Uusi tietosuoja-asetus

25.5.2018 alettiin soveltaa EU:n uutta tietosuoja-asetusta (lyhenne GDPR eli “General Data Protection Regulation”).

Tässä artikkelissa kerromme, mitä se tarkoittaa erityisesti Isoltan asiakkaille eli pienille yrityksille. Suurin osa esityistä asioista on voimassa jo nyt, joten nyt on hyvä hetki toimia.

Asetuksella on ainakin kaksi tarkoitusta. Se suojelee meitä siitä, että henkilötietomme eivät joutuisivat vääriin käsiin tai tarkoituksiin. Toisaalta sillä pyritään erottamaan henkilötieto muusta liiketoimintaa tukevasta tiedosta – saamme paremmat eväät kehittää liiketoimintaamme olemassa olevan tiedon pohjalta.

Mitä on henkilötieto?

”Henkilötieto tarkoittaa kaikenlaisia luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi” (lainaus tietosuojavaltuutetun toimiston tietosuojaoppaasta).

Kaikki yritykset ovat rekisterinpitäjiä

Jos on jokin termi, joka kaikkein tulisi tietosuoja-asetuksesta opetella, se on rekisterinpitäjä. Käytännössä jokainen yritys, joka kerää tietoa esim asiakas- tai työntekijä-rekisteriin on rekisterinpitäjä. Rekisterinpitäjällä on tiettyjä velvollisuuksia, sen tulee mm. määritellä miten se käsittelee henkilötietoja. Henkilötietojen käsittelystä tulisi olla dokumentti, ns rekisteriseloste.

Myös Isolta on rekisterinpitäjä, eli se käsittelee henkilötietoja, erityisesesti asiakastietojen yhteydessä. Isoltalla on asiakkaina paljon toiminimiyrityksiä. Toiminimien tiedot ovat sellaisenaan jo tulkittavissa henkilötiedoksi, koska ne on yksllöitävissä tiettyihin henkilöihin. Voit lukea tarkemmin, miten Isolta käsittelee henkilötietoja Isoltan tietosuojakäytännöstä

Tärkeimmät huomioitavat asiat rekisterinpitäjänä

  • Mistä henkilötiedot on kerätty
  • Mihin tarkoituksiin tietoja käytetään
  • Millä perustein tietoja luovutetaan kolmansille osapuolille
  • Miten huolehditaan tietojen ajanmukaisuudesta
  • Miten huolehditaan tietojen turvallisesta säilyttämisestä

Yleissääntö on, että henkilötietoa ei tulisi kerätä enempää kuin on tarpeen. Kannattaakin haastaa itseään: mitö henkilötietoa tarvitsen liiketoimintani kehittämiseksi? Tietosuoja-asioita tulisi katsoa ennemmin osana liiketoimintaa kehittävänä kuin sitä rajoittavana tekijänä.

Tietojen luovuttamisen osalta tulisi olla varovainen. Se tarkoittaa sitä, että annat henkilötietojasi kolmannelle osapuolelle “pysyvästi”. Luovutuksen jälkeen kolmannesta osapuolesta tulee rekisterinpitäjä suhteessa antamiisi tietoihin.

Luovuttamista keveympi malli on siirtäminen. Esimerkiksi alihankkijalla voi olla väliaikainen pääsy henkilötietoihisi. Tällainen siirtäminen on yleensä mahdollista, kunhan alihankkija sitoutuu samoihin tietosuoja-ehtoihin kuin sinä itsekin. Tilanne monimutkaistuu, jos alihankkija on EU:n tai ETA:n ulkopuolella, tällaiset tilanteet kannattaa tarkistaa tietosuoja-asiantuntijan kanssa.

Tietoturva on osa tietosuojaa

Oli tiedot digitaalisesti tai paperilla, ne pitää olla huolellisesti säilytetty. Moni ajattelee, että tietosuoja-asetus ei ulottuisi paperisiin arkistoihin. Kyllä se ulottuu, ja käytännön kokemumeksemme mukaan paperiset arkistot on usein heikommin suojattu kuin digitaaliset. Paperit lojuvat avoimesti työpöydillä tai hukkuvat postin käsittelyssä.

Pienyritykselle helpoin ja varmin tapa on käyttää luotettavaa pilvipalvelua henkilötietojen käsittelyssä. Eli tietoa olisi mahdollisimman vähän esimerkiksi yrityksen omissa tietokoneissa. Verkkoon kytketty tietokone on alttiina hyökkäyksille, jolloin oman tietokoneen ja lähiverkon suojaukset on oltava hyvässä kunnossa. Hyvässä pilvipalvelussa suojauksista huolehtii ammattilainen ja mahdollisiin hyökkäyksiin on varauduttu.

Oikeus tulla unohdetuksi

Sitä henkilöä, jota tallennettu henkilötieto koskee, kutsutaan rekisteröidyksi. Rekisteröidyllä on uuden tietosuoja-asetusten puitteissa varsin paljon oikeuksia omiin tietoihinsa. Rekisteröidyllä on oikeus varmistaa, että hänen tietojaan käsitellään asianmukaisesti ja että tiedot ovat oikein.

Erityinen piirre tietosuoja-asetuksessa on, että rekisteröidyllä on oikeus saada itseään koskevat henkilötiedot poistettua. Tämä voi tuottaa pulmia rekisterinpitäjälle, sillä henkilötietoja voi olla useassa paikassa jäsentelemättömänä. Rekisterinpitäjän tulisikin heti alkuun pohtia, miten henkilötietoja tallentaa, jotta ne on myös myöhemmin helppo poistaa.

On joitain tilanteita, joissa poistaminen ei tule kuitenkaan kysymykseen. Tällainen voi olla tilanne, jossa poistaminen olisi vastoin laissa säädettyä velvotteita. Esimerkiksi lasku sisältää usein henkilötietoa, mutta laki velvoittaa säilyttämään kirjanpitotositteet kuusi vuotta.

Palveluntarjoaja auttaa rekisterinpitäjää

Jos rekisteripitäjä säilyttää tietoja pilvipalvelussa, esim Isoltan palvelun sisällä, pilvipalvelun tarjoaja on henkilötietojen käsittelijä. Käsittelijän tulee auttaa rekisterinpitäjää suoritumaan omista velvollisuuksistaan. Rekisterinpitäjällä on mm. velvollisuus toimittaa henkilötiedot rekisteröidylle jäsennellyssä, yleisesti käytössä ja koneellisesti luettavassa muodossa. Pilvipalvelun tulee antaa rekisterinpitäjälle tähän työkalut.

Jos rekisterinpitäjän henkilötietorekisteriin kohdistuu ns. tietoturvaloukkaus (esim käyttäjätunnus ja salasana ovat joutuneet väärille tahille), rekisterinpitäjän tulee 72 tunnin kuluessa tehdä siitä ilmoitus tietosuojaviranomaiselle. Jos rekisteri on pilvipalvelussa ja pilvipalvelun tarjoaja (eli henkilötietojen käsittelijä) havaitsee tietoturvaloukkauksen, on sillä velvollisuus ilmoittaa loukkauksesta rekisterinpitäjälle. Yleisesti voi sanoa, että tällaisissa tilanteissa rekisterinpitäjän kannattaa olla heti yhteydessä pilvipalvelun tarjoajaan (eli Isoltan palvelun yhteydessä Isoltaan), jonka asiakaspalvelu auttaa hoitamaan asiaa eteenpäin.

Mistä tulisi aloittaa?

Mikäli toiminnassa käsitellään laajasti henkilötietoja, esimerkiksi asiakasrekisteri on laaja tai siinä käsitellään herkkää tietoa, tulisi aina suunnitella toimintaansa yhdessä tietosuoja-asiantuntijan kanssa. On mahdollista, että tällaiseen yritykseen tulisi nimittää erillinen tietosuojavastaava. Toinen mahdollisesti lankeava velvollisuus on ns. vaikutustenarviointi, jossa mm. tulee järjestelmällisesti kuvata henkilötietojen käsittelytoimet ja käsittelyn tarkoitukset.

Pienissä yrityksissä henkilötietojen kerääminen on vähäisempää joten siihen liittyvät tarpeet ja vaatimukset ovat pienemmät. Kannattaa kuitenkin ottaa hetki aikaa ja kirjoittaa vaikkapa paperille, mitä henkilötietoa tarvitaan mihinkin liiketoiminnan vaatimuksiin.

Pienissä yrityksissä henkilötietoa syntyy usein osana asiakasrekisteriä ja laskuluetteloa. Kun tallennat tietosi Isoltan palveluun, voit olla jo varma, että perusasiat ovat kunnossa. Isoltan asiakaspalvelu auttaa sinua tietosuojaan liittyvissä kysymyksissä, joten sinun ei tarvitse olla asian kanssa yksin.