GDPR, eli General Data Protection Regulation, on EU:n laajuinen tietosuoja-asetus, joka astuu voimaan 25.5.2018. Tästä alkaen on henkilötietojen käsittelyn yrityksissä ja yhdistyksissä oltava tietosuoja-asetuksen mukaista. Aihe on yrityksissä aiheuttanut paljon päänvaivaa ja siihen on liittynyt monia kysymyksiä, epäselvyyksiä ja uskomuksia. Asetuksen tarkoituksena ei ole hankaloittaa yritysten sähköistä markkinointia vaan ajantasaistaa tietosuojaa koko EU:n alueella. Perimmäisenä syynä piilleekin kansalaisten parempi hallinta omista henkilötiedoistaan teknologian kehittyessä. EU:n antamaa asetusta tulee täydentämään jäsenmaiden omat tietosuojalait.
Mitä GDPR käytännössä tarkoittaa?
Käytännössä uusi tietosuoja-asetus tarkoittaa sitä, että yritysten halutaan entistä enemmän kiinnittävän huomiota omaan tietoturvaansa erilaisten henkilötietorekisterien suojaamiseksi. GDPR ei ole jotain, joka tulee tehdä valmiiksi 25.5.2018 mennessä. Päinvastoin, tästä työn pitäisi kunnolla vasta alkaa. Asetuksen tavoitteena on saada yritykset ottamaan tietosuoja-asiat osaksi päivittäistä tekemistään ja rutiinejaan, koko henkilökunnan kattavasti. Uuden tietosuoja-asetuksen mukainen toiminta tulee olemaan jatkuva prosessi, jolla taataan asetuksen mukaisen tietoturvan toteutuminen.
Millä periaatteella tietosuojaa toteutetaan?
Henkilötietojen käsittelyyn on yrityksillä käytettävissään erilaisia periaatteita. B-to-b puolella olisi yrityksen kannalta suotavinta käyttää oikeutettua etua, joka tarkoittaa esimerkiksi sitä, että yrityksellä on oikeutettu etu lähettää asiakkailleen ja potentiaalisille asiakkailleen markkinointiviestintää. Myös kuluttajakaupassa saa edelleen lähettää tähän periaatteeseen vedoten perinteistä suoramainontaa, mutta sähköiseen suoramainontaan tarvitaan asiakkaan suostumus. Käsittelyn periaate voi myös perustua sopimukseen, jonka käytön monipuolisuutta yritykset voisivat ruveta miettimään luovemmin. Voisimmeko esimerkiksi perustaa jonkin netissä toimivan clubin, johon liittyvät ihmiset saataisiin markkinointiviestintämme pariin? Muita käsittelyn periaatteita ovat lakisääteinen velvoite, julkinen tehtävä ja elintärkeä tai yleinen etu.
Mitä sitten käytännössä pitää tehdä?
Suurin työ, liittyen uuteen tietosuoja-asetukseen, tulee olemaan yrityksillä sen saaminen osaksi yrityksen arkea ja jatkuvaksi prosessiksi. Ennen kuin asetus tulee voimaan, on yrityksen selvitettävä, millaisia henkilötietorekistereitä sillä on käytössään. Huomioi, että henkilötietoja voi löytyä yllättävistäkin paikoista. Tämän jälkeen yrityksen tulee laatia henkilötietorekisterit ja laittaa rekisteriselosteet ja raportit kuntoon. Yrityksen on valmisteltava myös dokumentit, joiden avulla rekisteröidylle ilmoitetaan hänen henkilötietojensa käytöstä ja rekisteröidyn oikeuksista tietojen käsittelyn suhteen. Rekisteriselosteet tulee asettaa helposti rekisteröityjen saataville. Lisäksi uutta rekisteröityä on aina tietyin periaattein informoitava hänen tietojensa käsittelystä.
Kun rekisterit ja rekisteriselosteet on saatu kuntoon, on tietosuoja-asetuksen mukainen toiminta tuotava osaksi yrityksen jokapäiväistä toimintaa. Takaa asiantuntemus yrityksessäsi, etenkin asiakasrajapinnassa työskenteleville, eli kouluta henkilöstöäsi. Jokaisen asiakasrajapinnassa työskentelevän pitäisi tietää keväästä eteenpäin, miten toimia, jos asiakas haluaa poistaa henkilötietonsa yrityksen rekistereistä, tarkastaa omat tietonsa tai rajoittaa tietojensa käsittelyä. On myös hyvä tietää yrityksen oikeudet ja velvollisuudet kussakin tilanteessa. Ennen kaikkea, varmista, että tietosuoja-asetuksen mukainen toiminta on yrityksessäsi jatkuva prosessi.
Mitä voi seurata tietosuojan tekemättä jättämisestä?
Sanktiot tietosuojan laiminlyönnistä ja tietosuojarikkomuksesta ovat hyvin mittavia, joten suosittelemme jokaista yritystä laittamaan asian kuntoon. Mieluummin ennemmin kuin myöhemmin. Hallinnollinen sakko on enimmillään 2 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.
Alla vielä muistilista, mitä tulee tehdä ennen 25.5.2018 ja miten toimia sen jälkeen:
Käsitteitä
Henkilötieto
Henkilötietorekisteri
Rekisterinpitäjä
Käsittelijä
Jos asia vielä askarruttaa niin ota yhteyttä iida.ruotsalainen@precis.fi, 0400 640108
Toukokuussa voimaan astuva tietosuoja-asetus mahdollistaa yrityksille henkilötietojen käsittelyn ulkoistamisen, kuten tähänkin saakka. Tässäkin tulee ottaa huomioon muutamia asioita jatkossa, jotta toiminta on uuden tietosuoja-asetuksen mukaista. Käsittelyn ulkoistaminen voi tulla kyseeseen esimerkiksi työntekijöiden palkanmaksun ulkoistamisessa tilitoimistolle tai yrityksen uutiskirjeiden tuotannon ja lähetyksen ulkoistamisessa mainostoimistolle. Lue lisää…