GDPR rantautuu 25.5., onko uusi tietosuoja-asetus hanskassa?

Tietosuoja on muutoksen myllerryksessä. Tämä koskee kaikkia yrityksiä ja yrittäjiä, joilla on asiakastietoja ja henkilötietoja rekistereissään.

Uusi tietosuoja-asetus tuntuu aiheuttavan ”harmaita hiuksia” monelle pienyrittäjälle. Mitä pitää ymmärtää ja mitä pitää tehdä? Ketä tämä koskee ja miten tähän pitäisi reagoida? Isommat yritykset ovat valmistelleet tätä jo 1-2 vuoden ajan, pienemmät alkavat vasta nyt herätä tähän asiaan. Uusi tietosuoja-asetus koskettaa meitä kaikkia yrittäjiä jollain tavalla ja nyt on aika toimia!

Tietosuoja tarkoittaa henkilötietojen käsittelyä, keräämistä ja säilyttämistä noin yksinkertaisesti sanottuna. Yrityksillä on usein rekistereissään asiakkaiden ja myös henkilöstön tietoja. Jokaisella meistä on oikeus tarkastaa mitä tietoja minusta on tallennettu rekisteriin. Jos yrityksen yksityishenkilöstä tallentamissa tiedoissa on virheitä, on henkilöllä oikeus saada tiedot korjatuiksi. Henkilöllä on myös oikeus pyytää poistamaan tiedot ja kieltää tietojen käyttö. Henkilötietojen keräämiseen pitää myös olla henkilön itsensä suostumus.
Henkilötietolaki löytyy osoitteesta: http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

Uuden tietosuoja-asetuksen astuessa voimaan 25.5.2018 kannattaa tutkiskella omaa dataansa ja mitä sinne on tallennettu.
Oleelliset kysymykset ovat: mitä tietoja kerätään, miten tietoja käsitellään, kuka käsittelee (vastaa ja ylläpitää) ja miten säilytetään.

Kannattaakin hoitaa perusasiat pikaisesti kuntoon. Tässä muutama vinkki, mistä asioista pitää huolehtia:

1. Mitä kerätään. Henkilötiedoista pitää tulevaisuudessa kerätä vain se, mikä on oleellista palvelun käytön kannalta eli minimoida tietojen kerääminen. Tietojen tulee myös olla täsmällisiä ja oikeita. Virheelliset tiedot pitää poistaa viipymättä ja pitää huoli ylläpidettävien tietojen oikeellisuudesta.

Tämä tarkoittaa sitä, että asiakasrekisterit kannattaa tarkistaa. Kannattaa poistaa asiakastiedot sellaisista asiakkaista, jotka eivät ole pitkään aikaan ostaneet tai käyttäneet palveluita. Tämähän koskee myös kanta-asiakasjärjestelmiä. Tiedot pitäisi tarkistaa eli huolehtia niiden oikeellisuudesta. Tarkista siis asiakkaidesi tietoja asioidessasi heidän kanssaan ja korjaa tarvittaessa muutokset asiakasrekisteriisi. Tarkista myös, että kerättävät tiedot ovat välttämättömiä palvelun käytön kannalta. Älä tallenna tietoja, jotka eivät ole välttämättömiä ja poista sellaiset tiedot, jos niitä rekisterissäsi on.

Tee rekisteriseloste. Täyttöohjeet löydät täältä:
>http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html
http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

2. Tarkista ja selvitä, missä säilytät tietoja. Järjestelmän toimintavarmuus, luottamuksellisuus, eheys ja käytettävyys on turvattava. Tämän voi tarkistaa järjestelmän toimittajalta. Henkilötietoihin kohdistuvat tietoturvaloukkaukset on tulevaisuudessa ilmoitettava 72 tunnin kuluessa valvontaviranomaiselle eli Tietosuojavaltuutetun toimistoon Helsingissä. Ilmoitus tulee tehdä myös rekisterinpitäjälle ja rekisterinpitäjän tehtävä on huolehtia tiedosta rekisteröityneelle. Jos olet epävarma onko tietosuojaloukkaus tapahtunut, kannattaa soittaa Tietosuojavaltuutetun toimistoon ja kysyä neuvoa. Identiteettivarkaudet ovat tänä päivänä hyvä esimerkki tietosuojaloukkauksista, jotka voivat aiheuttaa paljon harmia niiden kohteeksi joutuvalle.

Rekisterinpitäjän tulee arvioida minkä tasoinen riski tietoturvaloukkauksesta aiheutuu loukkauksen kohteena olleille henkilöille. Tässä arvioidaan aiheutuuko riskiä ollenkaan, aiheutuuko riski vai aiheutuuko korkea riski. Riskin taso määrittelee toimenpiteet, joihin on ryhdyttävä ja neuvoja saa Tietosuojavaltuutetun toimistosta. Riskin ollessa korkea, rekisterinpitäjän tulee ilmoittaa viipymättä myös rekisteröidylle, jotta hänellä on mahdollisuus suojata itseään esimerkiksi sulkemalla luottokorttinsa.

Huolehdi kaikkien hävitettävien asiakastietojen asianmukaisesta hävittämisestä eli osta silppuri (jos sinulla ei vielä sellaista ole). Laita sen läpi kaikki hävitettävät dokumentit, joissa on asiakastietoja. Älä heitä tällaisia dokumentteja roskikseen. Kyseessä voi olla vain tilausasiakirja, josta näkyy asiakkaan nimi ja sähköposti. Laita kaikki asiakastietoja sisältävät paperit aina silppuriin.

Mikäli joudut säästämään manuaalisia asiakastietoja (tilauslomakkeita, kuittikopioita jne), osta lukollinen kaappi, johon laitat talteen sellaiset tiedot. Tällöin pystyt näyttämään toteen, että säilytät asiakastietoja lukitussa tilassa. Laita kaikille tietokoneille salasana. Suojaa siis koneet siten, että kukaan ei pysty avaamaan niitä ilman salasanaa.

Puhelimet, joissa on asiakastietoja, pitää myös suojata asianmukaisesti ja miettiä kenen käytössä nämä puhelimet ovat. Mikäli puhelinta käyttää useampi henkilö yrityksessä, kannattaa miettiä asiakastietojen poistoa puhelimesta. Nämäkin tiedot (puhelimeen tallennettavat) tulisi tulla esille rekisteriselosteessa.
Älä jätä manuaalisia asiakastietoja tai tietokonetta avoimeksi esimerkiksi työpöydälle asiakastiloihin poistuessasi vaikka kahvinkeittoon. Laita paperit laatikkoon ja sulje kone. 

Työntekijöiden henkilötietoja ei voi myöskään lähettää sähköpostilla eri tahoille. Ne ovat henkilörekisterin tietoja. Tiedot pitää toimittaa suojattuja järjestelmiä pitkin, jos ne sisältävät arkaluonteisia henkilötietoja. Esimerkiksi palkkatietoja ei voi lähettää kirjanpitotoimistolle sähköpostilla. Kannattaa neuvotella kirjanpitotoimiston kanssa, miten tiedot heille on helpoin toimittaa (esimerkiksi suojatun järjestelmän kautta).

3. Nimeä tietosuojavastaava yrityksellesi, jos liiketoimintaasi kuuluu rekisteröityjen henkilöiden järjestelmällinen tietojen keräys, seuranta tai arkaluontoisten henkilötietojen käsittely. Yrityksen tietosuojavastaavan tehtävänä on varmistaa ja valvoa tietosuojan toteutumista sekä tietysti myös suunnitella miten se hoidetaan. Hänen tehtävänään on myös tehdä ilmoitus, jos jotakin tapahtuu. Palvelun voi ostaa myös ulkoistettuna.

4. Yrityksen tulee lisätä sisäistä valvontaa sekä testata, tutkia ja arvioida säännöllisesti itse tietojenkäsittelyä ja turvallisuutta. Täältä löydät lisätietoa turvallisuudesta.
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

Täältä löydät oppaan tietosuojasta.
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

Täältä löydät lisää infoa:
https://www.yrittajat.fi/sites/default/files/yrittajat_tietosuojaopas_2018_130418.pdf

Älä jää odottamaan, mitä pitää tehdä, vaan toimi nyt ja hoida tietosuojan perusasiat pikaisesti kuntoon yrityksessäsi!