Tietosuoja-asetus tulee: Kaksi aihetta herättää eniten kysymyksiä

Tietosuoja-asetukseen pitäisi suhtautua osana yrityksen tietoturvaa.

Rekisterit ja sopimukset nostivat kysymystulvan joulukuun puolivälissä järjestetyssä Y-Koulussa, jonka aiheena oli ”Tietosuoja-asetus tulee – oletko valmis”.

Y-Koulu on yrittäjille tarkoitettu koulutusten sarja, joka jatkuu helmikuussa. Voit katsoa tallenteen viime koulutuksesta täältä, ja esitysmateriaalin täältä.

Yksinkertaistettuna tietosuoja-asetus koskee henkilötietojen käsittelyä, keräämistä ja käyttöä. Yksi Y-Kouluun osallistuneista kysyi, miten ja kuka määrittelee, mikä on tarpeellista rekisteriin kerättävää tietoa?

– Rekisterinpitäjä lähtökohtaisesti määrittää rekisterin käyttötarkoituksen, ja sen mukaisesti tietoa tulisi ja saisi kerätä. Ylimääräisen tiedon kerääminen ei ole datan hallinnan kannalta ylipäätänsä järkevää, vastaa Y-Koulussa valmentanut Pekka Vepsäläinen.

Vepsäläinen on kyberturvallisuuden ja tietosuojan kehittämispalveluja tarjoavan Tikkasecin toimitusjohtaja. Hänen mukaansa henkilötietojen keräämisen tavat ja käyttötarkoitukset ovat ensimmäinen asia, joita yrittäjien pitää miettiä ennen toukokuun 25. päivä voimaan astuvaa tietosuoja-asetusta.

Asetus ei ota kantaa esimerkiksi siihen, missä muodossa henkilö-, asiakas- tai markkinointirekisteri on yrityksessä. Mapeissa oleva tieto on yhtä lailla henkilötietoa kuin sähköisessäkin muodossa oleva. Henkilötiedoksi lasketaan myös IP-osoite.

Rekisterinpitäjä vai henkilötietojen käsittelijä?

Rekisterinpitäjällä on iso vastuu, mutta myös rekisterien käyttäjät eli henkilötietojen käsittelijät joutuvat jatkossa vastuuseen.

– Pitkissä alihankintaketjuissa henkilötietoa saattaa kulkea hyvinkin laajalle ketjussa alaspäin. Vastuut pitää näkyä sopimuksissa, Vepsäläinen selvittää.

Roolit täytyy sopia kirjallisesti, ei vain suullisesti. Tyypillisimpiä yrityksen kumppaneita ovat tilitoimistot, it-palveluntarjoajat ja työterveyspalveluja sekä SaaS-palveluja tarjoavat yritykset.

Sopimukset on hyvä tarkastaa ajoissa ja tehdä niihin tarvittavat muutokset. Esimerkiksi palkkatietojen käsittelystä pitää olla aina kirjalliset sopimukset kolmansien osapuolten kanssa.

Henkilötietojen kerääminen ja käsittely ovat vain yksi osa rekistereihin liittyvistä kysymyksistä. Yritysten liiketoiminnan kannalta yhtä kriittistä on rekisterien hyödyntäminen markkinoinnissa.

– Yleisellä tasolla pitäisi pyytää markkinointilupa, ja ainakin suoramarkkinoinnin voi jokainen rekisteröity kieltää. Toisaalta rekisterinpitäjä pystyy määrittelemään rekisteriselosteessa käyttötarkoituksia tiedon kaupallisesta käytöstä, Vepsäläinen sanoo.

Mitä tekee yksinyrittäjä?

Y-Koulussa nousi esiin myös yksinyrittäjien huoli lisätyöstä. Vepsäläinen myöntää, että tietosuoja-asetus on erityisesti mikroyrityksille todella hankala.

– Yrittäjä joutuu puntaroimaan, kuinka paljon on mahdollisuuksia panostaa. Itse lähtisin tässäkin riskienhallinnan näkökulmasta liikkeelle. Laitetaan nyt vähintään ne pahimmat sudenkuopat kuntoon, eli nettisivujen tietoturva SSL-salauksen osalta ja rekisteriselosteet.

Katso koko esitysmateriaali täältä.

Tee tietoturvan testi täältä

5 yrittäjän askelta toukokuulle

Kartoita nykytila heti

  • Valtuuta yksi henkilö vastaamaan tietosuojasta tai ota itse siitä vastuu.
  • Minkälaista henkilötietoa keräät ja olet kerännyt, mistä ja mihin tarkoituksiin?
  • Voitko perustella, että kerättävä tieto on tärkeää liiketoiminnassasi?
  • Minkälaisiin tietojärjestelmiin henkilötietoa kerätään? Huomioi myös mappiarkistot.

Tee riskianalyysi

  • Uusi tietosuoja-asetus lähtee riskienhallinnasta eli arvioi mitä henkilölle voi aiheutua erityisesti, jos kerättävä tieto päätyy vääriin käsiin. Mitoita toimenpiteet riskien mukaan. Sillä on merkitystä, keräätkö esimerkiksi perustietoa markkinointitarkoituksiin vai arkaluonteisempaa tietoa erityisiin tarkoituksiin.
  • Onko sinulla henkilötietoja suojaamattomassa ympäristössä?
  • Käytä apuna ulkopuolista apua: suunnitteluvaiheessa joko aiheeseen perehtynyttä konsulttia tai juristia. Toteutusvaiheessa it-kumppania.

Päivitä prosessit ja dokumentoi ne

  • Dokumentaatio on tärkeä osa asetuksen vaatimaa osoitusvelvollisuutta.
  • Ihmisten toiminta on tärkeä osa tietoturvan ja tietosuojan toteuttamista. Ihminen on usein se heikoin lenkki.
  • Varmista, että tietojen käsittelyn prosessit ovat kunnossa, ja ohjeistettu henkilöstölle sekä ulkopuolisille tietojen käyttäjille.

Tarkista sopimukset

  • Jokainen sopimus on hyvä tarkastaa vastuiden ja velvollisuuksien näkökulmasta sekä tehdä tarvittaessa täydennyksiä.
  • Oletko rekisterinpitäjä vai tietojen käsittelijä? Päävastuu tiedoista on aina rekisterinpitäjällä, mutta jatkossa myös käsittelijällä on vastuu tietojen käyttämisestä ja luovuttamisesta eteenpäin.
  • Tarkasta, miten työntekijöiden henkilökohtaiset tiedot, kuten palkkatiedot siirtyvät ja miten tieto on suojattu niin siirroissa kuin tallennettuna järjestelmiin?

Viesti avoimesti

  • Verkkosivun rekisteriselosteet pitää päivittää ajantasaiseksi tietosuojaselosteeksi.
  • Ole läpinäkyvä ja kerro mitä keräät ja mihin tarkoituksiin. Pyydä tarvittaessa tietojen keräämiseen suostumus. Älä kerää ”turhaa” tietoa.
  • Muista huolehtia rekisteröityjen oikeuksista, jos joku kysyy, mitä tietoa sinulla hänestä on rekisterissä ja mihin sitä käytetään. Tiedot pitää pystyä myös poistamaan.

Muista, että työ jatkuu toukokuun jälkeenkin. Tietosuoja on osa yrityksen tietoturvan kokonaisuutta. Se on syytä ottaa tosissaan. Ota tietosuojan seuraaminen ja kehittäminen osaksi arkirutiineja.

banner