Uusi eurooppalainen tietosuoja-asetus, general data protection regulation (GDPR), vaikuttaa myös pienyrittäjien arkeen. GDPR-asetus tulee vaikuttamaan esimerkiksi siihen, kuinka suomalaiset yritykset tulevat jatkossa käsittelemään ja säilyttämään henkilötietoja. Lisäksi henkilötietojen käsittelyn ja säilyttämisen dokumentoinnin luonne muuttuu.
Siirtymäajan päättyessä 25.5. 2018 yritysten täytyy sisäisesti dokumentoida henkilötietojen koko elinkaari tarkasti. Siinä missä aiemmin tietosuojaperiaatteiden noudattaminen on riittänyt, GDPR-asetuksen mukaan jatkossa yritysten täytyy pystyä osoittamaan noudattavansa tietosuojaperiaatteita asianmukaisesti. Lisäksi henkilötietojen käsittelystä täytyy kertoa rekisteröidyille avoimesti ja selkeästi esimerkiksi tietosuojaselosteen muodossa. Vanhaa tietosuojaselostetta ei välttämättä voi käyttää sellaisenaan, koska jatkossa tietosuojaseloste on lakitekstimäisyyden sijasta oltava helposti ymmärrettävää.
Hanki suostumus
Muutoksia tulee myös siihen, kuinka henkilötietojen käsittelyyn voidaan hankkia suostumus. Suostumus tulee jatkossa hankkia selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla. Valmiiksi rastitettu ruutu ei siis enää käy! Lisäksi suostumuksen perumisesta tulee tehdä yhtä helppoa kuin sen antamisesta.Osallistu valmennukseen |
Käyttääkö yrityksesi alihankkijoita henkilötietojen käsittelyyn (ulkoistettu asiakaspalvelu tai tietohallinto)? Välisissänne sopimuksissa saattaa olla päivittämisen tarvetta. Mikäli olemassaolevat sopimukset eivät ole yhteensopivia uusien ohjeistusten kanssa, sopimuksia on muutettava ennen toukokuuta.
Asiakkaan oikeudet
Tietosuoja-asetus tuo mukanaan joitakin uusia oikeuksia asiakkaille. Myös pienyrityksillä täytyy olla olemassa prosessi- ja toteutussuunnitelmat siltä varalta, että asiakas haluaa käyttää uusia oikeuksiaan. Prosessi- ja toteutussuunnitelmat täytyy laatia etukäteen seuraavia tilanteita varten:1) Asiakas haluaa “tulla unohdetuksi”, eli yrityksen täytyy todistettavasti poistaa kaikki hänen henkilötietonsa
2) Asiakas pyytää omia tietojaan koneellisesti luettavassa muodossa. Siinä missä aiemmin henkilötietojen toimittaminen paperisessa muodossa on riittänyt, jatkossa tiedot on pyynnöstä toimitettava myös koneellisesti luettavassa muodossa.
3) Asiakas haluaa siirtää henkilötietonsa toiseen yritykseen. Yrityksen on pyynnöstä siirrettävä asiakkaan henkilötiedot esimerkiksi kilpailevalle yritykselle.
Jokainen näistä prosesseista on toteutettava veloituksetta.
Mikäli yrityksesi käsittelee korkean riskin henkilötietoja, kuten terveystietoja, rekisterinpitäjän täytyy tehdä tietosuojaa koskeva vaikutustenarviointi. Tätä varten saa tarvittaessa apua valvontaviranomaiselta.
Lopuksi, myös pienyritysten täytyy laatia suunnitelmat tietoturvaloukkausten varalle. Myös inhimilliset virheet, kuten huolimaton sähköpostin lähettäminen, ovat tietoturvaloukkauksia! Kaikista loukkauksista täytyy ilmoittaa tietosuojavirastolle 72 tunnin kuluessa!
Autamme yritystänne käytännönläheisesti täyttämään asetuksen vaatimuksia.
Tutustu ja osallistu tehokkaaseen kahden tunnin räätälöityyn koulutukseemmePuheopiston nettisivuilta.
OLLI VAINIO