Viime vuosien aikana maailma on digitalisoitunut voimakkaasti ja tietomassojen käsittely on nopeutunut kovalla vauhdilla. Tämä on muokannut myös yritysten toimintatapoja. Viimeistään toukokuun päättyessä yritysten on oltava toimintatapoja yhtenäistävän General Data Protection Regulation -tietosuoja-asetuksen tasalla, koska tuolloin sen siirtymäaika päättyy.

Asetus koskee niin pientä parturikampaamoa kuin suurta teollisuusyritystä ja velvoittaa ne käsittelemään henkilötietoja asetuksen mukaan. Asetuksen tavoitteena on vahvistaa henkilöiden oikeuksia valvoa omien tietojensa käsittelyä.

GDPR koskee käytännössä kaikkia yrityksiä, yhdistyksiä, säätiöitä ja julkishallinnon organisaatioita, jotka käsittelevät työntekijöidensä, asiakkaidensa, sidosryhmiensä tai muiden intressiryhmiensä henkilötietoja.

– Julkisuudessa on maalailtu erilaisia uhkakuvia tietosuoja-asetuksesta, mutta tosi asiassa uusi asetus päivittää parikymmentä viime vuotta voimassa olleen henkilötietolain vastaamaan paremmin nykyajan muuttunutta sähköistä toimintaympäristöä, kertoo asianajotoimisto Castrén & Snellmanin Tietosuoja ja yksityisyydensuoja -palvelun vetäjä Eija Warma.

Yritysten on nyt aika kuroa umpeen henkilötietojen käsittelyyn liittyvät prosessinsa ja rekisterit, jos niitä ei pidetty ajan tasalla viime vuosina.

– Henkilötietolain laiminlyönneissä on usein kyse tietämättömyydestä. Sähköisen asioinnin myötä meistä liikkuu digitaalisessa maailmassa yhä enemmän erilaista henkilödataa, jonka käsittelyn pelisääntöjä tietosuoja-asetus täsmentää ja tekee käytännöt läpinäkyvimmiksi, Warma sanoo.

Mitä uutta tietosuoja-asetus tuo?

GDPR-tietosuoja-asetus tuo mukanaan myös uutta pureskeltavaa yrityksille. Asetus edellyttää, että yrityksen käytössä olevat henkilötiedot on tunnistettu. Ne on usein hyvä koota järkeväksi kokonaisuudeksi ja määritellä niiden käyttötarkoitus. Lisäksi yritysten tulee kertoa avoimesti asiakkailleen, millaisia tietoja yrityksellä on hänestä, ja mitä tiedoilla tehdään eri kanavissa.

Miten siis kannattaa esimerkiksi sellaisen kampaamoyrittäjän toimia, jonka asiakasrekisterit ovat hujan hajan manuaalisilla asiakaskorteilla, tilausvihkossa tai osin digitaalisessa muodossa?

– Kokoa tiedot yhteen vaikka Excel-taulukoksi ja laadi henkilötietojen käytöstä selkeä kuvaus. Kuvaus kannattaa tehdä asiakaslähtöisesti, jotta asiakas ymmärtää, miten tietoja käsitellään. Tietoa asiakkaille voi jakaa esimerkiksi yrityksen verkkosivuilla, asiakaspisteissä ja asiakaskohtaamisissa, Warma neuvoo.

Kun lisäksi kouluttaa henkilöstönsä ymmärtämään sääntelyn mukaisen henkilötietojen käsittelyn ja huolehtii tietoturvasta, noudattaa vahvasti tietosuoja-asetuksen henkeä.

Tarkista ulkoistettujen palveluiden sopimukset

Palvelujaan ulkoistaneiden yritysten on hyvä huomioida, että tietosuoja-asetus määrittelee palvelujen tarjoajat henkilötietojen käsittelijöiksi. Heidän pääsystään henkilötietoihin tulee sopia erikseen. Asetus siis edellyttää jatkossa kirjallista sopimusta käsittelijöiden kanssa. Sopimuksen minimisisältö on laissa määritelty.

Suuren teollisuusyrityksen palkkahallinto sekä analytiikka- ja pilvipalvelut on usein ulkoistettu tällaisille henkilötietojen käsittelijöille.

– Yritysten tuoreimmissa palvelusopimuksissa on saatettu jo määritellä henkilötietojen dokumentoinnin ja käsittelyn periaatteet, riskiarviot sekä henkilöstön koulutustarpeet, mutta vanhemmissa sopimuksissa näin ei useinkaan ole, Warma sanoo.

Globaaleilla markkinoilla toimivilla yrityksillä voi olla kehitystyötä myös EU-alueen ulkopuolella.

– EU:n ulkopuolella toimivien alihankkijoiden oikeudet käsitellä tietoja tulisi varmentaa esimerkiksi Euroopan komission mallisopimuslausekkeilla. Rekisterinpitäjän täytyy olla selvillä, mitä on sovittu esimerkiksi Intiassa operoivan koodarin oikeudesta käsitellä henkilötietoja, Warma sanoo.

Yritysten on valmistauduttava myös poistamaan henkilötietoja, jos yksityinen henkilö niin haluaa.

– Kyse ei kuitenkaan ole absoluuttisesta oikeudesta. Tietojen poisto liittyy tavallisesti henkilötietojen käyttöön markkinoinnissa, mutta on paljon tilanteita, joissa yrityksellä on lakisääteisiä velvoitteita kerätä tietoja asiakkaistaan. Esimerkiksi pankkien kyselyihin rahanpesusta asiakas ei voi vaikuttaa, Warma sanoo.

Pieni startup-yrityskin voi tarvita tietosuojavastaavan

Tietosuoja-asetuksen mukaan yrityksen on nimettävä tietosuojavastaava siinä tapauksessa, että henkilötietojen käsittely on luonteeltaan sellaista, että se voi aiheuttaa yksilölle korkean riskin. Asetuksessa on katsottu, että viranomaisen tai jonkin muun julkishallinnollisen toimijan on nimitettävä tietosuojavastaava, mutta myös sellaisen toimijan, joka käsittelee erityisiin tietoryhmiin kuuluvia henkilötietoja, joita ovat esimerkiksi terveydentilaa, etnistä taustaa tai rikollista toimintaa koskevat tiedot.

– Tietosuojavastaava on nimettävä myös sellaisissa tapauksissa, kun yrityksen toimintaan liittyy henkilön laajamittaista ja järjestelmällistä seurantaa. Silloin esimerkiksi verkkokävijöidensä nettisivumonitorointia evästein harjoittavan pienen startup-yrityksenkin tulisi nimetä tietosuojavastaava, Warma huomioi.

Virasto valvoo, sakot liikevaihdon mukaan

Tietosuojalainsäädännön valvonnasta huolehtii tällä hetkellä Tietosuojavaltuutetun toimisto, mutta asetusta täydentävän kansallisen tietosuojalain mukaan jatkossa valvonnasta vastaa Tietosuojavirasto.

– Tietosuoja-asetus tuo valvojalle nykyistä enemmän valvontakeinoja kuin tähän asti. Neuvonnan ja ohjauksen lisäksi viranomainen voi kehottaa rekisterinpitäjää muuttamaan toimintaansa tai estää joidenkin henkilötietojen hyödyntämisen. Lisäksi viranomaisella on myös mahdollisuus määrätä hallinnollisia seuraamusmaksuja, Warma sanoo.

Seuraamusmaksu voi olla enimmillään joko 4 prosenttia liikevaihdosta tai 20 miljoonaa euroa.

– Tietosuoja-asetuksessa on haluttu antaa viranomaisille vahvat muskelit rankaista sellaisia toimijoita, jotka tahallisesti laiminlyövät henkilötietojen käsittelyyn liittyvät prosessinsa, Warma arvioi.

Tutustu Pohjola Vakuutuksen Kybervakuutukseen

Lue myös: Kello tikittää: tietosuoja-asetus pakottaa yrittäjät muutokseen