Tämä voisi olla perinteisen kaltainen pelottelukirjoitus siitä, että 25.5.2018 jälkeen voit saada suuret sakot, mikäli et tee kuperkeikkoja, käytä isoja kasoja euroja ja omaa työaikaasi valmistautumalla EU:n tietosuoja-asetukseen. Sellainen kirjoitus tämä ei toivottavasti ole. Valmistautumisen määrä riippuu siitä, miten hyvin olet hoitanut yrityksesi asiat tällä saralla tähän saakka. Eli siis millä saralla?

Tietosuoja-asetus koskee henkilötietojen käsittelyä, joten tarkastelun kohteeksi tuleekin ottaa ensinnäkin se, mitä henkilötietoja yrityksesi oikein käsittelee. Henkilötiedolla tarkoitetaan mitä tahansa henkilöön liitettävissä olevaa tietoa kuten nimi, sähköposti tai osoite. Henkilötietojen käsittelyssä tulee olla aina huolellinen, mutta erityisesti siinä kohden, kun henkilötiedoista muodostuu henkilörekisteri, tulee kiinnittää erityishuomiota. Henkilörekisteri on ”mikä tahansa” listaus henkilötiedoista, joka muodostaa jonkin loogisen kokonaisuuden (kuten esimerkiksi yrityksen asiakkaat ja heidän yhteystietonsa muodostavat yrityksen asiakasrekisterin). Kun henkilörekisteri on muodostunut, tulee kaikki rekisterinpitäjän velvoitteet noudatettaviksi myös yrittäjälle.

OK, tämä selvää – eihän tässä vielä ole mitään uutta verrattuna vanhaan. Mikä siis on muuttumassa  25.5.2018 alkaen?

Sepä siinä juuri onkin: jos yrityksesi on käsitellyt henkilötietoja ja henkilötietovirtoja asianmukaisesti jo tähänkin saakka, ei suuria kuperkeikkoja ole edessäsi. Työaikaasi kuitenkin menee siihen, että varmistat yrityksessäsi kaiken olevan kunnossa henkilötietojen käsittelyyn liittyen sekä päivität esimerkiksi henkilörekisterien rekisteriselosteet ajan tasalle.

Muutoksia voi katsoa eri näkökulmista: mitä on rekisteröidyn henkilön näkökulmasta muuttumassa sekä mitä on rekisterinpitäjän – eli yrittäjän – näkökulmasta muuttumassa? Käytännössä nämä ovat ikään kuin kolikon kaksi puolta: rekisteröidyn oikeudet tarkoittavat käytännössä rekisterinpitäjän velvollisuuksia, sillä rekisterinpitäjän tulee mahdollistaa toiminnallaan rekisteröidyn oikeuksien toteutus. Rekisteröidyllä tarkoitetaan henkilöä, kenen henkilötietoja ollaan käsittelemässä.

Tässä kuvassa on tiivistettynä se, mitä on rekisteröidyn oikeuksista muuttumassa tai täsmentymässä:

 

Tässä kuvassa puolestaan on tiivistettynä se, mitä on rekisterinpitäjän eli yrittäjän näkökulmasta
muuttumassa tai täsmentymässä:

 

Tiivistettynä  – mitä kannattaa tehdä juuri nyt ennen 25.5.2018?

1. Tee yrityksesi tilannekartoitus henkilötietojen tilanteesta.
Mitä henkilötietoja käsittelette ja miksi, mistä henkilötietoja kerääntyy, minkälaisia henkilörekistereitä
muodostuu, onko kaikelle käsittelylle varmasti laillinen peruste? Onko tietojenkäsittely turvallista,
miten tietoturva on huomioitu? Miten olette valmistautuneet mahdollisiin riskitilanteisiin – tiedätkö
miten toimit, jos tapahtuu tietoturvaloukkaus?

2. Tee tarvittavat toimenpiteet kartoituksen perusteella.
Lopeta sellaisten tietojen keräys, joihin ei ole laillista perustetta tai hanki henkilötietojen käsittelylle suostumus. Paranna tarvittaessa tietoturvan tasoa. Varaudu riskitilanteisiin.

3. Pidä huolta, että rekisteröity pääsee käyttämään oikeuksiaan.
Ennen kuin aloitat henkilötietojen käsittelyn, niin kerro henkilölle tarpeelliset tiedot siitä, mitä tietoja tulet käyttämään, mihin tarkoituksiin, millä tavoin ja miten henkilö voi käyttää rekisteröidyn oikeuksiaan kun käsittelet tietoja (esimerkiksi kehen henkilö voi olla yhteydessä tietojen käsittelyyn liittyen). Varmista, että rekisteröity pystyy käyttämään kaikkia oikeuksiaan helposti: esimerkiksi tarkastamaan ja poistamaan tietojaan henkilörekisteristäsi. Päivitä rekisteri- ja tietosuojaselosteet ajan tasalle.

4. Huolehdi, että koko yrityksen henkilöstö käsittelee henkilötietoja oikein.
Päivitä sisäiset ohjeet, kerro henkilöstölle, miten henkilötietoja tulee käsitellä, huolehdi henkilöstön koulutuksesta tarvittaessa.

Kannattaa myös muistaa, että aina kun pohdit ja teet päätöksiä liittyen henkilötietojen käsittelyyn, kannattaa nämä dokumentoida kirjallisesti, jotta pystyt osoittamaan jälkikäteen, että olet huolehtinut tietosuoja-asetuksen noudattamisesta.

***

Jos haluat kuulla asiasta hieman pidemmän selostuksen, mutta edelleen yrittäjän arkeen sopivana tiiviinä 60 minuutin tietopakettina, ilmoittaudu järjestämillemme webinaareille:
Tietosuoja-asetus yrittäjille -videokoulutus 20.3. klo 16.30-17.30
-Tietosuoja-asetus yrittäjille –videokoulutus 24.4. klo 16.00-17.00 

Koulutuksissa kuulet muun muassa sen, miten hankit suostumuksen henkilötietojen käsittelylle asetuksen mukaisesti tai mitä markkinoinnissa pitää huomioida tietosuoja-asetuksesta.

 

Lisää aiheesta

Tietosuojaelämän kevät Tänä keväänä on aika laittaa kunta valmiiksi uutta tietosuoja-asetusta varten! EU:n uusi tietosuoja-asetus vaikuttaa kunnan hallintotyöhön merkittä...
Tiukat someohjeet Kuntien someohjeet herättävät taas vilkasta keskustelua… Missäs muualla kuin somessa. Yle uutisoi tänään, että kuntien sosiaalisen median ohjeet mä...
Nettijulkisuus ja mikä siinä niin paljon puhuttaa?... Nettijulkisuus puhuttaa sekä hyvässä että pahassa. Vaikka sinällään tietojen, uutisten, tiedotteiden, listojen ja pöytäkirjojen julkaisu on suurimmall...
Kohti vaivattomampaa tiedonsaantia Kolumni on julkaistu alunperin Ruovesi lehdessä ja löytyy täältä: http://www.ruovesi-lehti.fi/kolumnit-kaikki/1213-tuuli-tarukannel Suomessa eletä...
Ulla Tirronen
Koulutuksen ja kuntahallinnon ammattilainen, Hallintoakatemian erityisasiantuntija. Koulutukseltani olen HTM. Rakastan kuntia, hallintoa ja katson maailmaa usein digilasien läpi.
Asiasanat: , , , , , ,

Pin It on Pinterest

Share This