Pieni yritys – onko tietosuojasi kunnossa vai eikö koske meitä?

Hei! Tuskin kukaan on välttynyt kuulemasta lyhennettä GDPR. Tai kotimaisemmin on puhuttu tietosuoja-asetuksesta. Kyseessä on EU-tasoinen asetus, jonka kauniina ajatuksena on yhtenäistää henkilötietojen käsittelyä kaikissa EU:n jäsenmaissa ja rajoittaa globaalien internet-jättien suhteellisen villiä henkilötiedoilla rahastamista. Valta on palautettava ainakin osittain henkilötietojen todelliselle omistajalle, eli käyttäjälle.

Vaikka tietosuoja-asetuksen vaatimukset ovat epäselviä, on olemassa selkeä ajatus, miten asetusten vaatimukset saadaan täytettyä.

Minkä kokoisia yrityksiä asetus koskettaa?

Asetuksessa ei ole määritelty mitään rajoituksia yrityksen koolle. Jokaisen yrityksen aina pienestä konepajasta suureen konserniin on noudettava samoja vaatimuksia.

Esimerkki: 15 työntekijän yritys, jossa asiakasrekisteriä hallinnoidaan excelissä – mitä tehdä?

Avainsana on dokumentointi. Hyviä käytäntöjä on varmasti jo käytössä, mutta ilman dokumentointia toteennäyttäminen on mahdotonta niin kuin asetuksessa edellytetään (osoitusvelvollisuus). Ainakin nämä dokumentit olisi löydyttävä:

  • Seloste käsittelytoimista/Tietosuojapolitiikka: Tässä kuvataan mm. tietosuojan toteuttamisen periaatteet ja käytännöt, mitä henkilötietorekistereitä löytyy ja millä perusteella tietoja kerätään ja käsitellään.
  • Tietosuojaselosteet: Kaksi selostetta riittää, asiakasrekisteristä oma ja työntekijöiden henkilötietojen käsittelystä toinen. Kuvataan mm. miksi henkilötietoja kerätään, mitä niillä tehdään, kenelle niitä jaetaan, miten rekisteröidyt voivat käyttää oikeuksiaan.
  • Tietoturvaloukkausten prosessi: Kuvaus prosessista ja käytettävistä työkaluista ja kuvaus siitä miten loukkaukset dokumentoidaan.
  • Vaikutustenarviointi: mallipohja isojen muutosten vaikuttavuusarviointeihin.
  • Tietoturvapolitiikka: Kuvaus siitä, mitä eri tietoturvan kontrolleja on käytössä. Esim. kovalevyn salaukset, Office365:n tietoturva ominaisuuksien käyttäminen, salattu sähköposti.

Jos henkilötietoja siirretään ulkoiselle käsittelijälle (esim. palkanlaskenta), niin tähän tarvitaan oma sopimusliite.

Laki ei velvoita pientä yritystä nimeämään omaa tietosuojavastaavaansa. Siksi kannattaa tietosuojan vaatimat prosessit ja dokumentit laittaa kerralla kuntoon yhdessä asiantuntijan kanssa, ja noudattaa jatkossa parhaita käytäntöjä. Kun perusta on kunnossa, asetusten vaatima toimintatapa ei kuormita organisaatiota. Systemaattinen henkilötietojen käsittely saattaa jopa tehostaa toimintaa kun prosessit ja dokumentit ovat selkeästi järjestyksessä. / Antti & KV