaan jo toukokuussa 2018.
Asetuksen tavoitteena on se, että yksityishenkilöt voivat hallita henkilötietojaan paremmin. Asetuksella säädetään mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Asetusta täydentää lisäksi tietosuojalaki. jossa säädetään esimerkiksi tietosuoja-asioita valvovan viranomaisen toimintaa.
Huh huh, kuulostaa työläältä, hankalalta ja kalliita.
Voisitko vain työntää pään takaisin pensaaseen ja unohtaa koko jutun?
Voit tietysti tehdä niin ja toivoa, että kukaan ei kiinnitä asiaan mitään huomiota. Ota kuitenkin samalla melkoisen riskin. Jos GDPR-asiat ovat yrityksessäsi retuperällä, osoitat asiakkaillesi käsitteleväsi heidän henkilötietojaan epäkunnioitettavasti ja lisäksi saatat saada viranomaisilta asiaan liittyvän selvityspyynnön ja sakon, joka voi olla jopa 10 % liikevaihdostasi.
Mitä sinun sitten pitäisi tehdä?
Aivan ensimmäiseksi sinun tulisi kartoittaa mitä henkilötietoja yrityksessäsi kerätään, mihin tarkoitukseen, miten niitä säilytetään ja käsitellään ja kenellä kaikilla on pääsy kyseisiin tietoihin?
Sinun on varmistetta, että tietoja käsitellään turvallisesti. Tiedot on suojattava lainvastaiselta käytöltä eikä niitä saa luovuttaa eteenpäin. Tietoja saa säilyttää vain niin kauan kuin se on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten.
Sinun on myös pystyttävä tarvittaessa osoittamaan, että noudatat henkilötietojen käsittelyn periaatteita. Näyttönä voi toimia selosteet, ohjeet ja sopimukset.
Esimerkiksi yrittäjänä sinulla on ainakin asiakasrekisteri, koska muuten et voisi hoitaa kommunikointia tai laskutusta asiakkaidesi kanssa ja näin ollen olet rekisterinpitäjä. Et pääse vastuusta, vaikka toimisit vain B to B -bisneksessä, eli asiakkaasi olisivat yrityksiä. Sillä myös yrityksissä työskentelee yksityishenkilöitä, joiden tietoja tarvitset ja pidät tallessa. Esimerkiksi henkilön nimi ja henkilökohtainen sähköpostiosoite, jotka molemmat ovat henkilötietoja.
Rekisterinpitäjänä sinun on annettava rekisteröidylle (eli tässä tapauksessa asiakkaillesi) kaikki henkilötietojen käsittelyä koskevat tiedot “tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa”.
Sinun on kerrottava rekisteröidyille
- kuka rekisterinpitäjä on
- mitä tarkoitusta varten rekisteröidyn henkilötietoja tarvitaan
- kuinka kauan henkilötietoja tarvitaan
- luovutetaanko henkilötietoja eteenpäin tai siirretäänkö niitä ETA-maiden ulkopuolelle
- miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan
- rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä
Sinun on siis laadittava seloste kaikista rekistereistä, joihin tallennat henkilötietoja.
Googlaa ”rekisteriseloste malli”, niin löydät valmiita pohjia, joita voit hyödyntää selosteen laadinnassa. Käy kuitenkin valitsemasi malli tarkasti läpi ja varmista, että vastaat siinä yllämainittuihin asioihin.
Kiinnitä selosteessa erityistä huomiota käsittelyn tarkoituksen määrittämiseen. Rekisteröidyllä tulee olla selkeä käsitys siitä, mihin kaikkiin tarkoituksiin hänen henkilötietojaan käsitellään.
Yrityksesi voi käsitellä henkilötietoja useissa eri tarkoituksissa. Niitä voivat olla esimerkiksi
- rekrytointi
- työsuhteen hallinta
- markkinointi
- asiakassuhteiden ja kumppanuuksien ylläpito
- tapahtumat
Rekisteriselosteet on helpointa julkaista sähköisessä muodossa yrityksesi verkkosivuilla. Tietosuojavaltuutetun toimisto ohjeistaa julkaisemaan rekisteriselosteet verkkosivuilla yleisesti tunnetulla nimellä, kuten ”tietosuoja”, ”tietosuojaseloste”, ”yksityisyys” tai ”yksityisyyden suoja”.
Jos tarvitset apua tietosuojaselosteen julkaisemiseen verkkosivuillasi, ole yhteydessä sivujesi ylläpitäjään.
Osoita, että toimit vastuullisesti ja luotettavasti
Rekisteripitäjänä olet velvoitettu osoittamaan, että noudatat tietosuoja-asetusta. Kun hoidat asian huolellisesti, suojaat paitsi asiakkaidesi henkilötietoja, myös omaa mainettasi. Esimerkiksi, jos havaitset hallinnoimiisi tietoihin liittyvän tietoturvaloukkauksen, voit osoitusvelvollisuuden avulla näyttää, että olet aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi.
Näin vältyt myös mahdollisilta hallinnollisilta seuraamuksilta (ja siltä hirmuiselta sakolta), joita tällainen loukkaus voisi sinulle aiheuttaa. Osoitusvelvollisuuden toteuttaminen myös lisää toimintaasi kohdistuvaa luottamusta ja tuo sinulle kilpailuetua.
Lisää tietoa aiheesta löydät Tietosuoja.fi -sivustolta.
Jos haluat saada jatkossa vastaavia vinkkejä suoraan sähköpostiisi, tilaa uutiskirjeemme. Samalla sinut lisätään asiakasrekisteriimme, lue lisää tietosuojaselosteestamme. 🙂