Paljon puhuttu EU:n yhteinen tietosuoja-asetus astuu voimaan toukokuussa. Mitä se sitten yrittäjältä ja yrityksiltä vaatii?

Päijät-Hämeen Yrittäjät järjestivät koulutuksen, jossa Lexia Asianajotoimiston lakimies Ville Kukkonen kävi läpi käytännön vinkkejä uuteen asetukseen ja siihen valmistautumiseen.

– Uudesta asetuksesta on liikkeellä paljon ristiriitaista tietoa ja jopa pelottelua, kertoo Kukkonen.

Uusi asetus koskee kaikkia, joilla on jonkinlaisia henkilötietoja tallessa. Koska henkilötietoihin sisältyy esimerkiksi asiakkaiden nimiä, koskee uusi asetus lähes kaikkia yrityksiä.

Henkilötietoja kertyy tyypillisesti esimerkiksi laskutuksesta, tilauksista, markkinoinnista ja palkoista. Riippumatta eri käyttötarkoituksista, kaikki henkilötietoja sisältävät listat ja rekisterit kuuluvat asetuksen piiriin.

Lexia Asianajotoimiston lakimies Ville Kukkonen muistutti, että uusi asetus koskee kaikkia, joilla on jonkinlaisia henkilötietoja tallessa.

Entistä parempaa suojaa henkilötietoihin

Tietosuojasääntelyä on ollut voimassa jo kauan. Monet henkilötietojen käsittelyä koskevat perusperiaatteet säilyvät tulevaisuudessakin, vaikka myös uusia asioita tulee. Uudella asetuksella vahvennetaan ja parannetaan henkilötietojen suojaa, mutta myös yhtenäistetään EU-maiden lainsäädäntöä.

– Lisäksi monilla aloilla on toimialakohtaisia säädöksiä, kuten esimerkiksi potilastietojen käsittelyn osalta. Ne tulevat todennäköisesti jatkossakin säilymään, mutta erityissääntelyn sisältöä arvioidaan uuden asetuksen myötä. Erityissääntelyyn tehtäviä muutoksia kannattaa seurata, muistuttaa Kukkonen.

Nykyinen työelämän tietosuojalaki henkilöstön tietojenkäsittelyyn jää näillä näkymin edelleenkin voimaan tietosuoja-asetusta täydentävänä sääntelynä. Myös sähköistä suoramarkkinointia koskevat säännökset jäävät pitkälti ennalleen.

Uutena tietojenkäsittelyjen dokumentointi ja sopimukset

Yrityksien rekistereiden ja henkilötietojen käyttöjen dokumentointi on tärkeää uuden asetuksen myötä. Asetuksessa on määrätty, että jatkossa yrityksen pitää pystyä todistamaan tai osoittamaan tarvittaessa viranomaisille, että asetus on otettu huomioon, sen eteen on tehty toimenpiteitä ja sitä noudatetaan yrityksessä.

Tähän auttaa, kun on dokumentoinut yrityksen rekisterirakenteen, määritellyt roolit ja käyttötarkoitukset sekä toimintaohjeet esimerkiksi tietoturvamurtojen varalta toukokuusta alkaen.

Yrityksen kannattaa ensin selvittää ja määritellä kenelle se luovuttaa henkilötietoja. Mitä kaikkia ulkopuolisia tahoja käytetään henkilötietojen käsittelyssä? Kenellä kaikilla on pääsy tietoihin tai kenelle niitä luovutetaan? Kun henkilötietoja siirretään rekisterinpitäjältä käsittelijälle, pitää heidän välillä olla sopimus asiasta.

Rekisteröidyn oikeudet ja informointi

Osa rekisteröityjen oikeuksista on samoja kuin on nykyisessäkin henkilötietolaissa. Uusina asioina ovat muun muassa:

• Oikeus siirtää tiedot järjestelmästä toiseen

• Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)

• Oikeus saada ilmoitus tietoturvaloukkauksesta

Tietoturvaloukkaukset

Tietomurrosta pitää tietyissä tilanteissa tehdä ilmoitus 72 tunnin sisällä valvontaviranomaiselle. Yrityksellä on hyvä olla toimintaohje ja dokumentointi tietoturvaloukkauksien varalle.

Tietosuojadokumentaatio ajan tasalle

Yrityksessä kannattaa aina ensin miettiä omat toiminnot, rekisterit, henkilökunnan roolit ja ohjeistaminen ja sitten suhteuttaa dokumentointi yrityksen tarpeisiin. Alle on koottu sellaiset dokumentit, jotka olisi vähintäänkin hyvä löytyä yrityksistä henkilötietojen käsittelyjen osalta:

• Tietovarantojen ja tietovirtojen dokumentointi

• Tietosuojakäytännöt ja käsittelyselosteet

• Yhteistyö- ja ulkoistamissopimukset

• Tietosuoja- ja tietoturvapolitiikat, sisäiset ohjeistukset

• Prosessikuvaukset

• Riskiarvioiden ja päätösten dokumentointi

• Vaikutustenarvioinnit

• Tietosuojavastaavan/ organisaation toiminnan dokumentointi

Palvelu- ja alihankintasopimukset

Asetus velvoittaa tekemään sopimuksen tai muun vastaavan asiakirjan, jos tietojenkäsittelyjä ulkoistetaan. Yrityksen oma rooli pitää tunnistaa, toimiiko yritys rekisterin pitäjänä tai sen käsittelijänä. Tietosuojaan liittyvät asiat tulee sopia kirjallisesti.

Nykyisiin sopimuksiin voi jatkossa liittää tietoturvaliitteen, johon on eriteltynä muun muassa vastuut tietomurtojen osalta.

Lisätietoja ja apua uuteen asetukseen – kuka tätä kaikkea valvoo?

Tietosuojavaltuutetun toimisto valvoo tietosuojasääntelyn noudattamista. Viranomaisella on myös neuvontavelvollisuus.

Lataa Suomen Yrittäjän tietosuojaopas täältä

VINKKI: Dokumentoinnin alussa kannattaa määritellä yrityksen rekisterirakenne.

VINKKI: Määritelkää roolit. Kuka on esim. käsittelijä? Rekisterin ylläpitäjä on yleensä aina yritys/yhdistys ja käsittelijänä henkilöt, jotka usein ovat ulkopuolisiakin esim. tilitoimisto tarvitsee palkkojenmaksuun henkilökunnan tietoja, jolloin he ovat myös tietojen käsittelijöitä.

VINKKI: Työntekijöiltä ei tarvitse kysyä erikseen suostumusta henkilötietojen käyttöön, koska työsuhde antaa käsittelyperusteen. Muistetaan kuitenkin tietojen minimointi, eli ei kerätä mitään muuta henkilötietoja kuin mitä tarvitaan. Työsuhteen päättymisen jälkeenkin on perusteita säilyttää joitakin tietoja pidempää esimerkiksi työaikaseurannassa. Jatkossa työntekijälle pitää pystyä kertomaan kauanko tietoja säilytetään.

VINKKI: Työnhakijoita pitää informoida kauanko hakemuksia säilytetään. Tiedot eivät saa jäädä lojumaan esimerkiksi sähköpostiin. Jos nettisivujen kautta haetaan työntekijöitä, nettisivuille voisi laittaa infon tietojen säilytyksestä.

VINKKI: Tietojen käsittelyn elinkaari on pystyttävä määrittelemään. Yrityksellä voi olla myös jatkuvia asiakassuhteita, jonka vuoksi tietoja säilytetään, myös takuut, virhevastuut sekä kirjanpitovelvollisuudet ynnä muut ovat perusteita säilyttää tietoja. Valvontaviranomaiselle pitää pystyä tarvittaessa perustelemaan säilyttämisajat ja -käytännöt.

TEKSTI JA KUVAT: KRISSE TÖRÖ | KUVITUS: ANNA AALTO