Riskienhallinta

Paljon pelätty tietosuoja-asetus lähestyy: Viisi askelta yrittäjälle

Paljon pelätty tietosuoja-asetus lähestyy: Viisi askelta yrittäjälle

Tietosuoja-asetus astuu voimaan toukokuun lopussa. Nyt on aika ryhtyä töihin.

|

Tietosuoja-asetus on jo ehtinyt aiheuttaa yrittäjille tukun harmaita hiuksia, sillä yrityksiä on peloteltu julkisuudessa isoilla sakoilla mikäli asiat eivät ole kunnossa.

Yrittäjät myös kritisoivat, että ohjeet ovat sekavia ja niitä tulee verkkaisesti.

Asetuksen sisältöön perehtyneet asiantuntijat pitävät kritiikkiä osin aiheellisena. Esimerkiksi yleistä tietosuoja-asetusta suoramarkkinoinnin osalta tarkentava sähköisen viestinnän tietosuoja-asetus on vielä hyväksymättä.

Yrittäjän pahin virhe on kuitenkin laittaa pää pensaaseen. Toukokuun 25. päivä voimaan astuvaa tietosuoja-asetusta ei nimittäin pääse pakoon kukaan.

– Se koskee valtaosaa yrityksistä. Ehkäpä vain torimyyjä, jolla ei ole yhtään työntekijää tai asiakasrekisteriä, voi olla rauhassa, sanoo kyberturvallisuuden ja tietosuojan kehittämispalveluja tarjoavan Tikkasecin toimitusjohtaja Pekka Vepsäläinen.

Yksinkertaistettuna tietosuoja-asetus koskee henkilötietojen käsittelyä, keräämistä ja käyttöä. Pro Juridican asianajaja Juuso Tuppurainen kehottaa yrityksiä ensimmäiseksi tarkastamaan henkilötietojen keräämisen tavat ja laittamaan ne kuntoon. Katso viisi askelta jutun lopusta.

– On tärkeää tehdä kartoitus, että ymmärretään, mitä tietoa yrityksellä on. Sen jälkeen on arvioitava, mistä tieto tulee, mihin sitä käytetään ja onko tieto liiketoiminnan kannalta tärkeää, Tuppurainen kertoo.

Hänen mukaansa asetus ei ota kantaa esimerkiksi siihen, missä muodossa asiakasrekisteri on yrityksessä. Mapeissa oleva tieto on yhtä lailla henkilötietoa kuin sähköisessä muodossa oleva. Henkilötiedoksi lasketaan myös IP-osoite.

Yritys voi tehdä tietosuojan nykytilan kartoituksen itse, mutta asiantuntija on hyvä olla tukena. Apuna voi olla esimerkiksi aiheeseen perehtynyt konsultti tai juristi. Vepsäläinen kertoo, että tarjolle on tullut myös sähköisiä työkaluja, joissa on mukana valmiita mallidokumentteja asetuksen velvoitteiden toteuttamiseksi kustannustehokkaasti.

Miten markkinoit?

Asiakasrekisterien ja henkilörekisterien käyttötarkoitus on yleensä markkinoida yrityksen palveluja tai tuotteita.

Markkinointia varten pitää usein pyytää jokaiselta henkilöltä suostumus etukäteen.

– Vanhaa rekisteriä ei välttämättä tarvitse heittää roskiin. Sen käytön yhteydessä täytyy kertoa rekisteröidyille, mistä tiedot ovat peräisin ja mihin tarkoituksiin niitä aiotaan käyttää. Olemassa oleva asiakassuhde antaa yritykselle oikeutetun edun käyttää tietoja suoramarkkinointiin, mutta pitää muistaa, että henkilöllä on myös oikeus kieltäytyä markkinointiviesteistä, Vepsäläinen sanoo.

Suurin osa suomalaisista yrityksistä on yhden miehen tai naisen omistamia henkilöyhtiöitä. Heitä koskevat pääasiassa samat säännöt kuin muitakin, mutta yksinkertaisilla toimenpiteillä pääsee jo pitkälle. Ensinnäkin rekisteriselosteiden pitää olla kunnossa ja ajan tasalla.

– Lisäksi tilanteen mukaan täytyy huolehtia esimerkiksi verkkosivuston SSL-sertifikaatista, ja varsinkin liikkuvassa työssä käytettävien läppäreiden kovalevy pitäisi salata. Tietosuojaa kehittämällä parannetaan yrityksen tietoturvaa kokonaisuutena, Vepsäläinen korostaa.

Työnantajayritykset joutuvat miettimään, kenellä ylipäätään on oikeus käsitellä työntekijöiden henkilötietoja tai kuka pääsee niihin käsiksi.

Yrityksille tulee vielä lisähaasteita, jos käsiteltävät tiedot ovat arkaluonteisia tai jos yleiset ohjeet eivät päde. Näin on esimerkiksi pitkissä alihankintaketjuissa, jolloin henkilötietoa saattaa kulkea hyvin laajalle ketjussa alaspäin. Silloin puhutaan rekisterin pitäjän ja käyttäjien eli henkilötietojen käsittelijöiden välisistä sopimuksista.

Tuppurainen nostaa sopimukset muutenkin esille.

– Työntekijöiden tietojen käsittelystä, kuten palkkatiedoista, pitää olla kirjalliset sopimukset kolmansien osapuolten kanssa, Tuppurainen sanoo.

Testaa tietoturvan taso

Fakta

Yrittäjän 5 askelta toukokuulle

Kartoita nykytila heti

 • Valtuuta yksi henkilö vastaamaan tietosuojasta tai ota itse siitä vastuu.
 • Minkälaista henkilötietoa keräät ja olet kerännyt, mistä ja mihin tarkoituksiin?
 • Voitko perustella, että kerättävä tieto on tärkeää liiketoiminnassasi?
 • Minkälaisiin tietojärjestelmiin henkilötietoa kerätään? Huomioi myös mappiarkistot.

Tee riskianalyysi

 • Uusi tietosuoja-asetus lähtee riskienhallinnasta eli arvioi mitä henkilölle voi aiheutua erityisesti, jos kerättävä tieto päätyy vääriin käsiin. Mitoita toimenpiteet riskien mukaan. Sillä on merkitystä, keräätkö esimerkiksi perustietoa markkinointitarkoituksiin vai arkaluonteisempaa tietoa erityisiin tarkoituksiin.
 • Onko sinulla henkilötietoja suojaamattomassa ympäristössä?
 • Käytä apuna ulkopuolista apua: suunnitteluvaiheessa joko aiheeseen perehtynyttä konsulttia tai juristia, toteutusvaiheessa it-kumppania.

Päivitä prosessit ja dokumentoi ne

 • Dokumentaatio on tärkeä osa asetuksen vaatimaa osoitusvelvollisuutta.
 • Ihmisten toiminta on tärkeä osa tietoturvan ja tietosuojan toteuttamista. Ihminen on usein se heikoin lenkki.
 • Varmista, että tietojen käsittelyn prosessit ovat kunnossa, ja ohjeistettu henkilöstölle sekä ulkopuolisille tietojen käyttäjille.

Tarkista sopimukset

 • Jokainen sopimus on hyvä tarkastaa vastuiden ja velvollisuuksien näkökulmasta sekä tehdä tarvittaessa täydennyksiä.
 • Oletko rekisterinpitäjä vai tietojen käsittelijä? Päävastuu tiedoista on aina rekisterinpitäjällä, mutta jatkossa myös käsittelijällä on vastuu tietojen käyttämisestä ja luovuttamisesta eteenpäin.
 • Tarkasta, miten työntekijöiden henkilökohtaiset tiedot, kuten palkkatiedot siirtyvät ja miten tieto on suojattu niin siirroissa kuin tallennettuna järjestelmiin?

Viesti

 • Verkkosivun rekisteriselosteet pitää päivittää ajantasaiseksi tietosuojaselosteeksi.
 • Ole läpinäkyvä ja kerro mitä keräät ja mihin tarkoituksiin. Pyydä tarvittaessa tietojen keräämiseen suostumus. Älä kerää ”turhaa” tietoa.
 • Muista huolehtia rekisteröityjen oikeuksista, jos joku kysyy, mitä tietoa sinulla hänestä on rekisterissä ja mihin sitä käytetään. Tiedot pitää pystyä myös poistamaan.

Muista, että työ jatkuu toukokuun jälkeen. Tietosuoja on osa yrityksen tietoturvan kokonaisuutta. Se on syytä ottaa tosissaan. Ota tietosuojan seuraaminen ja kehittäminen osaksi arkirutiineja.

Yritysten tietoturva: Rakenna muuri verkkorosvolle

Moni on siirtynyt etätöihin koronan takia. Kuinka tietoturvasta huolehditaan etänä? Asiantuntija kertoo vinkkinsä.

Yrityksen tietoturva kuntoon

Yrittäjän on pidettävä huolta tietoturvasta. Rikollinen voi keskeyttää yrityksen koko toiminnan.

Kyberhyökkäys oli viimeinen niitti: Mainostoimisto teki ryhtiliikkeen – testaa riskit

Verkkohyökkäyksen kohteeksi voi joutua minkä kokoinen yritys tahansa.

Tiesitkö tämän tietosuoja-asetuksesta? 6 vinkkiä palkkatietojen käsittelyyn

Yritysten on mietittävä, kuinka arkaluontoisia henkilötietoja säilytetään jatkossa, kirjoittaa Taloushallintoliiton Janne Fredman.

Kukaan ei ole rikolliselta piilossa – Tee ainakin nämä toimenpiteet

Yrityksen tietoturva on iso riski, jos se hoidetaan leväperäisesti. Varmuuskopiointi pelastaa monelta tuskalta.

Mitä pitää tapahtua, että kaikki yrittäjät heräävät?

Tietoturva on ensisijaisesti toiminnan johtamista, ei pelkkää tekniikkaa, kirjoittaa Fennian riskipäällikkö Jani Salonen.

Lataa lisää