EU:n uusi tietosuoja-asetus koskee kaikkia yrityksiä

 

EU:n uuden tietosuoja-asetuksen (GDPR) soveltaminen alkaa 25.5.2018. Siihen mennessä kaikkien yritysten, pienten ja suurten, toimialasta riippumatta, on huolehdittava, että yrityksessä henkilötietoja käsitellään asetuksen edellyttämällä tavalla.

Henkilötietojen käsittelyä on esimerkiksi kaikki yksityistä ihmistä käsittelevien tietojen kerääminen, tallentaminen, käyttö tai luovuttaminen. Jos siis käsittelet henkilöiden nimiä, osoitetta tai puhelinnumeroita, kannattaa lukea eteenpäin.

 

Mikä muuttuu?

Yksi konkreettinen muutos koskee osoittamisvelvollisuutta. Yrityksen on tarvittaessa pystyttävä näyttämään valvontaviranomaiselle, että käsittely on ollut asetuksen edellyttämällä tasolla. Tämän vuoksi tietojen käsittelyn prosessit on hyvä kuvata. Esimerkiksi HR:n prosessien kehittäminen auttaa yrityksiä, jossa säännöllisesti rekrytoidaan ihmisiä ja käsitellään näin ollen heitä koskevia henkilötietoja. Prosessien kehittämisen yhteydessä määritellään tietojen keräämisen lähteet, tietojen käsittelyn tavat, tietojen luovuttaminen sekä tarvittava ohjeistus. Tietosuojaprojektista on siis konkreettista hyötyä myös yrityksen päivittäiselle toiminnalle.

Yksi käytännön yritystoimintaan vaikuttava muutos on myös rekisteröidyn oikeus saada tieto siitä, miten hänen tietojaan yrityksessänne käsitellään. Kokemuksemme mukaan tieto on usein hajallaan yrityksen eri tietokannoissa ja toiminnoissa. Rekisteröidyllä on oikeus vaatia tietojensa kaikkinaista poistamista. Jos tieto on hajallaan eri lähteissä, voi olla vaikea poistaa sitä joka paikasta. Jos epäilet, että näin on sinun yrityksesi kohdalla kannattaa jatkaa lukemista.

 

Mitä on syytä tehdä?

Liikkeelle kannattaa lähteä nykytila-analyysilla, jossa selvitetään kattavasti mitä tietoa yrityksessäsi käsitellään, millä perusteella sitä käsitellään, miten tieto liikkuu organisaatiossa ja kuinka niitä luovutetaan, jos luovutetaan. Tämän perusteella voidaan määritellä kehittämisen kohteet, joita tarvitaan asetuksen velvoitteiden täyttämiseksi.

Joissakin yrityksissä on hyvä tehdä myös tietotilinpäätös ja määritellä tietosuojavastaava, jotta voidaan taata tietojen asianmukainen käsittely myös jatkossa. Tietotilinpäätös on nimensä mukaisesti tilinpäätös, jossa kuvataan nykytila ja määritellään kehittämiskohteet. Tietotilinpäätöksestä voidaan tehdä julkinen versio, joka voidaan esitellä vaikka asiakkaille ja lisäksi sisäinen versio, jossa on tarkkaan kuvattu tietojenkäsittelyn prosessit ja periaatteet.

 

Jokaisen yrityksen on syytä kiinnostua tietosuoja-asetuksen mukanaan tuomasta muutoksesta. Jos vastaat edes yhteen seuraavista kysymyksistä kyllä, kannattaa sinun ottaa meihin yhteyttä:

  1. Käsitelläänkö yrityksessänne asiakkaisiin liittyen yhteyshenkilöitä ja heidän yhteystietojaan?
  2. Onko yrityksessänne työntekijöitä?
  3. Käsitelläänkö tietoja sähköisesti?
  4. Kirjataanko näitä tietoja muistilapuille tai muistikirjoihin?
  5. Onko sinulla epäselvyyttä koskeeko EU:n tietosuoja-asetus yritystänne?

 

Muistathan, että asiakkaasi ja henkilöstösi henkilötiedot ovat omistajilleen tärkeitä. Henkilötietojen asianmukainen käsittely on osa vastuullista yritystoimintaa. Erottumalla positiivisesti joukosta varmistat yrityksesi kilpailuedun myös tulevaisuudessa.

 

Kerromme mielellämme lisää.

Sivi Holtinkoski p. 050 589 0443

 

Lue myös tietosuoja-asetusta koskeva blogimme täältä.