Kauan sitä on mietitty ja sille annettiin vielä siirtymäaikakin, mutta loppujen lopuksi itse yrityksille ja yrittäjille siitä on heikosti informoitu. GDPR eli tämä EU:n uusi tietosuoja-asetus tuli kuitenkin monelle yrittäjälle täysin yllättäen, ja vieläkin todella moni on aivan alkutekijöissään tai ei ole tehnyt mitään.

Miksi tietosuoja-asetus

Olen tässä viime viikkoina tehnyt muutaman yrittäjän ja yrityksen kanssa asetuksen vaatiman dokumentin yrityksen asiakasrekistereistä ja melkeinpä jokaisen kanssa olemme käyneet läpi syyt miksi tämä asetus on tullut. Ne ovat mielestäni:

  1. Jokaisen yrityksen on itse tiedettävä kuka, missä ja miksi käsittelee asiakastietoa ja kenellä siihen on pääsy
  2. Tämä koskaa jokaista yrittäjää
  3. Asiakkaat/ostajat voivat olla varmempia, että heidän tietojaan käsitellään tietoturvallisesti

Useimmalla yrityksellä asiakasrekisterit eivät sisällä kovin arkaluonteista tietoa, mutta kuitenkin yrityksen on tehtävä tuo dokumentaatio kuntoon. Tavallisella pienellä yrityksellä tai yksinyrittäjällä nopeimmillaan on kyse lyhyestä haastattelusta ja sen jälkeen tehtävästä dokumentista, jonka olen usein kirjoittanut asiakkaalle heidän tarkistettavakseen. Pohjana käytämme Suomen Yrittäjät ry:n dokumenttipankin pohjaa.

GDPR säätää EU:n kansalaisten oikeuksista tietosuojaan sekä omien henkilötietojen luottamukselliseen käsittelyyn. Se myös yhteinäistää hajanaiset tietosuojakäytännöt eri EU-maissa. Asetus astuivoimaan toukokuussa 2018 kahden vuoden siirtymäajan jälkeen. Asetus luo merkittäviä uusia velvollisuuksia EU-kansalaisten henkilötietoja käsitteleville organisaatioille.

Nuo  merkittävät velvollisuudet liittyvät juuri tuohon dokumentaatioon ja siihen, että yritys oikeasti miettii ja dokumentoi ne tavat, miten asiakastietoa käsitellään ja kenellä siihen on pääsy.

Asiakasdokumentaation lisäksi yritysten tulisi myös huomioida muutokset omilla kotisivuillaan. Useimmalla kotisivulla on Google tms seuranta, josta Viestintävirastonkin ohjeen mukaisesti pitäisi asiakkaalle tiedottaa – tästä on useampaa katsontakantaa, mutta tiedottaa pitää ja antaa mahdollisuus kieltää seuranta.

Paikallisia yrittäjiä tässä Lohja-Nummela-Kirkkonummi alueilla olen auttanut sekä tuon asetuksen että nettidokumentaation kanssa ja voit laittaa sähköpostia kari.oksanen@ertuki.fi tai soittaa 0400 733 469 ja sovitaan koska tavataan ja laitetaan sinunkin dokumentaatiosi kuntoon.

KO

https://ec.europa.eu/info/law/law-topic/data-protection_en

Ps. esimerkiksi käytännössä kotisivujen suhteen:

  • Hanki SSL-sertifikaatti sivuillesi. Sertifikaatti on tapa salata sivustosi liikenne, joten se parantaa henkilötietojen suojausta. Yleensä tämän huomaa verkko-osoitteesta, jossa ”http” on korjattu ”https”-muodolla.
  • Sivustolta täytyy löytyä ajantasainen tietosuojaseloste (aikaisemmin rekisteriseloste), jossa kerrotaan muun muassa miksi ja miten  keräät tietoja.
  • Informoi käyttäjää evästeiden käytöstä lisäämällä siitä maininta esimerkiksi tietosuojaselosteeseen. Voit myös antaa käyttäjälle mahdollisuuden kieltäytyä evästeistä avaamalla tätä varten pienen ikkunan, kun hän tulee sivustolle.

Tietosuojavaltuutettu:
https://tietosuoja.fi/etusivu

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero, sijaintitiedot ja isovanhempien perinnöllisiä sairauksia koskevat tiedot.

Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjä voi olla esimerkiksi jäsenistään tietoja keräävä yhdistys, potilastietoja käsittelevä sairaala, verkkokauppa tai sosiaalisen median palvelu.

Henkilötietojen käsittelijä on ihminen tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Henkilötietojen käsittelijä voi olla esimerkiksi toisen yrityksen markkinointia hoitava markkinointitoimisto tai IT-palveluntarjoaja, jolla on pääsy rekisterinpitäjän henkilötietoihin.

Tietosuojaperiaatteiden mukaan henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • käsiteltävä luottamuksellisesti ja turvallisesti
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.