GDPR on vuonna 2018 voimaan tullut EU:n tietosuoja-asetus, joka yhtenäisti henkilötietojen käsittelyn säännöt koko EU-alueella. Tässä osiossa käydään läpi perusteet: mitä GDPR tarkoittaa yritykselle, ketä se koskee, mitkä ovat sen keskeiset periaatteet ja mitä seuraa, jos niitä ei noudata.
Mitä GDPR tarkoittaa yritykselle käytännössä
GDPR velvoittaa yrityksen käsittelemään henkilötietoja lainmukaisesti, läpinäkyvästi ja turvallisesti – ja pystymään osoittamaan sen dokumentaatiolla. Tämä on se ydinajatus, josta kaikki muu seuraa.
Käytännön arjessa GDPR näkyy esimerkiksi siinä, että yrityksellä on tietosuojaseloste verkkosivuilla, tietojenkäsittelysopimukset palveluntarjoajien kanssa, henkilöstö tietää perusasiat ja tietoturvaloukkausten käsittelyyn on prosessi. Ei kuulosta kohtuuttomalta, mutta yllättävän monella yrityksellä osa tai kaikki näistä puuttuu.
Mitä tehdä
- Kartoita, mitä henkilötietoja yrityksesi käsittelee ja missä järjestelmissä
- Määritä jokaiselle käsittelylle oikeusperuste – sopimus, oikeutettu etu vai suostumus?
- Laadi tietosuojaselosteet ja pidä ne ajan tasalla
- Solmi DPA-sopimukset kaikkien käsittelijöiden (palveluntarjoajat) kanssa
- Varmista, että henkilöstö tietää perusasiat
Tietosuojaa pidetään IT-asiana, vaikka se koskee koko organisaatiota. Dokumentaatio laaditaan kerran ja unohdetaan pöytälaatikkoon, tietojenkäsittelysopimukset jäävät puuttumaan uusien yhteistyökumppaneiden myötä ja tietojen käsittelyn oikeusperusteet ovat virheellisesti valittuja.
Jos et ole varma, täyttääkö yrityksesi GDPR:n vaatimukset – se on itsessään merkki siitä, että ulkopuolinen arviointi olisi hyödyllinen.
Ketä GDPR koskee – myös pk-yritykset?
Kyllä. Tämä on yksi yleisimmistä väärinkäsityksistä: GDPR:ssä ei ole kokorajaa. Jos yrityksesi käsittelee henkilötietoja – ja todennäköisesti käsitteleekin, koska jo asiakasrekisteri, työntekijätiedot tai markkinointilista ovat henkilötietoja – GDPR koskettaa yritystäsi.
Pk-yritysten osalta velvollisuudet ovat kuitenkin suhteellisia. GDPR on riskiperusteinen: mitä suurempia riskejä käsittelyyn liittyy, sitä enemmän vaaditaan. Kahden hengen tilitoimistolla on eri vaatimustaso kuin terveysteknologiayrityksellä. Mutta perusasiat kuten tietosuojaseloste, tietojenkäsittelysopimukset ja riittävä tietoturva koskettavat kaikkia.
Mitä tehdä
- Tunnista, käsitteletkö henkilötietoja (vastaus on lähes aina kyllä)
- Toteuta vähintään perusdokumentaatio
- Varmista, että järjestelmät ja prosessit ovat kohtuullisen turvallisia
Älä ylimitoita. Pk-yritys ei tarvitse samaa byrokratiaa kuin pörssiyhtiö, mutta nollataso ei myöskään käy.
GDPR:n seitsemän periaatetta selitettynä
GDPR rakentuu seitsemälle periaatteelle. Ne kuulostavat abstrakteilta, mutta niistä seuraa hyvin konkreettisia velvollisuuksia.
Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Käsittele tietoja reilusti ja kerro ihmisille, mitä heidän tiedoillaan tehdään. Tietosuojaseloste on tämän periaatteen tärkein ilmentymä.
Käyttötarkoitussidonnaisuus
Kerää tietoja vain tiettyyn tarkoitukseen. Jos keräät sähköpostiosoitteen tilauksen toimittamiseen, et voi alkaa lähettämään markkinointia ilman erillistä perustetta.
Tietojen minimointi
Kerää vain se, mitä oikeasti tarvitset. "Varmuuden vuoksi" ei ole GDPR-yhteensopiva peruste.
Täsmällisyys
Tietojen pitää olla oikeita ja ajantasaisia. Virheelliset tiedot korjataan tai poistetaan.
Säilytyksen rajoittaminen
Älä säilytä tietoja ikuisesti. Määrittele säilytysajat ja noudata niitä.
Eheys ja luottamuksellisuus
Suojaa tiedot teknisin keinoin (salaus, pääsynhallinta) ja organisatorisin (koulutus, prosessit).
Osoitusvelvollisuus
Tämä on se periaate, joka erottaa GDPR:n edeltäjistään. Ei riitä, että noudatat sääntöjä, vaan sinun pitää pystyä todistamaan se. Dokumentaatio on avainasemassa.
Mitä tapahtuu, jos GDPR:ää ei noudata
Vakavimmissa tapauksissa tietosuojaviranomainen voi määrätä hallinnollisen sakon, joka on enimmillään 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta. Käytännössä Suomessa sakot ovat olleet huomattavasti pienempiä, mutta niitä on määrätty eikä trendi ole laskeva.
Sakot eivät kuitenkaan ole ainoa riski. Tietosuojavaltuutetun toimisto voi antaa varoituksia, huomautuksia ja määräyksiä, jotka voivat pakottaa yrityksen muuttamaan koko liiketoimintaprosessinsa. Rekisteröidyt voivat vaatia vahingonkorvausta. Ja mainehaitta erityisesti voi olla kaikkein kalleinta.
Yleisin tapa joutua viranomaisen tutkaan on kantelu. Tyytymätön asiakas, entinen työntekijä tai kilpailija tekee kantelun tietosuojavaltuutetun toimistolle, ja viranomainen alkaa selvittää asiaa. Siksi "meitä ei kukaan valvo" on vaarallinen oletus.
Mitä tehdä
- Varmista perusasiat: dokumentaatio, oikeusperusteet, tietoturva
- Reagoi ongelmiin proaktiivisesti – älä odota kantelua
- Kouluta henkilöstö tunnistamaan riskit
Jos valvontaviranomainen on jo ottanut yhteyttä, ota välittömästi yhteyttä asiantuntijaan.