Näin valmistaudut tietosuoja-asetukseen

Toukokuun 25. päivä aletaan soveltaa EU:n tietosuoja-asetusta eli GDPR:ää (General Data Protection Regulation). Se koskee kaikkea liiketoimintaa, joissa käsitellään henkilötietoja. Sen määräykset koskevat myös aivan pieniä yrityksiä.

Henkilötiedon käsite on asetuksessa laaja. Se kattaa kaikki tunnistettuun tai tunnistettavissa olevaan ihmiseen liittyvät tiedot. Tällaisia tietoja on muun muassa asiakas- ja markkinointirekistereissä. Laajaan ryhmään kuuluvat myös palkanmaksua varten tallennetut tiedot, toimitilojen kulunvalvonnan tiedot tai parkkihallin kuluntunnistetiedot sekä verkkokaupan asiakastiedot, sähköiset kalenterit ja kalenterivarausjärjestelmät.
Sähköpostitkin voivat muodostaa asetuksessa tarkoitetun henkilörekisterin, samoin kuin valokuvat.

Varman johtava lakimies Heikki Kotila antaakin pk-yrityksille ja yrittäjille yhden neuvon: tarkista tilanne.
‒ Arvioi aluksi, millaisia henkilötietoja ja paljonko teillä käsitellään. Arvioi sitten riskit ja muutostarpeet niiden perusteella.

‒ Enää ei riitä se, että noudattaa lakia. Se pitää osoittaa kuvaamalla henkilötiedon käsittely dokumentein. Prosessien kuvaaminen selkeästi on jossain määrin vaativaa, ja tietojärjestelmäkohtaisesti tehtävänä se on työlästä. Tosin henkilötietojen käytön pohdinta ja dokumentointi luo vankemman pohjan yrityksen jokapäiväiselle toiminnalle, Kotila lohduttaa.

Olennainen muutos aikaisempaan verrattuna on henkilötietojen ja niiden käsittelyn dokumentointi sekä se, että henkilötietojen käsittelystä on kerrottava henkilöasiakkaalle avoimesti ja ymmärrettävästi.

Yrityksen on myös määriteltävä ja kerrottava, mihin tarkoitukseen ja millä perusteella se kerää henkilötietoja. Asetuksen mukaan ihmisillä on oikeus saada tietää, mitä tietoja yrityksellä hänestä on rekistereissään. Näin on ollut tähänkin asti, mutta nyt yrityksen on suunniteltava ja kerrottava selkeästi, miten oikeutta voi käyttää.

Kotila listaa joitain toimialoja, joilla yritysten on erityisesti mietittävä, mitä asetus vaatii. Tällaisia erityisiä sektoreita ovat terveydenhoito- ja sosiaaliala, pankit, vakuutuslaitokset, koko kaupan ala, digitaaliset palvelut, isännöintitoimistot ja kiinteistönhuolto sekä tilitoimistot.

Yrityksillä on myös yhteistyökumppaneita, kuten esimerkiksi tilitoimisto. Tällaisten kumppanien kanssa on tehtävä henkilötietojen käsittelysopimus.
‒ Jos tilitoimisto hoitaa palkkahallinnon, yrittäjä vastaa rekisterinpitäjänä siitä, että tilitoimisto käsittelee henkilötietoja asetuksen mukaisesti, Kotila painottaa.

On siis syytä tarkistaa, että sopimukset vastaavat asetusta.
‒ Kannattaa tarkistaa, onko omalle toimialalle saatavissa mallisopimuksia, Kotila vinkkaa.

Entä jos kyse on mikroyrityksestä, jolla ei ole varsinaisia asiakas- tai markkinointirekisterejä? Muodostuuko asiakkuuden hoitamiseksi käydyistä sähköpostikeskusteluista henkilörekisteri?

‒ Se on tulkinnanvaraista. Jos sähköposti on yrittäjälle asiakastiedon hallinnan väline, siitä tulee rekisterinomainen. Sitten on mietittävä, muodostuuko siitä henkilörekisteri. Se muodostuu, jos henkilötietoa kerätään tietyn käyttötarkoituksen perusteella. Jos kaikki on sähköpostissa, se voi olla henkilörekisteri, Kotila pohtii.

Silloin sähköpostin tilanne on kuvattava: missä sitä hallinnoidaan, miten posteja säilytetään ja miten kauan. Tarpeetonta tietoa kun ei saa säilyttää.

Varma valmistautui tietosuoja-asetukseen runsaan vuoden ajan. Henkilötiedot ovat olleet työeläkeyhtiön toiminnan ydintä alusta saakka eli 1960-luvulta. Niiden käsittelyyn on aina suhtauduttu vakavasti.

‒ Tässä projektissa arvioimme ensin henkilötietojen käsittelyyn ja tietojärjestelmiin sekä muuhun toimintaan liittyvät riskit. Sitten kävimme läpi sovellus- ja asiakohtaisesti sen, mitä asetuksen takia on tehtävä. Siitä seurasi erilaisia järjestelmämuutoksia, dokumentointia, uutta ulkoista viestintää, ohjeistuksia ja pieniä muutoksia toimintatapoihin. Ne on toteutettu, Heikki Kotila kertaa urakkaa.

Tutustu, miten Varma aloitti valmistautumisen tietosuoja-asetukseen