Yrittäjyyskoulu

Aina kannattaa yrittää

Vieraskynä: Pienyrittäjän tietosuojan ABC – 4 helppoa keinoa parempaan henkilötietojen käsittelyyn

Fenno_Mirka_Eliasson

Yleisesti ottaen voidaan todeta, että lähes jokainen yrittäjä käsittelee henkilötietoja. Henkilötiedolla tarkoitetaan mitä tahansa henkilöön liitettävissä olevaa tietoa kuten nimeä, sähköpostia tai osoitetta. Näin kirjoittaa vieraskynän blogissa tietosuoja-asioihin erikoistunut Fennon juristi Mirka Eliasson.

Olen tähän kirjoitukseen tiivistänyt keinot, jolla pienyrittäjä voi varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön periaatteiden mukaisesti. Huolellisella toiminnalla pienennetään tietosuojaloukkauksiin liittyviä maineriskejä sekä mahdollisia hallinnollisia sakkoja.

Henkilötietojen käsittely on välttämätöntä esimerkiksi useita palveluita tarjotessa tai silloin, kun tuotteita myydään verkossa. Henkilötietojen käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat siis henkilötietojen käsittelyä.

Todennäköisesti totesit yllä olevan kuvauksen perusteella, että yrityksesi käsittelee henkilötietoja. Toukokuusta 2018 lähtien henkilötietojen käsittelyä EU:ssa on säännelty yleisellä tietosuoja-asetuksella (GDPR).

Koska tietojen käsittely on todetulla tavalla usein välttämätöntä liiketoiminnan harjoittamiseksi, ei käsittelystä tarvitse stressata liiallisesti pelotteluista huolimatta. Henkilötietojen käsittely GDPR:n mukaisesti ei itseasiassa ole kovin vaikeaa tai vaadi isoja investointeja. Jo muutaman perusasian muistamisella ja toimenpiteen toteuttamisella varmistat, että käsittelet henkilötietoja tietosuojalainsäädännön mukaisesti.

1. Selvitä ja dokumentoi

Listaa kirjallisesti, mitä henkilötietoja käsittelet ja mihin tietoja käytetään. Tietojen käsittelylle on oltava sallittu tarkoitus ja sen tulee perustua johonkin tietosuojalainsäädännön mukaiseen lailliseen perusteeseen.

Yleissääntönä voidaan sanoa, että mitä laajemmin (enemmän) henkilötietoja käsittelet tai mitä arkaluonteisimpia nämä tiedot ovat, sitä tiukempia tietosuojalainsäädännön seuraavat velvoitteet rekisterinpitäjälle ovat. Ei siis ole kannattavaa kerätä sellaisia tietoja, joita yritystoiminnassa et välttämättä tarvitse.

Listaa myös mihin tiedot on tallennettu ja kuinka tietojen turvallisuus on taattu. Varmista, että tietoihin on pääsy ainoastaan sellaisilla tahoilla, joille tietojen käsittely on ja esimerkiksi että käytössä on ainoastaan luotettavia tallennuspalveluja. Mikäli työntekijät käsittelevät henkilötietoja, huolehdi, että käsittelyä koskien on laadittu kirjalliset ohjeet ja järjestä tarvittaessa tietosuojaa koskevaa koulutusta.

2. Tee tarvittavat korjausliikkeet

Jos käsiteltäviä henkilötietoja listattaessa huomaat, että käsittelet tietoja, joille et pysty määrittelemään välttämätöntä käyttötarkoitusta, lopeta tällaisten henkilötietojen käsittely ja poista rekisteristä kaikki liiketoiminnan kannalta turhat henkilötiedot. Varmista kuitenkin, ettei muualta lainsäädännöstä, esimerkiksi kirjanpitoa koskevista säännöksistä, seuraa velvoitteita näiden tietojen säilyttämiseen.

Tietoja saa käsitellä ainoastaan niin kauan, kuin niiden käsittely on välttämätöntä määriteltyyn käyttötarkoitukseen, eli mikäli henkilötietoja ei enää tarvita alkuperäiseen käyttötarkoitukseen, huolehdi, että tiedot tulee poistetuksi rekisteristä. Poistamalla turhat henkilötiedot ja käsittelemällä ainoastaan niitä tietoja, jotka ovat liiketoiminnan kannalta välttämättömiä toteutat tietosuojalainsäädännön mukaista henkilötietojen minimoinnin periaatetta ja vähennät tietojen käsittelyyn liittyviä riskejä.

3. Kerro käsittelystä rekisteröidyille

Informoi rekisteriin kuuluvia henkilöitä eli rekisteröityjä henkilötietojen käsittelystä. Kerro selkeästi ja ymmärrettävästi, mitä tietoja heistä kerätään ja mihin tarkoituksiin sekä millä perusteella tietoja käsitellään.

Informointi voi tapahtua kirjallisesti esimerkiksi nettisivuilla siinä yhteydessä, kun rekisteröity itse luovuttaa henkilötietojaan palvelun tai tuotteen vastaanottamiseksi, mutta mikäli tietoja kerätään muualta kuin rekisteröidyltä itseltään, tulee informoinnin tapahtua mahdollisimman pian ja viimeistään 1 kuukauden kuluessa tietojen keräämisestä.

Kerro myös, kuinka rekisteröity pystyy käyttämään oikeuksiaan (esimerkiksi kehen olla yhteydessä tietojen käsittelyyn liittyen ja mitä oikeuksia rekisteröidyllä on) ja varmista, että rekisteröity pystyy käyttämään oikeuksiaan helposti. Yleisimpiä pyyntöjä on saada tietoon, mitä henkilötietoja on tallennettu ja pyynnöt koskien henkilötietojen poistamista rekisteristä.

4. Sovi tietojen luovuttamisesta

Käy vielä läpi mihin kaikkialle tietoja tallennetaan ja ovatko käytössä olevat pilvipalvelut luotettavia ja tietoturvallisia. Mikäli yrityksessä on työntekijöitä ja tietoja luovutetaan palkkahallinnolle, tulee kyseeseen rekisterinpitäjän ja henkilötietojen käsittelijän välinen tietojenkäsittelysopimus. Myös pilvitallennuspalveluiden osalta tulee huolehtia, että henkilötietojen käsittelystä on sovittu asianmukaisesti.

Muistathan, että UKKO.fi asiakkaana saat Fennon kautta maksuttoman alkukartoituksen lakiasiaasi!

Lue myös

Vieraskynä: Kuinka monta somekanavaa on tarpeeksi ja mitkä kanavat valitsen yritykselleni?

Vieraskynä: Jos haluu saada, niin on pakko antaa

Vieraskynä: Haaveiletko etätöistä Lapissa? Hannu muutti avovaimonsa kanssa Ylläkselle, eikä kadu ratkaisuaan

Vieraskynä: 5 vinkkiä uramuutokseen

Tilaa Yrittäjyyskoulun suosituimmat artikkelit suoraan sähköpostiisi

    Muita artikkeleita aiheesta Vieraskynä: