Vastuu GDPR:n toteutumisesta on aina yrittäjän

Blogikirjoitus26.02.2018

GDPR:n toukokuinen voimaanastumispäivä on yhä lähempänä. Tässä vaiheessa olisi hyvä, että tietosuoja-asetuksen käyttöönotto yrityksissä ja organisaatiossa olisi täydessä vauhdissa: omat henkilötietorekisterit on listattu, niiden käyttökohteet ja tietoja käsittelevien henkilöiden roolit määritelty ja tietosuoja-asiat turvattu. 

Seuraava askel on varmistaa, että myös mahdolliset ulkopuoliset käsittelijät ja yhteistyökumppanit osaavat huolehtia yrityksen henkilötietorekisterien sisältämistä tiedoista asianmukaisesti. GDPR- velvollisuutta ei voi kokonaan ulkoistaa, vaikka sen haltuunotto helpottuukin oikeiden kumppanien ja palvelujen kanssa. Rekisterinpitäjä on joka tapauksessa vastuussa henkilötietojen käsittelystä ja suojaamisesta - myös silloin, kun se on kumppanien käsissä.

Oikeus omien tietojen tarkasteluun

Uuden asetuksen myötä on myös huolehdittava siitä, että rekisteröidyillä on halutessaan mahdollisuus saada tietää, mitä tietoja heistä eri rekistereissä on. Heillä täytyy olla myös mahdollisuus muokata niitä tai pyytää tietoja poistettavaksi. Tämä on yrittäjänkin kannalta järkevää tehdä mahdollisimman helpoksi ja sujuvaksi prosessiksi, ja pitää henkilötiedot jo rekisteriä luotaessa täsmällisinä ja jopa niukkoina.

Tietoja ei kannata kerätä ”varmuuden vuoksi”, vaan aina erityistä tarvetta varten. Esimerkiksi messuilta voi jatkossakin kerätä potentiaalisilta asiakkailta tietoja myyntimielessä, mutta vain oleellisimmat tiedot. Kannattaa ajatella asiaa omalta kannalta. Jos en halua, että minusta kerätään tietoja kenties tarpeettomasti ja niin, etten oikein tiedä mihin tietoja käytetään, niin ei kannata sortua samaan muiden kohdalla omassa toiminnassa.

Muista myös nämä käytännön vinkit tietojen fiksumpaan käsittelyyn:

•    Älä ota asiakashallintarekistereistä turhia listauksia ulos, vaan käsittele tiedot siellä, missä ne säilytetään.
•    Lähetä Excel-listoja harkiten. Ne kun tallentuvat oman sähköpostin lähetettyjen listaan sekä vastaanottajien sähköpostiin aiheuttaen välittömän tietoturvankäsittelyn poikkeaman.

Rami Meling
Liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy