Valmistautuminen kannattaa aloittaa viimeistään nyt
Tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vahvistaminen, tietosuojan globaalin ulottuvuuden huomioinen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Asetukseen sopeutuminen vaatiikin yrityksiltä lukuisia toimenpiteitä.
Asetuksen noudattaminen on yrityksen johdon vastuulla
Käytännössä tietosuoja-asetuksen tavoitteiden toteutuminen tarkoittaa sitä, että yrityksesi tulee muun muassa pystyä kertomaan, millaista tietoa se on kerännyt ja kerää asiakkaistaan ja mihin tätä tietoa käytetään. Yrityksesi täytyy myös selkeästi pyytää asiakkailtaan suostumus tai osoittaa muu hyväksyttävä peruste tietojen keräämiseen sekä tarvittaessa asiakkaan pyynnöstä oikaista tai poistaa tätä koskevat tiedot. Yrityksesi tulee lisäksi voida osoittaa, että sillä on oikein laadittu rekisteriseloste, jollainen monelta yritykseltä puuttuu.
Lexperiencen yrittäjä, lakimies Elina Koivumäki kehottaa pk-yrityksiä toimimaan viimeistään talven aikana, jotta ne olisivat valmiita ajoissa kun EU:n tietosuoja-asetus astuu voimaan 25. toukokuuta ensi vuonna.
Tee nykytila-arvio ja valmistaudu osoittamaan asetuksen noudattaminen
Asetukseen sopeutuminen alkaa nykytila-arvion ja analyysin tekemisestä. Jos yrityksesi keräämät tiedot ovat hajallaan, on samalla erittäin hyvä hetki selkeyttää tiedon keräämisen ja varastoimisen toimintatavat. Jatkossa tiedot pitää voida löytää ja esittää asiakkaille ja viranomaisille nopeasti.
- Useille yrityksille tämä kaikki tarkoittaa vain muutamien asioiden varmistamista ja kirjaamista, toisilla projekti onkin sitten isompi, kertoo Kari Oksanen ER-tuesta (ertuki.fi ), jolla on kokemusta tietojenkäsittelystä, ja joka on käytettävissä Lohjan talousalueella yrittäjän avuksi.
Kun aiemmin on riittänyt, että yrityksesi kertoo noudattavansa tietosuojaan liittyviä lakeja, jatkossa se tulee voida konkreettisesti osoittaa. Jos yrityksesi on esimerkiksi kerännyt sähköpostiosoitteita markkinointitarkoituksiin, sen tulee voida osoittaa keräyslomakkeen tai uutiskirjeen tilaamisvahvistuksen kopiolla tai muulla tavalla, että henkilöitä on informoitu osoitteiden keräämisestä.
Viime vuonna hyväksytty tietosuoja-asetus (general data protection regulation, gdpr) tarkoittaa, että yritysten on siirtymäajan jälkeen tiedettävä mitä, missä ja miten ne henkilötietoja käsittelevät. Näistä tiedoista on tehtävä riskiarvio. Pessimistisimpien arvioiden mukaan Suomessa vain muutama tuhat yritystä yli 200 000:sta on tehnyt tarvittavat muutokset tai selvitykset tietosuoja-asioissa.
– Ei ole vielä ymmärretty, että tämä koskee lähes kaikkia yrittäjiä. Pienellä autokorjaamolla, konepajalla, kahvilalla tai kukkakaupallakin voi olla asiakasrekisteri, ja ainakin yhden työntekijän henkilörekisteri ja silloin jo pitää ryhtyä toimiin, kertoo Oksanen.
Kartoita omat rekisterit ja tietolähteet
Henkilötietojen kerääminen vaihtelee eri yrityksissä, mutta esimerkiksi kaupan alan tai digitaalisia palveluja tarjoavilla yrityksillä voi olla huomattava määrä asiakkaista koottuja tietoja. Nimet, puhelinnumerot, sähköpostiosoitteet ja luottokorttitiedot ovat henkilötietoja. Niitä voivat myös olla esimerkiksi asiakkaiden verkkokäyttäytymistä tai sijaintia koskevat tiedot. Henkilörekistereitäkään ei tule unohtaa.
- Tietosuoja-asiat tulee huomioida kokonaisvaltaisesti kaikessa toiminnassa, jossa käsitellään henkilöihin liittyviä tietoja”, summaa Lexia Asianajotoimisto Oy:n osakas Markus Myhrberg.
Jokaisen yrityksen kannattaa siis kartoittaa tarkasti, mitä tietoja se kerää, millä perusteilla ja miten niitä käsitellään
Kannattaa vaikka aloittaa tekemällä yksinkertainen testi: http://tietosuojatesti.fi