Vieraskynä: Pienyrittäjän tietosuojan ABC – 4 helppoa keinoa parempaan henkilötietojen käsittelyyn
Yleisesti ottaen voidaan todeta, että lähes jokainen yrittäjä käsittelee henkilötietoja. Henkilötiedolla tarkoitetaan mitä tahansa henkilöön liitettävissä olevaa tietoa kuten nimeä, sähköpostia tai osoitetta. Näin kirjoittaa vieraskynän blogissa tietosuoja-asioihin erikoistunut Fennon juristi Mirka Eliasson.
Olen tähän kirjoitukseen tiivistänyt keinot, jolla pienyrittäjä voi varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön periaatteiden mukaisesti. Huolellisella toiminnalla pienennetään tietosuojaloukkauksiin liittyviä maineriskejä sekä mahdollisia hallinnollisia sakkoja.
Henkilötietojen käsittely on välttämätöntä esimerkiksi useita palveluita tarjotessa tai silloin, kun tuotteita myydään verkossa. Henkilötietojen käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat siis henkilötietojen käsittelyä.
Todennäköisesti totesit yllä olevan kuvauksen perusteella, että yrityksesi käsittelee henkilötietoja. Toukokuusta 2018 lähtien henkilötietojen käsittelyä EU:ssa on säännelty yleisellä tietosuoja-asetuksella (GDPR).
Koska tietojen käsittely on todetulla tavalla usein välttämätöntä liiketoiminnan harjoittamiseksi, ei käsittelystä tarvitse stressata liiallisesti pelotteluista huolimatta. Henkilötietojen käsittely GDPR:n mukaisesti ei itseasiassa ole kovin vaikeaa tai vaadi isoja investointeja. Jo muutaman perusasian muistamisella ja toimenpiteen toteuttamisella varmistat, että käsittelet henkilötietoja tietosuojalainsäädännön mukaisesti.
1. Selvitä ja dokumentoi
Listaa kirjallisesti, mitä henkilötietoja käsittelet ja mihin tietoja käytetään. Tietojen käsittelylle on oltava sallittu tarkoitus ja sen tulee perustua johonkin tietosuojalainsäädännön mukaiseen lailliseen perusteeseen.
Yleissääntönä voidaan sanoa, että mitä laajemmin (enemmän) henkilötietoja käsittelet tai mitä arkaluonteisimpia nämä tiedot ovat, sitä tiukempia tietosuojalainsäädännön seuraavat velvoitteet rekisterinpitäjälle ovat. Ei siis ole kannattavaa kerätä sellaisia tietoja, joita yritystoiminnassa et välttämättä tarvitse.
Listaa myös mihin tiedot on tallennettu ja kuinka tietojen turvallisuus on taattu. Varmista, että tietoihin on pääsy ainoastaan sellaisilla tahoilla, joille tietojen käsittely on ja esimerkiksi että käytössä on ainoastaan luotettavia tallennuspalveluja. Mikäli työntekijät käsittelevät henkilötietoja, huolehdi, että käsittelyä koskien on laadittu kirjalliset ohjeet ja järjestä tarvittaessa tietosuojaa koskevaa koulutusta.
2. Tee tarvittavat korjausliikkeet
Jos käsiteltäviä henkilötietoja listattaessa huomaat, että käsittelet tietoja, joille et pysty määrittelemään välttämätöntä käyttötarkoitusta, lopeta tällaisten henkilötietojen käsittely ja poista rekisteristä kaikki liiketoiminnan kannalta turhat henkilötiedot. Varmista kuitenkin, ettei muualta lainsäädännöstä, esimerkiksi kirjanpitoa koskevista säännöksistä, seuraa velvoitteita näiden tietojen säilyttämiseen.
Tietoja saa käsitellä ainoastaan niin kauan, kuin niiden käsittely on välttämätöntä määriteltyyn käyttötarkoitukseen, eli mikäli henkilötietoja ei enää tarvita alkuperäiseen käyttötarkoitukseen, huolehdi, että tiedot tulee poistetuksi rekisteristä. Poistamalla turhat henkilötiedot ja käsittelemällä ainoastaan niitä tietoja, jotka ovat liiketoiminnan kannalta välttämättömiä toteutat tietosuojalainsäädännön mukaista henkilötietojen minimoinnin periaatetta ja vähennät tietojen käsittelyyn liittyviä riskejä.
3. Kerro käsittelystä rekisteröidyille
Informoi rekisteriin kuuluvia henkilöitä eli rekisteröityjä henkilötietojen käsittelystä. Kerro selkeästi ja ymmärrettävästi, mitä tietoja heistä kerätään ja mihin tarkoituksiin sekä millä perusteella tietoja käsitellään.
Informointi voi tapahtua kirjallisesti esimerkiksi nettisivuilla siinä yhteydessä, kun rekisteröity itse luovuttaa henkilötietojaan palvelun tai tuotteen vastaanottamiseksi, mutta mikäli tietoja kerätään muualta kuin rekisteröidyltä itseltään, tulee informoinnin tapahtua mahdollisimman pian ja viimeistään 1 kuukauden kuluessa tietojen keräämisestä.
Kerro myös, kuinka rekisteröity pystyy käyttämään oikeuksiaan (esimerkiksi kehen olla yhteydessä tietojen käsittelyyn liittyen ja mitä oikeuksia rekisteröidyllä on) ja varmista, että rekisteröity pystyy käyttämään oikeuksiaan helposti. Yleisimpiä pyyntöjä on saada tietoon, mitä henkilötietoja on tallennettu ja pyynnöt koskien henkilötietojen poistamista rekisteristä.
4. Sovi tietojen luovuttamisesta
Käy vielä läpi mihin kaikkialle tietoja tallennetaan ja ovatko käytössä olevat pilvipalvelut luotettavia ja tietoturvallisia. Mikäli yrityksessä on työntekijöitä ja tietoja luovutetaan palkkahallinnolle, tulee kyseeseen rekisterinpitäjän ja henkilötietojen käsittelijän välinen tietojenkäsittelysopimus. Myös pilvitallennuspalveluiden osalta tulee huolehtia, että henkilötietojen käsittelystä on sovittu asianmukaisesti.
Muistathan, että UKKO.fi asiakkaana saat Fennon kautta maksuttoman alkukartoituksen lakiasiaasi!
Lue myös
Pienyrittäjän tietosuoja-asiat yhdellä sivustolla
Vieraskynä: Kuinka monta somekanavaa on tarpeeksi ja mitkä kanavat valitsen yritykselleni?
Vieraskynä: Jos haluu saada, niin on pakko antaa
Vieraskynä: 5 vinkkiä uramuutokseen