Uusi eurooppalainen tietosuoja-asetus, general data protection regulation (GDPR), vaikuttaa niin pien- kuin suuryrittäjien arkeen. GDPR-asetus vaikuttaa esimerkiksi siihen, kuinka suomalaiset yritykset jatkossa käsittelevät ja säilyttävät henkilötietoja. Lisäksi henkilötietojen käsittelyn ja säilyttämisen dokumentoinnin luonne muuttuu.
Siirtymäajan päättyessä 25.5. 2018 yritysten täytyy dokumentoida henkilötietojen koko elinkaari tarkasti. Aiemmin tietosuojaperiaatteiden noudattaminen on riittänyt, nykyään yritysten on pystyttävä osoittamaan noudattavansa asetuksenmukaisia tietosuojaperiaatteita. Lisäksi henkilötietojen käsittelystä täytyy kertoa rekisteröidyille avoimesti ja selkeästi – esimerkiksi tietosuojaselosteella. Vanhaa tietosuojaselostetta ei voitane käyttää sellaisenaan, koska tietosuojaseloste on lakitekstimäisyyden sijasta oltava helposti ymmärrettävää.
Hanki suostumus
Muutoksia tulee myös siihen, kuinka henkilötietojen käsittelyyn hankitaan suostumus. Suostumus tulee hankkia selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla. Valmiiksi rastitettu ruutu ei siis enää käy! Lisäksi suostumuksen perumisesta tulee tehdä yhtä helppoa kuin sen antamisesta.
Keneltä tahansa asiakkaalta ei enää voi kerätä mitä tahansa tietoja. Yrityksen täytyy pystyä perustelemaan keräämisen syy jokaiselle henkilötiedolle. Onko esimerkiksi sukupuoli perusteltavissa oleva, tarpeellinen tieto juuri Sinun yrityksessäsi? Ota myös huomioon se, että perusteltavuudesta huolimatta rodun, etnisen taustan ja poliittisen mielipiteen käsittely on pääsääntöisesti kiellettyä.
Käyttääkö yrityksesi alihankkijoita henkilötietojen käsittelyyn (ulkoistettu asiakaspalvelu tai tietohallinto)? Myös nämä sopimukset tarvitsevat päivittämistä. Mikäli ne eivät vastaa uuden asetuksen vaatimuksia, sopimuksia on muutettava viimeistään toukokuussa.
Asiakkaan oikeudet
Tietosuoja-asetus tuo mukanaan myös uusia oikeuksia asiakkaille. Pientenkin yritysten tulee päivittää prosessinsa siltä varalta, että asiakas haluaa käyttää uusia oikeuksiaan. Prosessi- ja toteutussuunnitelmat täytyy laatia etukäteen seuraavia tilanteita varten:
1) Asiakas haluaa “tulla unohdetuksi”, eli yrityksen täytyy todistettavasti poistaa kaikki asiakkaan henkilötiedot
2) Asiakas pyytää omia tietojaan koneellisesti luettavassa muodossa. Aiemmin henkilötietojen toimittaminen paperisessa muodossa on riittänyt. Nyt tiedot on pyynnöstä toimitettava myös koneellisesti luettavassa muodossa.
3) Asiakas haluaa siirtää henkilötietonsa toiseen yritykseen. Yrityksen on pyynnöstä siirrettävä asiakkaan henkilötiedot esimerkiksi kilpailevalle yritykselle.
Jokainen näistä prosesseista on toteutettava veloituksetta.
Mikäli yrityksesi käsittelee korkean riskin henkilötietoja, kuten terveystietoja, rekisterinpitäjän on tehtävä tietosuojaa koskeva vaikutustenarviointi. Tätä varten saa tarvittaessa apua valvontaviranomaiselta.
Tietosuojaloukkaukset
Jokaisen yrityksen on laadittava suunnitelmat tietoturvaloukkausten varalle. Huolimaton sähköpostin lähettäminen – niin inhimillistä kuin se onkin – on tietoturvaloukkaus. Niistä täytyy ilmoittaa tietosuojavirastolle 72 tunnin kuluessa!
Tervetuloa mukaan tehovalmennukseen! Autamme yritystänne käytännönläheisesti täyttämään asetuksen vaatimuksia. Räätälöimme kaikki valmennukset osallistujien tarpeitten mukaan. Lue lisää Suomen Puheopiston valmennuksista ja ilmoittaudu sopivaan GDPR-päivään!
Kirjoittaja on ihmisten välisen vuorovaikutuksen asiantuntija ja erikoistunut Jyväskylän yliopistossa teknologiavälitteisen vuorovaikutuksen sovelluksiin sekä vuorovaikutusosaamisen valmentamiseen. Olli on vaikuttavan viestinnän ykkössentteri ja valmentamisen asiantuntija. Ollin intohimo on myös jalkapallo ja lajista onkin tarttunut hänelle matkaan loistava oppi: hän vie aina työnsä maaliin saakka.