Lähdetään liikkeelle perusteista:
Mitä tarkoitetaan tietosuojalla?
Jokaisella meillä on oikeus yksityisyyteen ja omiin henkilötietoihimme. Meillä on oikeus tietää, miten ja mihin tarkoituksiin organisaatio käsittelee henkilötietojamme. Tietosuoja määrittelee ne säännöt, joiden mukaan tulee aina henkilötietoja käsiteltäessä toimia.
Säännöt henkilötietojen käsittelyyn tulevat EU:n yleisestä tietosuoja-asetuksesta eli GDPR:stä. Tietosuoja-asetusta tukee muu lainsäädäntö, kuten Suomen tietosuojalaki.
Koskeeko GDPR myös pientä yksityisyrittäjää? Kyllä – jos yrityksellä on yksikin asiakas, yksikin työntekijä, hän tulee käsitelleeksi henkilötietoja. Tietosuojavelvoitteet eivät kosketa vain suuryrityksiä, myös pienet yritykset ovat velvoitettuja huolehtimaan henkilötietojen turvallisesta käsittelystä.
Organisaation tulee käsittelytoimillaan huolehtia, että henkilötiedot ovat suojassa heidän järjestelmissään. Tärkeää onkin huolehtia myös tietoturvasta – niin järjestelmien ja laitteiden, kuin niiden käyttäjien.
Entä henkilötieto, mikä lasketaan henkilötiedoksi?
Henkilötieto on kaikki sellainen tieto, josta henkilö on tunnistettavissa. Esimerkiksi nimi, valokuva tai henkilötunnus. Henkilö voidaan tunnistaa tiedosta suoraan tai epäsuorasti: esimerkiksi asiakasnumero ei itsessään kerro, kenen numero se on, mutta muita tietoja yhdistämällä henkilön henkilöllisyys voidaan saada tietoon. Ja tätä tunnistettavaa henkilöä kutsutaan rekisteröidyksi.
Aloittaessaan yritystoimintaa on yrittäjän syytä pysyä kärryillä ja tunnistaa henkilötiedot, joita on välttämätöntä käsitellä oman liiketoimintansa pyörittämiseksi.
Pohdi liiketoiminnassasi käsiteltäviä henkilötietoja: työntekijöiden ja asiakkaiden henkilötiedot. Lisäksi yritystoiminnassa käsitellään varmasti mahdollisten yhteistyökumppaneiden ja toimittajien henkilötietoja.
Määrittele käyttötarkoitus
Jokaiselle henkilötiedolle tulee määritellä sen käyttötarkoitus: käytätkö henkilötietoa palvelun tai tuotteen toimittamiseen asiakkaalle? Käytätkö henkilötietoa myös markkinointiin? Palvelun kehittämiseen? Lisäksi henkilötietojen käsittelylle tulee löytyä oikeusperuste, joka voi olla esimerkiksi rekisteröidyn suostumus tai yrityksen ja rekisteröidyn välinen sopimus.
Henkilötietojen käsittelystä tulee laatia tietosuojaseloste, jonka rekisteröity pääsee halutessaan lukemaan. Tietosuojaselosteeseen kuvataan muun muassa henkilötietojen käsittelyn tarkoitukset, oikeusperuste sekä rekisteröidyn oikeudet tietoihinsa.
Ja muista, että jokaisella henkilötiedolla tulee olla määriteltynä säilytysaika. Mieti, kuinka pitkään on tarpeen säilyttää vaikka asiakkaiden tietoja. Joskus myös lainsäädäntö voi vaikuttaa säilytysajan pituuteen, eikä kyse ole aina vain yrityksen omasta tarpeesta.
Vielä tiivistetysti:
- Ymmärrä eri prosessit: huomioi aina tietosuojalainsäädännön vaatimukset, kun saat uusia asiakkaita tai työntekijöitä, kehität uusia palveluita tai teet hankintoja
- Kerää vain olennaista tietoa ja laadi pakollinen dokumentaatio
- Varmista järjestelmien tietoturva: varmista, että käyttämäsi järjestelmät ovat asianmukaisesti suojattuja ja pääsynhallinta toimii
- Huolehdi päivityksistä ja ilmoita järjestelmätoimittajalle kaikista puutteista ja ongelmista
- Kouluta työntekijät tietoturvan osalta
- Määritä säilytysajat ja poista tarpeettomat tiedot: kaikkien henkilötietojen säilyttämiseen täytyy olla määräaika, tietoja ei saa säilyttää vain varmuuden vuoksi
- Järjestä vähintään vuosittain tietojensiivouspäivä
- Huolehdi rekisteröidyn oikeuksista
- Laadi tietosuojaseloste
- Ole tietoinen missä kaikkialla henkilötietoja säilytät ja dokumentoi kaikki tilanteet, joissa rekisteröidyt käyttävät oikeuksiaan
Ja mikäli harmaita hiuksia aiheuttaa erilaiset tietosuojasopimukset, käy lukemassa artikkelimme Tietosuojaan liittyvistä sopimuksista.
Anna Huhtanen
Data Protection Specialist
Lawder Oy
