Varman johtava lakimies Heikki Kotila neuvoo pk-yrityksiä ja yrittäjiä tarkistamaan tilanteen. Henkilötiedot ja niiden käsittely on dokumentoitava.
Varman johtava lakimies Heikki Kotila neuvoo pk-yrityksiä ja yrittäjiä tarkistamaan tilanteen. Henkilötiedot ja niiden käsittely on dokumentoitava.
Yrittäjä
yrittäjyys
vastuullisuus
16.05.2018

Näin valmistaudut tietosuoja-asetukseen

EU:n tietosuoja-asetus astuu pian voimaan. Se koskee henkilötietoja, kuten verkkokaupan asiakastietoja sekä palkkahallinnon ja kulunvalvonnan tietoja. Joko teillä on dokumentoitu niiden käsittely ja säilytys?

Toukokuun 25. päivä aletaan soveltaa EU:n tietosuoja-asetusta eli GDPR:ää (General Data Protection Regulation). Se koskee kaikkea liiketoimintaa, joissa käsitellään henkilötietoja. Sen määräykset koskevat myös aivan pieniä yrityksiä.

Henkilötiedon käsite on asetuksessa laaja. Se kattaa kaikki tunnistettuun tai tunnistettavissa olevaan ihmiseen liittyvät tiedot. Tällaisia tietoja on muun muassa asiakas- ja markkinointirekistereissä. Laajaan ryhmään kuuluvat myös palkanmaksua varten tallennetut tiedot, toimitilojen kulunvalvonnan tiedot tai parkkihallin kuluntunnistetiedot sekä verkkokaupan asiakastiedot, sähköiset kalenterit ja kalenterivarausjärjestelmät.
Sähköpostitkin voivat muodostaa asetuksessa tarkoitetun henkilörekisterin, samoin kuin valokuvat.

Tarkista tilanne ja dokumentoi

Varman johtava lakimies Heikki Kotila antaakin pk-yrityksille ja yrittäjille yhden neuvon: tarkista tilanne.
‒ Arvioi aluksi, millaisia henkilötietoja ja paljonko teillä käsitellään. Arvioi sitten riskit ja muutostarpeet niiden perusteella.

‒ Enää ei riitä se, että noudattaa lakia. Se pitää osoittaa kuvaamalla henkilötiedon käsittely dokumentein. Prosessien kuvaaminen selkeästi on jossain määrin vaativaa, ja tietojärjestelmäkohtaisesti tehtävänä se on työlästä. Tosin henkilötietojen käytön pohdinta ja dokumentointi luo vankemman pohjan yrityksen jokapäiväiselle toiminnalle, Kotila lohduttaa.

Miten tietonsa voi tarkistaa?

Olennainen muutos aikaisempaan verrattuna on henkilötietojen ja niiden käsittelyn dokumentointi sekä se, että henkilötietojen käsittelystä on kerrottava henkilöasiakkaalle avoimesti ja ymmärrettävästi.

Yrityksen on myös määriteltävä ja kerrottava, mihin tarkoitukseen ja millä perusteella se kerää henkilötietoja. Asetuksen mukaan ihmisillä on oikeus saada tietää, mitä tietoja yrityksellä hänestä on rekistereissään. Näin on ollut tähänkin asti, mutta nyt yrityksen on suunniteltava ja kerrottava selkeästi, miten oikeutta voi käyttää.

Kotila listaa joitain toimialoja, joilla yritysten on erityisesti mietittävä, mitä asetus vaatii. Tällaisia erityisiä sektoreita ovat terveydenhoito- ja sosiaaliala, pankit, vakuutuslaitokset, koko kaupan ala, digitaaliset palvelut, isännöintitoimistot ja kiinteistönhuolto sekä tilitoimistot.

Vastuu myös kumppanien toiminnasta

Yrityksillä on myös yhteistyökumppaneita, kuten esimerkiksi tilitoimisto. Tällaisten kumppanien kanssa on tehtävä henkilötietojen käsittelysopimus.
‒ Jos tilitoimisto hoitaa palkkahallinnon, yrittäjä vastaa rekisterinpitäjänä siitä, että tilitoimisto käsittelee henkilötietoja asetuksen mukaisesti, Kotila painottaa.

On siis syytä tarkistaa, että sopimukset vastaavat asetusta.
‒ Kannattaa tarkistaa, onko omalle toimialalle saatavissa mallisopimuksia, Kotila vinkkaa.

Sähköposti voi olla henkilörekisteri

Entä jos kyse on mikroyrityksestä, jolla ei ole varsinaisia asiakas- tai markkinointirekisterejä? Muodostuuko asiakkuuden hoitamiseksi käydyistä sähköpostikeskusteluista henkilörekisteri?

‒ Se on tulkinnanvaraista. Jos sähköposti on yrittäjälle asiakastiedon hallinnan väline, siitä tulee rekisterinomainen. Sitten on mietittävä, muodostuuko siitä henkilörekisteri. Se muodostuu, jos henkilötietoa kerätään tietyn käyttötarkoituksen perusteella. Jos kaikki on sähköpostissa, se voi olla henkilörekisteri, Kotila pohtii.

Silloin sähköpostin tilanne on kuvattava: missä sitä hallinnoidaan, miten posteja säilytetään ja miten kauan. Tarpeetonta tietoa kun ei saa säilyttää.

Varmassa runsaan vuoden projekti

Varma valmistautui tietosuoja-asetukseen runsaan vuoden ajan. Henkilötiedot ovat olleet työeläkeyhtiön toiminnan ydintä alusta saakka eli 1960-luvulta. Niiden käsittelyyn on aina suhtauduttu vakavasti.

‒ Tässä projektissa arvioimme ensin henkilötietojen käsittelyyn ja tietojärjestelmiin sekä muuhun toimintaan liittyvät riskit. Sitten kävimme läpi sovellus- ja asiakohtaisesti sen, mitä asetuksen takia on tehtävä. Siitä seurasi erilaisia järjestelmämuutoksia, dokumentointia, uutta ulkoista viestintää, ohjeistuksia ja pieniä muutoksia toimintatapoihin. Ne on toteutettu, Heikki Kotila kertaa urakkaa.


Tutustu, miten Varma aloitti valmistautumisen tietosuoja-asetukseen 

Riitta Gullman
Varma
(function (w, d, s, l, i) { w[l] = w[l] || []; w[l].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' }); var f = d.getElementsByTagName(s)[0], j = d.createElement(s), dl = l != 'dataLayer' ? '&l=' + l : ''; j.async = true; j.src = '//www.googletagmanager.com/gtm.js?id=' + i + dl; f.parentNode.insertBefore(j, f); })(window, document, 'script', 'dataLayer', 'GTM-MJL5CR'); (function(w, t, f) { var s='script',o='_giosg',h='https://service.giosg.com',e,n;e=t.createElement(s);e.async=1;e.src=h+'/live/'; w[o]=w[o]||function() {(w[o]._e=w[o]._e||[]).push(arguments)} ;w[o]._c=f;w[o]._h=h;n=t.getElementsByTagName(s)[0];n.parentNode.insertBefore(e,n); })(window,document,3860); (function(h,o,t,j,a,r){ h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)}; h._hjSettings={hjid:928553,hjsv:6}; a=o.getElementsByTagName('head')[0]; r=o.createElement('script');r.async=1; r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv; a.appendChild(r); })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv='); var _vwo_code = (function () { var account_id = 65925, settings_tolerance = 2000, library_tolerance = 2500, use_existing_jquery = false, // DO NOT EDIT BELOW THIS LINE f = false, d = document; return { use_existing_jquery: function () { return use_existing_jquery; }, library_tolerance: function () { return library_tolerance; }, finish: function () { if (!f) { f = true; var a = d.getElementById('_vis_opt_path_hides'); if (a) a.parentNode.removeChild(a); } }, finished: function () { return f; }, load: function (a) { var b = d.createElement('script'); b.src = a; b.type = 'text/javascript'; b.innerText; b.onerror = function () { _vwo_code.finish(); }; d.getElementsByTagName('head')[0].appendChild(b); }, init: function () { settings_timer = setTimeout('_vwo_code.finish()', settings_tolerance); var a = d.createElement('style'), b = 'body{opacity:0 !important;filter:alpha(opacity=0) !important;background:none !important;}', h = d.getElementsByTagName('head')[0]; a.setAttribute('id', '_vis_opt_path_hides'); a.setAttribute('type', 'text/css'); if (a.styleSheet) a.styleSheet.cssText = b; else a.appendChild(d.createTextNode(b)); h.appendChild(a); this.load('//dev.visualwebsiteoptimizer.com/j.php?a=' + account_id + '&u=' + encodeURIComponent(d.URL) + '&r=' + Math.random()); return settings_timer; } }; }()); _vwo_settings_timer = _vwo_code.init(); var _paq = _paq || []; /* tracker methods like "setCustomDimension" should be called before "trackPageView" */ _paq.push(["setCookieDomain", "*.varma.fi"]); _paq.push(["setDomains", ["*.varma.fi"]]); _paq.push(['trackPageView']); _paq.push(['enableLinkTracking']); (function() { var u="//piwik.varma.fi/piwik/"; _paq.push(['setTrackerUrl', u+'piwik.php']); _paq.push(['setSiteId', '1']); var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0]; g.type='text/javascript'; g.async=true; g.defer=true; g.src=u+'piwik.js'; s.parentNode.insertBefore(g,s); })();